Chrome/Edge拡張WeTabとInfinity V+の疑惑—静かな更新で乗っ取りとデータ収集、KOIがShadyPandaを指摘

WeTabとInfinity V+が疑惑の渦中にある。サイバーセキュリティの専門家によれば、これらを含む複数のChrome拡張機能が、何年にもわたり密かにブラウザを乗っ取り、機微なデータを吸い上げていた可能性があるという。調査を行ったKOIは、ChromeとMicrosoft Edgeのユーザー約430万人が影響を受けたとし、手口はフィッシングやソーシャルエンジニアリングではなく、人気が定着した拡張機能に対して静かに行われる更新だったと指摘する。

KOIは、このオペレーションの背後に「ShadyPanda」と呼ぶグループがいるとみている。戦術は拍子抜けするほど実務的だ。まずはきちんと動く拡張機能を公開し、時間をかけてユーザーと評価、ダウンロード数を積み上げる。十分に信頼を得たところで、悪意あるコードを含む更新を紛れ込ませる。拡張機能ストアは公開直後の審査ほど、その後の更新に厳しく目を光らせない——この“盲点”に乗じれば、見かけ上まっとうなツールが長く居座れてしまう。手間はかかるが、待てば勝てる類いのやり口だ。

KOIの報告書は複数の事案を整理している。なかでも2023年に実行された二つのキャンペーンが目を引く。ひとつ目では、壁紙パックや便利ツールを装った数十の拡張機能が、ユーザーの行動を追跡し、eBayやAmazon、Booking.comといったサイトのページ内容を書き換えて、アフィリエイトタグやトラッカーを注入。購入やトラフィックデータの収益化を狙ったとされる。もうひとつでは、Infinity V+に紐づく悪性機能が、検索結果を外部リソースにリダイレクトし、クッキーを収集。検索バーに入力された内容まで記録し、外部サーバーへと流出させていたという。

さらに同報告は「第1段階」と呼ぶ局面にも言及する。ここでは5つの拡張機能にリモートでコード実行を可能にするバックドアが仕込まれ、約30万人に影響が及んだ。中には2018～2019年から掲載され、推奨を示すバッジまで付いていたものもあったが、インストール数が伸びた2024年半ばにバックドアを追加する更新を受けたとされる。このモジュールは、定期的にコマンドを取得し、任意のJavaScriptをダウンロードしてブラウザAPIの権限で実行、あらゆるサイトに悪意あるHTTPSコンテンツを注入できた。加えて、閲覧履歴やリファラー、タイムスタンプ、永続的な識別子、完全なブラウザ・フィンガープリントなどを収集し、開発者モードが有効な場合は目立たぬよう挙動を抑える工夫もあったという。

調査の最も大きな部分は「第2段階」に当てられている。KOIによると、同一開発者の別の5つの拡張機能がEdgeストアに掲載され、合計で400万超のインストールを記録。うち2つはマルウェアのインストールを開始する恐れがあったという。新しいタブを提供するWeTabへの注目度は特に高い。約300万インストールを集めたとされ、訪問したURL、検索結果、マウスクリック、ブラウザ・フィンガープリント、ページ上の操作、ストレージへのアクセスイベントといったテレメトリを密かに送信していたと記録されている。データは多数のドメインに中継され、更新機構の存在により、いつでも侵害済みブラウザを遠隔から制御可能なノードへと変えることができた、とKOIは述べる。