悪意のあるGoogle Chrome拡張機能がビジネスデータを盗む

Ravie Lakshmanan / 2026年2月13日

サイバーセキュリティ研究者は、Meta Business SuiteとFacebook Business Managerに関連するデータを盗むために設計された悪意のあるGoogle Chrome拡張機能を発見しました。この拡張機能は「CL Suite」（ID: jkphinfhmfkckkcnifhjiplhfoiefffl）として知られ、@CLMastersによって提供されています。

この拡張機能は、Meta Business Suiteデータのスクレイピングや認証ポップアップの削除、2要素認証（2FA）コード生成を目的としています。しかし、実際には、この拡張機能はFacebookとMetaビジネスアカウントの時間ベースの一時パスワード（TOTP）コード、ビジネスマネージャー連絡先リスト、および分析データを脅威アクターが制御するインフラストラクチャに漏洩します。

拡張機能の悪意のある機能

• TOTPシード（一意でアルファベットと数字からなるコード）および2FAコードを盗む
• ビジネスマネージャー「People」ビューにアクセスし、名前、メールアドレス、役割や権限、ステータスとアクセス詳細を含むCSVファイルを作成する。
• ビジネスマネージャーレベルのエンティティとそのリンクされた資産を列挙し、ビジネスマネージャーIDと名前、アタッチドアカウント、接続ページや資産、および支払い設定詳細を含むCSVファイルを作成する。

これらの機能により、脅威アクターはユーザーの知識や同意なしにデータ収集と漏洩を行うことができます。拡張機能にはパスワード関連情報の盗難機能はありませんが、攻撃者は他のソースから情報を入手し、2FAコードを使用して不正アクセスを試みることが可能です。

悪意のある拡張機能の被害

Socketは警告しています。「CL Suite by @CLMasters」は、Meta Business SuiteとFacebook Business Manager向けにデータスクレイピングを「ツール」として再パッケージ化する方法を示しています。この拡張機能の人材抽出、ビジネスマネージャーアナリティクス、ポップアップ抑制、ブラウザ内2FA生成は、中立的な生産性機能ではなく、高価値のMetaサーフェイスから連絡先リストやアクセスメタデータ、2FA材料を直接取得するための目的に特化したスクレイパーです。

VKontakteアカウントが悪意のある拡張機能によって乗っ取られる

Koi Securityは約50万のVKontakteユーザーが、Chrome拡張機能を通じて無断でアカウントを乗っ取られたことを発見しました。この大規模なキャンペーンは「VK Styles」と呼ばれています。

悪意のあるAI Chrome拡張機能が資格情報とメールを盗む

LayerXの研究者Natalie Zargarovによると、32のブラウザアドオンが集中的に使用され、要約、チャット、書くための人工知能（AI）アシスタントやGmail支援ツールとして宣伝されています。これらの拡張機能は合計で26万以上のユーザーによってインストールされています。

ブラウザ拡張機能が悪用される傾向

Q Continuumの最新レポートによると、3740万回インストールされた287のChrome拡張機能がユーザーのブラウジング履歴をデータブローカーに漏洩しています。

---

元記事: https://thehackernews.com/2026/02/malicious-chrome-extensions-caught.html