Chromeに潜む108個の罠——全部同じ黒幕が操っていた

時事ニュース

2026.04.29

「Chrome拡張機能を入れるだけで便利になる」——そう思ってゲームアプリや翻訳ツール、Telegramのサイドバーなどをインストールした経験はありませんか？実は2026年4月、そうした「便利なツール」に見せかけた悪意ある拡張機能が108個、Googleの公式ストアで一斉に発見されました。しかも全部が「同じ攻撃者」のサーバーに繋がっていたというのです。「どうして気づかなかったの？」「私のパスワードは大丈夫？」——今回はその全体像と、あなた自身が今すぐ取れる対策を徹底解説します。

話題のニュース、結局何が起きた？──108個の拡張機能、黒幕は一人だった
なぜこれが「重大」なのか？──「公式ストア＝安全」という常識が崩れる
私たちの生活や社会はどう変わる？──見えない「乗っ取り」が日常に潜む
私たちはどう対応すべきか？──今すぐできる5つの行動
まとめ

話題のニュース、結局何が起きた？──108個の拡張機能、黒幕は一人だった

〜Googleの公式ストアに潜む「見えない組織犯罪」の構造〜

セキュリティ企業Socketの研究者が、Google Chromeの公式ウェブストアにて、同一のC2（コマンド＆コントロール）インフラと通信していた108個の悪意ある拡張機能を発見しました。これは2026年4月14日に公表されたもので、日本でも徐々に報道が広がっています。

「C2インフラ」というのは、攻撃者が遠隔で命令を送ったり、盗んだデータを受け取ったりするための「司令塔サーバー」のことです。今回は108個すべてが、同じIPアドレス（144.126.135[.]238）に置かれたひとつのサーバーに接続していました。つまり、拡張機能の見た目は別々でも、裏で動かす「黒幕」は同一組織だということです。

これら108個の拡張機能は「Yana Project」「GameGen」「SideGames」「Rodeo Games」「InterAlt」という5つの異なる開発者名義で公開されており、Chromeウェブストア全体で合計約2万回インストールされていました。

拡張機能の表向きの顔も巧妙です。Telegramのサイドバークライアント、スロットマシンやケノゲームなどのゲームアプリ、YouTubeやTikTokの機能強化ツール、テキスト翻訳ツール、汎用ユーティリティなど、一見して害のないカテゴリに偽装していました。

実際に何が行われていたかを整理すると次のとおりです。

54個の拡張機能がGoogleアカウントのOAuth2トークン（ログイン認証情報）を盗む
45個の拡張機能がブラウザ起動時に任意のURLを開く「隠し扉（バックドア）」を持つ
78個の拡張機能が訪問したすべてのWebページにHTMLコードを強制挿入し、広告詐欺などを実行する
1個の拡張機能がTelegramのセッション情報を15秒ごとに盗み続ける

攻撃のバックエンド基盤はContaboのVPSサーバー上に構築されており、セッションハイジャック、個人情報収集、コマンド実行、収益化など、役割ごとに複数のサブドメインが使い分けられていました。

そして最も深刻なのは、Googleへ通報済みにもかかわらず、2026年4月14日の公開時点でも108個すべてがChromeウェブストアからダウンロード可能な状態のままだったことです。

なぜこれが「重大」なのか？──「公式ストア＝安全」という常識が崩れる

〜Googleの審査を突破した組織的犯罪——プラットフォーム信頼の根幹を揺るがす〜

「Googleの公式ストアに掲載されているから安心」——多くの人がそう信じて拡張機能をインストールしてきました。しかし今回の事件はその前提を根底から否定するものです。

まず、なぜ108個もの拡張機能が審査を通過できたのかを理解する必要があります。攻撃者は5つの異なる開発者名義を使い分け、拡張機能が共有のインフラに繋がっていることを検知されにくくする仕組みを取っていました。これはひとつの名義でまとめて申請すれば審査側に気づかれやすいため、意図的に分散させた戦術です。

次に技術的な巧妙さも際立っています。拡張機能は一見すれば約束された機能（ゲームやメッセージツールなど）をきちんと提供しながら、バックグラウンドでは別のコードが静かに動作してデータを盗み出す二重構造になっていました。ユーザーが「ちゃんと動いている」と感じている間も、裏では情報が送り続けられているのです。

さらに、このオペレーションはMaaS（マルウェア・アズ・ア・サービス）モデルの特徴を持ち、ソースコード中に複数のロシア語コメントが確認されており、ロシア語話者の脅威アクターが関与している可能性が指摘されています。MaaSとは、攻撃ツールをサービスとして他の犯罪者に提供するビジネスモデルのことで、サイバー犯罪の「業務委託市場」のようなものです。このことは今回の攻撃が単なる個人による悪戯ではなく、組織的・商業的なサイバー犯罪であることを意味しています。

