【Edge/Chrome】430万人に被害?ブラウザ拡張機能が“後からマルウェア化”する仕組みとWindowsユーザーが今すぐやるべき安全対策

ブラウザ拡張機能が後からマルウェア化するリスクを警告するアイキャッチ画像。マスクを付けた赤いバグのアイコンと「430万人が被害?ブラウザ拡張機能が後からマルウェア化する仕組みと今すぐやるべき対策」という日本語タイトルが描かれている。

最近、Chrome や Edge のごく普通の拡張機能が、数年後にマルウェア化してユーザーの情報を盗んでいたというニュースが報じられました。
影響を受けたのは Chrome/Edge 合計で約430万ユーザー。拡張機能は 2018 年頃から存在し、数年間は“真面目に”働いていたのに、2024年頃からアップデートでスパイ機能が仕込まれたとされています。

しかも、このキャンペーンは「ShadyPanda」と呼ばれる長期の攻撃として少なくとも7年続いていたと分析されています。

拡張機能はとても便利な反面、ブラウザの中で“なんでもできてしまう存在”でもあります。
この記事では、

  • なぜ拡張機能が“後から”マルウェア化するのか
  • どんな情報が盗まれる可能性があるのか
  • Edge/Chromeで「今すぐできる安全チェック」
  • もし被害が心配なとき、何をすればよいか
  • 今後、拡張機能とどう付き合っていけばいいか

を、Windowsユーザー目線で整理します。

目次
PR

なぜブラウザ拡張機能が怖いのか

ブラウザ拡張機能は「ミニアプリ」+「強力な権限」

ブラウザ拡張機能は、

  • 広告ブロック
  • パスワード自動入力
  • 翻訳
  • クーポン自動適用

など、ブラウザを便利にしてくれるミニアプリです。

しかし、その多くは次のような権限を持っています。

  • 「閲覧しているすべてのWebサイトのデータの読み取りと変更」
  • 「タブやウィンドウの操作」
  • 「クリップボードの読み取り・書き込み」
  • 「Cookieやローカルストレージへのアクセス」

つまり、ブラウザの中で見ている情報にかなり深くアクセスできる立場にある、ということです。

セキュリティ研究では、悪意ある拡張機能が次のような用途に使われていることが分かっています。

  • 閲覧履歴の追跡・プロフィール化
  • 検索結果の書き換え
  • 不正な広告表示(アドフラウド・アフィリエイト詐欺)
  • Cookie を盗んでログイン状態を乗っ取る
  • 入力フォームの盗み見(ID・パスワード・カード情報など)

ブラウザは、ネットバンキングもショッピングもSNSも、オンライン活動の“入口”です。
そこに入り込める拡張機能が乗っ取られると、被害の範囲はかなり広がります。

「後からマルウェア化」する典型パターン

今回の 430 万ユーザーのケースを含め、最近の報道や調査から見えてくるのは、次のようなパターンです。

パターン1:最初は“普通の拡張機能”として振る舞う

  • 壁紙変更・仕事効率化・ショッピングサポートなど、一見 harmless(無害)なテーマで公開される
  • 数年間は本当に便利な機能だけを提供し、評価も★4以上でレビューも好意的
  • 公式ストアで「おすすめ」扱いになることもある

この段階では、ユーザーもセキュリティ製品も「普通の拡張機能」と認識します。

PR

パターン2:所有権や開発者が変わる

  • 人気が出たあと、拡張機能そのもの(または開発者アカウント)が第三者に売却される
  • 表向きには何も変わらないので、多くのユーザーは気づかない
  • コードレビューも「最初の公開時ほど厳しくされない」ことがあると指摘されています

パターン3:アップデートで少しずつ“悪さ”を始める

  • いきなりスパイウェア全開ではなく、
    • 広告差し替え(アフィリエイト詐欺)
    • 検索結果の書き換え
      など、比較的“バレにくい小さな悪さ”から始めるケースが多いです。
  • その後の更新で、
    • Cookie 盗難
    • セッション乗っ取り
    • リモートで任意コード実行
      など、より危険な機能が追加されることもあります。

