サイバーニュース.jp

世界のサイバーなニュースを配信

Chrome拡張機能による新たな脅威:アフィリエイト収益詐取とChatGPT認証情報窃盗の実態

カテゴリ:

はじめに:巧妙化するブラウザ拡張機能の脅威

Google Chromeの拡張機能が、ユーザーのアフィリエイト収益を不正に詐取し、さらにはOpenAI ChatGPTの認証トークンを窃取するなど、複数の新たなサイバーセキュリティ脅威が研究者によって明らかにされました。これらの悪意ある拡張機能は、一見すると便利なツールを装いながら、ユーザーに気づかれることなく個人情報や収益を狙っています。

アフィリエイトリンクを悪用する大規模キャンペーン

セキュリティ企業Socketの研究者、Kush Pandya氏によると、「Amazon Ads Blocker」という拡張機能が、その名の通り広告をブロックする一方で、開発者のアフィリエイトタグ「10xprofit-20」(またはAliExpress向けには「_c3pFXV63」)をAmazonの商品リンクに自動的に注入・置換していることが判明しました。これにより、本来コンテンツクリエイターに入るはずのアフィリエイト報酬が、この拡張機能の開発者によって横取りされる事態が発生しています。

この拡張機能は、「10Xprofit」という発行元が2026年1月19日にChromeウェブストアにアップロードしたもので、AliExpress、Amazon、Best Buy、Shein、Shopify、Walmartといった複数のeコマースプラットフォームを標的とする29個の関連アドオンのクラスターの一部です。これらの拡張機能のリストは以下の通りです。

  • AliExpress Invoice Generator (FREE) – AliInvoice™️ (10+ Templates)
  • AliExpress Price Tracker – Price History & Alerts
  • AliExpress Quick Currency & Price Converter
  • AliExpress Deals Countdown – Flash Sale Timer
  • 10Xprofit – Amazon Seller Tools (FBA & FBM)
  • Amazon Ads Blocker
  • Amazon ASIN Lookup 10xprofit
  • Amazon Search Suggestion
  • Amazon Product Scraper 10xprofit
  • Amazon Quick Brand Search
  • Amazon Stock Checker 999
  • Amazon Price History Saver
  • Amazon ASIN Copy
  • Amazon Keyword Cloud Generator
  • Amazon Image Downloader
  • Amazon Negative Review Hider
  • Amazon Listing Score Checker
  • Amazon Keyword Density Searcher
  • Amazon Sticky Notes
  • Amazon Result Numbering
  • Amazon Profit Calculator Lite
  • Amazon Weight Converter
  • Amazon BSR Fast View
  • Amazon Character Count & Seller Tools
  • Amazon Global Price Checker
  • BestBuy Search By Image
  • SHEIN Search By Image
  • Shopify Search By Image
  • Walmart Search By Image

Socketは、これらの拡張機能がChromeウェブストアのポリシーに違反していると指摘しています。具体的には、アフィリエイトリンク利用に関する不正確な開示、各注入前のユーザーアクションの不履行、および既存のアフィリエイトコードの置き換えが挙げられます。さらに、広告ブロックとアフィリエイト注入という「単一目的ポリシー」の違反も確認されています。これらの拡張機能は、商品データをスクレイピングして「app.10xprofit[.]io」に外部送信するほか、AliExpress向けには「期間限定セール」の偽タイマーを表示して、ユーザーを急かして購入させようとすることも確認されています。

データ窃取を目的とした拡張機能とChatGPT認証情報の危機

Broadcom傘下のSymantecは、合計10万人以上のユーザーを持つ4つのデータ窃取拡張機能を特定しました。

  • Good Tab: 外部ドメインへクリップボードの読み書き権限を付与し、リモートからのクリップボード操作を可能にする。
  • Children Protection: クッキー収集、広告注入、任意JavaScript実行の機能を持つ。
  • DPS Websafe: デフォルトの検索エンジンを変更し、検索語を捕捉して悪意あるウェブサイトへ誘導する。
  • Stock Informer: 既知のWordPressプラグインの脆弱性(CVE-2020-28707)を悪用し、リモートからのJavaScriptコード実行を可能にする。