共有C2インフラを使うことで、攻撃者は効率よくデータを収集・更新でき、新しい命令を全拡張機能に一括で配信することもできます。これは従来のような「一つの拡張機能を作って終わり」という単純な手口ではなく、プロが設計した持続的な攻撃基盤です。

過去にも同様の事件はありました。2024年12月にも60万人以上が影響を受ける大規模な拡張機能ハッキング事件が発生し、AIツールやVPN関連の拡張機能が狙われました。しかし今回は「最初から悪意を持って設計・公開された」点で質が異なります。アップデートによって悪性化する従来型の手口ではなく、最初から組織的に仕込まれた「偽ツール軍団」なのです。

私たちの生活や社会はどう変わる？──見えない「乗っ取り」が日常に潜む

〜パスワード不要で口座・メッセージが奪われる時代の現実〜

今回の攻撃で特に警戒すべきなのは、「パスワードを盗まなくても、アカウントを乗っ取れる」という手口です。

拡張機能はブラウザのクッキーやアクティブなセッショントークンを静かにコピーします。このセッショントークンを奪えば、攻撃者は多要素認証（MFA）を完全に回避してアカウントに直接アクセスできます。実際のパスワードすら必要なく、企業のメール、金融ダッシュボード、社内ポータルへの不正侵入が可能になります。

「多要素認証を設定しているから安全」と思っていた方も要注意です。セッショントークン（ログイン中であることを証明する一時的な鍵）を盗まれると、その認証プロセス自体をまるごとスキップされてしまうからです。

Telegramのセッション盗用は特に深刻で、ジャーナリストや活動家など、安全な通信手段としてTelegramを使っている人々にとって重大な脅威となります。15秒ごとにセッションデータを盗むことで、攻撃者は被害者のTelegramアカウントをリアルタイムで「ミラー」し、全メッセージ、連絡先、チャンネル情報にアクセスし続けることができます。

企業・組織への影響も見過ごせません。社員が個人のPCや会社支給PCのChromeにこうした拡張機能をインストールしていれば、業務システムのログイン情報やクラウドサービスのセッションが丸ごと流出する可能性があります。テレワーク普及後の現在、ブラウザは業務の中枢であり、「ブラウザが乗っ取られる＝業務全体が乗っ取られる」とも言える状況です。

さらに、バックドア機能を持つ拡張機能は「今日は無害に見えても、明日から悪意ある命令を受け取る可能性がある」という点が本質的な恐ろしさです。C2インフラから新しいコマンドを配信するだけで、普通のゲーム拡張機能が突如として認証情報を窃取するスパイウェアに変化します。ユーザー側に見える更新は一切なく、です。

私たちはどう対応すべきか？──今すぐできる5つの行動

〜「入れない・確認する・消す」の習慣が唯一の防衛線〜

今すぐ以下の対応を行ってください。

まず、ブラウザのアドレスバーに chrome://extensions と入力し、インストール済みの拡張機能一覧を表示してください。Socket社が公開している108個の拡張機能リスト（The Hacker Newsの記事より確認可能）と照合し、該当するものがあれば即刻削除します。

次に、Telegramをご利用の方はスマートフォンのTelegramアプリを開き、「設定 → デバイス → すべてのセッションを終了」を実行してください。被害を受けた可能性があるユーザーには、Telegramのモバイルアプリからすべてのウェブセッションをログアウトすることが推奨されています。

Googleアカウントについても、「Googleアカウント → セキュリティ → サードパーティへのアクセス」から、見覚えのないアプリやサービスへのアクセス許可をすべて取り消しておきましょう。

今後の予防策としては、以下の3点が有効です。拡張機能はインストール数を最小限にすること、権限を求めすぎる拡張機能（「すべてのサイトのデータの読み取りと変更」などを要求するもの）は避けること、定期的に使っていない拡張機能を削除することです。

企業のIT管理者であれば、ポリシーによって社内PCにインストール可能な拡張機能を承認リスト制（ホワイトリスト制）で管理することが最善策です。

まとめ

今回の事件が示しているのは、「Googleが認めたストアにあるから安全」という常識が、もはや通用しなくなったという現実です。108個という規模感、共有C2インフラ、MaaSモデルの疑いと、攻撃の組織性・専門性は年々高度化しています。

私たちが身を守るために最も重要なのは、拡張機能を「便利なおまけ」として軽く考えずに、「ブラウザへのアクセス権を与える契約」だと意識することです。一つひとつの拡張機能が要求する権限は何か、本当に必要なのかを自問する習慣が、デジタル社会における個人情報保護の第一歩となります。Chromeウェブストアのあり方を問う声は今後さらに高まるでしょう。その動向にも注目です。

参考文献・出典元

The Hacker News「108 Malicious Chrome Extensions Steal Google and Telegram Data, Affecting 20,000 Users」