パターン4:ストアから削除されても、ユーザー側には残り続ける

  • 問題が発覚すると、Chrome Web Store や Edge アドオンから該当拡張機能は削除されます
  • しかし、すでにインストールしているユーザーのブラウザから自動で消えるとは限りません
  • 「もうストアにはないけど、自分のブラウザには残っている」という状態が危険です

どんな被害が起こりうるのか

報告されている「後からマルウェア化した拡張機能」の挙動として、次のようなものがあります。

  • 訪問したWebサイトの URL・タイトル・閲覧時間の収集
  • 検索キーワードの収集
  • Cookie・ローカルストレージの読み取り
  • 画面上で入力した情報(フォーム入力・場合によってはキー入力)の盗み見
  • 検索結果やWebページの一部を書き換えて、不正な広告やリンクを埋め込む
  • 攻撃者のサーバーからスクリプトをダウンロードして、ブラウザ内で実行する

これらにより、次のようなリスクが出てきます。

  • ネットショッピングや銀行、クラウドサービスのアカウント乗っ取り
  • SNS アカウントの乗っ取りやスパム投稿
  • 会社アカウント(Microsoft 365、Google Workspace など)への不正ログイン
  • ブラウザ経由でのさらなるマルウェア配布

今すぐできる安全チェック(Edge/Chrome共通)

ここからは、誰でも今日からできる「拡張機能のお片付け&安全チェック」です。

Step 1:拡張機能の一覧を開く

Microsoft Edge の場合

  1. Edge 右上の「…(設定など)」をクリック
  2. [拡張機能] → [拡張機能の管理] をクリック
  3. インストール済み拡張機能の一覧が表示されます

Google Chrome の場合

  1. 右上の「︙(縦3点メニュー)」をクリック
  2. [拡張機能] → [拡張機能の管理] をクリック
  3. インストール済み拡張機能の一覧が表示されます

ここで、「自分で入れた覚えのない拡張機能」や「もう使っていない拡張機能」がないかをざっと見ていきます。

Step 2:使っていない拡張機能を全部オフ(または削除)

「便利そうだから…」となんとなく入れて、そのまま放置している拡張機能はありませんか?

  • 半年以上使っていないもの
  • 機能がよく分からないもの
  • 何かのソフトを入れたときに勝手についてきたもの

こういった拡張機能は、一旦すべて「オフ」にするのがおすすめです。

  • しばらく使わなくても困らなければ、そのまま削除
  • 「やっぱり必要だった」と気づいたら、必要なものだけ再インストールすればOK

Step 3:残す拡張機能の「権限」と「開発元」をチェック

どうしても残したい拡張機能については、次のポイントを確認します。

1)権限(アクセス権)の内容

  • 「すべてのサイトのデータの読み取りと変更」
  • 「ブラウザの履歴の読み取り」

など、広い権限を要求しているのに、機能はシンプルすぎる場合は要注意です。

2)開発元・公開元の情報

  • 開発者名や公式サイトが明記されているか
  • 有名な企業・オープンソースプロジェクトか
  • ホームページ・GitHubなどが存在し、更新が継続しているか

3)レビュー内容と更新履歴

  • レビューが極端に短い・★5 ばかりなど、不自然なパターンではないか
  • 「最近急に動きが怪しい」「広告が増えた」などのレビューがないか
  • 最終更新日が「ごく最近」で、その直後から挙動が変わっていないか

Step 4:ブラウザの動作に違和感がないかを確認

次のような症状がある場合、拡張機能が原因の可能性も疑ってみましょう。

  • 検索結果の上位に、見慣れない広告サイトがやたら出る
  • クリックしたリンクと違うページに飛ばされる
  • ブラウザがやけに重い・CPU使用率が高い
  • ログインし直しても、勝手にログアウトされる/セッションがおかしい