さらにLayerXの調査では、ChatGPT認証トークンを傍受・窃取する目的で設計された16個のChrome拡張機能ネットワークが発見されました。これらの拡張機能は、chatgpt[.]comにコンテンツスクリプトを注入することでトークンを盗み出します。約900回ダウンロードされており、ソースコード、アイコン、ブランド、説明の重複から連携したキャンペーンと見られています。これらの拡張機能のリストは以下の通りです。

  • ChatGPT folder, voice download, prompt manager, free tools – ChatGPT Mods
  • ChatGPT voice download, TTS download – ChatGPT Mods
  • ChatGPT pin chat, bookmark – ChatGPT Mods
  • ChatGPT message navigator, history scroller – ChatGPT Mods
  • ChatGPT model switch, save advanced model uses – ChatGPT Mods
  • ChatGPT export, Markdown, JSON, images – ChatGPT Mods
  • ChatGPT Timestamp Display – ChatGPT Mods
  • ChatGPT bulk delete, Chat manager – ChatGPT Mods
  • ChatGPT search history, locate specific messages – ChatGPT Mods
  • ChatGPT prompt optimization – ChatGPT Mods
  • Collapsed message – ChatGPT Mods
  • Multi-Profile Management & Switching – ChatGPT Mods
  • Search with ChatGPT – ChatGPT Mods
  • ChatGPT Token counter – ChatGPT Mods
  • ChatGPT Prompt Manager, Folder, Library, Auto Send – ChatGPT Mods
  • ChatGPT Mods – Folder Voice Download & More Free Tools

これらのトークンを保有することで、攻撃者はユーザーのアカウントレベルのアクセス権を得ることができ、会話履歴やデータにアクセスし、ユーザーになりすますことが可能になります。AI関連の拡張機能が企業ワークフローで一般的になるにつれ、人気AIブランドの信頼を悪用する脅威アクターにとって、これは新たな攻撃対象領域となっています。

マルウェアとしてのサービス「Stanley」の登場

今回の調査と同時期に、新しい「マルウェアとしてのサービス(MaaS)」ツールキット「Stanley」が、ロシアのサイバー犯罪フォーラムで2,000ドルから6,000ドルで販売されていることが判明しました。Stanleyは、悪意あるChromeブラウザ拡張機能を生成し、HTML iframe要素内でフィッシングページを表示しながら、アドレスバーには正規のURLを表示するという巧妙な手口を使います。

このツールを利用する犯罪者は、被害者を管理し、偽のリダイレクトを設定し、偽のブラウザ通知を送信するためのC2パネルにアクセスできます。6,000ドルの料金を支払う層には、生成された拡張機能がGoogleのChromeウェブストアの審査プロセスを通過するという保証まで提供されていました。これらは無害なメモ取りユーティリティを装いますが、銀行などの特定のウェブサイトにアクセスすると悪意ある動作が活性化し、ユーザーにフィッシングページへの情報入力を促します。

Varonisの研究者Daniel Kelley氏は、「BYODポリシー、SaaSファースト環境、リモートワークにより、ブラウザが新たなエンドポイントになった。攻撃者はこれに気づいている。悪意あるブラウザ拡張機能は現在、主要な攻撃ベクトルとなっている」と述べています。

結論:ブラウザ拡張機能の利用には慎重な選択を

ブラウザ拡張機能は多くの便利な機能を提供しますが、その利用には細心の注意が必要です。今回の発見は、たとえ信頼できるソースからインストールする場合であっても、拡張機能が持つ権限や実際の挙動を慎重に確認することの重要性を浮き彫りにしています。ユーザーは、拡張機能が要求する権限をよく理解し、提供元の信頼性を確認した上で、インストールを判断することが強く推奨されます。

元記事: https://thehackernews.com/2026/01/researchers-uncover-chrome-extensions.html

投稿をさらに読み込む