博士

ロボ子、大変なのじゃ！ChromeとEdgeの拡張機能「Color Picker」が、実はブラウザをハイジャックするマルウェアだったらしいぞ！

ロボ子

ええっ、博士！それは大変です！10万以上のダウンロード数があって、Googleの認証バッジまで表示されていたんですよね？

博士

そうなんじゃ！しかも、Webサイト全体の活動を追跡して、ブラウザにバックドアまで仕掛けるらしいぞ。恐ろしいのう。

ロボ子

信じられません…。記事によると、Gecoの拡張機能はChrome Web Storeで高評価だったんですよね？800件以上のレビューがあって、5段階評価で4.2の評価だったなんて。

博士

そうなんじゃ。「おすすめ」として掲載されていたらしいぞ。MicrosoftのEdge Add-onsでも同様に高い評価だったみたいじゃ。

ロボ子

Koi Securityのアナリスト、Idan Dardikmanさんのコメントが気になります。「週末に作成された明らかな詐欺拡張機能ではない」「注意深く作られたトロイの木馬」だなんて…。

博士

まさにその通りなのじゃ！Gecoのカラーピッカーは「氷山の一角」で、「RedDirection」と呼ばれる大規模なブラウザハイジャックキャンペーンの一部らしいぞ。

ロボ子

18個の悪意のある拡張機能で構成されていて、すべて同じスパイ機能を共有しているんですか？

博士

そうみたいじゃ。これらの拡張機能は、両方のブラウザで230万人以上のユーザーに感染したらしいぞ！

ロボ子

絵文字キーボード、天気予報、ビデオ速度コントローラー、DiscordとTikTokのVPNプロキシ、ダークテーマ、ボリュームブースター、YouTubeのブロック解除…色々な機能を提供する拡張機能に紛れ込んでいるんですね。

博士

そうなんじゃ。ユーザーのWebブラウジング活動を密かに監視して、URLをキャプチャして、リモートの攻撃者制御サーバーに情報を送信するらしいぞ。

ロボ子

指示された場合はブラウザをリダイレクトするんですか？恐ろしいですね。

博士

もっと怖いのは、最初からマルウェアが仕込まれていたわけではないことじゃ。

ロボ子

えっ、どういうことですか？

博士

コードは最初はクリーンで、マルウェアがバージョンアップデート中に導入されたらしいぞ。何年もそのままで、気づかれなかったみたいじゃ。

ロボ子

GoogleとMicrosoftがブラウザ拡張機能のアップデートを処理する方法が原因で、悪意のあるバージョンが自動的にインストールされたんですね。

博士

その通りじゃ。ブログでは、「フィッシングもソーシャルエンジニアリングもない。信頼できる拡張機能が、生産性ツールを監視マルウェアに変えた静かなバージョンアップだけだ」と警告しているぞ。

ロボ子

本当に怖いですね。私も拡張機能を見直さないと…。

博士

そうじゃな。しかし、ロボ子よ、拡張機能のインストールは、まるでガチャガチャみたいじゃな。何が出るか分からないドキドキ感…って、不謹慎だったかの？

ロボ子

博士、ちょっと不謹慎ですよ！でも、確かに何が出るか分からないという意味では、似ているかもしれませんね…（苦笑）。