こうした症状があるときは、一度すべての拡張機能をオフにして、1つずつオンにしながら様子を見ると原因を特定しやすくなります。

すでに入れてしまったかも…と思ったら

「ニュースを見て不安になった」「もしかしたら怪しい拡張を使っていたかも」という場合、次の手順で対処します。

① 怪しい拡張機能を削除する

  • Edge/Chromeから、心当たりのある拡張機能を完全に削除します
  • 似た名前の拡張機能が複数ある場合は、公式サイトや開発元情報も確認して慎重に

② ブラウザの設定をリセットする

ブラウザの設定自体が書き換えられている場合もあるため、設定のリセットも検討します。

  • 検索エンジン
  • 新しいタブページ
  • スタートページ
  • プロキシ・ポリシー設定 など

「設定のリセット」「デフォルトに戻す」といったメニューから元に戻せます。

③ 重要なパスワードを変更する

拡張機能がCookieやセッション情報を読み取れる場合、アカウント乗っ取りのリスクがあります。

優先的に変更したいのは

  • メールアドレス
  • ネットバンキング
  • クレジットカード/決済サービス(PayPalなど)
  • メインで使っているクラウドサービス(Google、Microsoft 365、Dropbox など)
  • SNS(X、Facebook、Instagramなど)

可能であれば、パスワードマネージャーで一括管理&長いパスワードに切り替えるのがベストです。

④ セキュリティソフトでフルスキャンを実行する

  • Windows セキュリティ(Microsoft Defender)のフルスキャン
  • 利用しているセキュリティソフトがあれば、そのフルスキャン機能も併用

拡張機能経由で別のマルウェアが入り込んでいる可能性もゼロではないため、一度しっかりチェックしておくと安心です。

今後、拡張機能とどう付き合っていけばいい?

ポリシー1:拡張機能は「最小限」に絞る

  • インストールする拡張機能は、本当に必要なものだけにする
  • 「あったら便利かも」程度の拡張機能は、極力入れない
  • 使わなくなったらすぐ削除する

ポリシー2:インストール前に「3つのチェック」

  1. 開発元は信頼できるか?
    • 企業名・団体名が明示されているか
    • 公式サイト・サポートページがあるか
  2. 権限が機能に見合っているか?
    • 簡単な機能なのに「すべてのサイトのデータ」など広い権限を求めていないか
  3. レビューの中身は自然か?
    • ★5 だらけ+短文ばかり…など不自然なパターンではないか
    • 不具合・怪しい挙動のレビューが増えていないか

ポリシー3:ブラウザプロファイルを分ける

  • 仕事用/プライベート用でブラウザプロファイルを分ける
  • 仕事用プロファイルには、
    • 最低限の拡張機能のみ
    • 不要な拡張は一切入れない
  • 趣味・調べ物用は別プロファイルで分離する

これだけでも、万が一のときの被害範囲をかなり限定できます。

ポリシー4:月1回の「拡張機能棚卸し」を習慣にする

  • 月に1回、Edge/Chromeの拡張機能一覧を開いて、
    • 使っていない拡張は削除
    • 必要な拡張だけ残す
  • Windows Update やブラウザの大型アップデートのタイミングに合わせて見直すのもおすすめです。

まとめ:拡張機能を“便利なまま、安全に”使うために

  • ブラウザ拡張機能は便利ですが、ブラウザの中のデータに広くアクセスできる強力な存在です。
  • 最近の「ShadyPanda」などの事例では、数年間は普通の拡張機能として振る舞い、その後アップデートでスパイウェア化する長期的な攻撃も確認されています。
  • まずは、
    • 拡張機能を“必要最小限”に絞る
    • 定期的に「拡張機能の棚卸し」をする
    • 開発元・権限・レビューを確認する
      といった基本を押さえることが、最も効果的な防御になります。

「便利だから全部オン」ではなく、
「本当に信頼できる、必要なものだけを残す」という発想で拡張機能を見直してみてください。

[スポンサーリンク]

もし怪しい挙動があった場合は、Windows Defender のフルスキャンに加えて、スパイウェア検知が得意なセキュリティソフトを併用すると安心です。

👉私が使っているおすすめセキュリティソフト

「すでに被害が心配な場合の対処」

「フルスキャンを実行しましょう」

「今後の予防策」にばっちりです!

良かったら検討してみてください。

おすすめ関連記事

Windowsのセキュリティ設定を見直そう!Defenderとファイアウォールの違いと正しい設定方法

Edgeが動かない?PIN・ログイン・履歴消失などエラー別の解決策

Windows Hello の顔認証が反応しない|暗所で失敗する・アップデート後に通らない時の直し方

【完全版】BitLocker 回復キーの確認方法

タグ: , , , , , , , ,