Google Chromeの拡張機能は、私たちのインターネット生活に欠かせないツールです。広告をブロックし、パスワードを管理し、作業効率を劇的に向上させる――その恩恵は計り知れません。私たちは、これらの便利なツールを当たり前のように信頼し、日々のブラウジングに組み込んでいます。
しかし、その信頼の裏側で、静かに、そして深刻な脅威が進行していることが明らかになりました。
サイバーセキュリティ企業LayerX Securityの最新の報告によると、「悪意あるスリーパー(潜伏者)エージェント拡張機能」のネットワークが発見されたのです。これらは、一見すると便利な音量管理ツールやその他のユーティリティとして振る舞いながら、攻撃者からの「号令」を待ち、あなたのコンピューター上で悪意ある活動を開始する機会を虎視眈々と狙っています。
この記事は、単なる警告を鳴らすためのものではありません。この新たな脅威の本質を、ITに詳しくない方にも分かりやすく解き明かし、あなたのデジタルライフを守るための具体的な行動を促すための包括的なガイドです。
なぜ便利なツールがスパイに豹変するのか、その手口はどのようなものか。そして最も重要なこととして、どの拡張機能を今すぐ削除すべきか、未来の脅威から身を守るためにはどうすればよいのか。
そのすべてを、ここに明らかにします。
第0章:この記事の音声解説!
この記事の作成準備はGoogleのNotebook LMで作業。Notebook LMに、必要なソース情報を登録していろいろ分析。その際、Notebook LMでは、それらの情報をまとめた音声解説を自動生成できます。それを公開することにしました。
なお、この解説音声はAIによる自動生成なので、思わずつっこみたくなる誤読がちょいちょいありますが、編集できませんので、ご容赦ください。
本記事を読むだけでなく、この音声解説を聞くことで、記事のテーマ「Chrome拡張機能のリスク」の理解が深まると思います!
【Chrome拡張機能のリスクについての音声解説】
第1章:Chrome拡張機能に潜む根本的なリスク!
便利ツール、Chrome拡張機能の根本的リスクをまとめました。
「デジタルな家の鍵」を渡すということ
Chrome拡張機能のインストールは、スマートフォンにアプリを入れるような手軽な行為とは根本的に異なります。それはむしろ、見知らぬ業者に「自宅の合鍵」を渡す行為に似ています。一度鍵を渡してしまえば、その業者はあなたが何をしているかを覗き見し、郵便物を読み、最悪の場合、鍵を勝手に交換することさえ可能になります。
この「鍵」にあたるのが、インストール時に求められる「権限(パーミッション)」です。Google自身も、最も危険度の高い「高リスク」な権限を許可すると、拡張機能が「パソコンと閲覧したウェブサイト上のすべてのデータにアクセス」できるようになると警告しています。これには、ウェブカメラの映像や個人のファイルといった、ブラウザの枠を超えた情報まで含まれる可能性があります。この強力な権限こそが、拡張機能の利便性の源泉であり、同時に最大の危険性の源泉でもあるのです。
攻撃者が狙う「宝の山」
では、攻撃者はその強力な権限を使って、具体的に何を狙っているのでしょうか。その目的は多岐にわたり、私たちのデジタルライフの根幹を揺るがすものばかりです。
- 個人情報と金融情報:
- ログインID、パスワード、クレジットカード情報など、金銭に直結する最も重要なデータを盗み出します。
- 機密情報:
- 閲覧履歴、医療記録、プライベートなメッセージといった、他人に知られたくない情報も標的となります。
- セッションハイジャック:
- 「クッキー」や「セッショントークン」と呼ばれるログイン状態を維持するための情報を盗み、パスワードを知らなくてもメールやSNSアカウントを乗っ取ります。
- 企業への侵入:
- 従業員のブラウザを足がかりに、社内システムや機密データにアクセスします。個人のリスクが、瞬時にして企業全体を巻き込む重大なセキュリティ侵害へと発展します。
- その他の悪意ある活動:
- 偽の広告を注入したり、詐欺サイト(フィッシングサイト)へ誘導したり、あなたのPCの計算能力を勝手に使って暗号資産(仮想通貨)を採掘(マイニング)したりすることもあります。
公式ストアという「幻想」:崩れ始めた安全神話
多くの人が「公式のChromeウェブストアにあるのだから安全だろう」と考えています。しかし、この考えはもはや通用しません。
ウェブストアの審査プロセスは、自動チェックと手動チェックを組み合わせたものですが、決して完璧ではありません。驚くべきことに、開発者はわずか5ドルの登録料を支払うだけで、誰でも簡単に拡張機能を公開できるのです。
ここに、攻撃者が悪用する決定的な脆弱性が存在します。彼らはまず、完全に無害でクリーンな拡張機能を公開し、審査を通過させます。そして、ユーザーがインストールしてしばらく経った後、自動更新の仕組みを利用して悪意のあるコードを追加するのです。この手口により、最初の審査を巧みに回避します。
さらに致命的なのは、Googleがマルウェアと認定してストアから削除したとしても、その拡張機能はユーザーのブラウザから自動的にアンインストールされないという事実です。脅威を完全に取り除く責任は、最終的にユーザー自身に委ねられているのです。
この状況は、Chromeウェブストアのエコシステムが抱える構造的な欠陥を浮き彫りにしています。誰でも匿名性の高い開発者になれる低い参入障壁、後から悪意を注入できる更新システム、そして発覚後もユーザーの環境に脅威が残り続ける仕様。
これらが組み合わさることで、攻撃者にとっては活動しやすく、ユーザーにとっては非常に危険な環境が意図せずして作り出されているのです。ストアの活気を生み出す仕組みそのものが、皮肉にも危険の温床となっているのが現状です。
第2章:「スリーパーエージェント」の手口を完全解剖
「スリーパーエージェント」型攻撃は、従来のマルウェアとは一線を画す、巧妙かつ悪質な手口です。LayerXが報告した「Sleeper Sound」や、Koi Securityが報告した「RedDirection」といったキャンペーンを例に、その攻撃サイクルを解剖します。
信頼を裏切り者に変える「4段階攻撃サイクル」
この攻撃は、ユーザーの信頼を時間をかけて醸成し、それを悪用する点で非常に狡猾です。
- 潜入(Infiltration):
- 攻撃者はまず、音量ブースター、天気予報アプリ、カラーピッカーといった、実際に役立つ拡張機能を開発、あるいは既存のものを買収します。これらをChromeウェブストアで公開し、便利なツールとしてユーザーの評価と信頼を獲得し始めます。中には、Googleから「おすすめ」バッジを与えられ、偽りの信頼性を得るケースさえあります。
- 潜伏(Incubation):
- これが「スリーパー(潜伏)」期間です。拡張機能は数週間、数ヶ月、時には数年もの間、宣伝文句通りに完璧に動作します 。この期間を通じて、ユーザーは拡張機能を「安全で便利なツール」として認識し、警戒心を完全に解いてしまいます。これは一種の心理的な刷り込みと言えるでしょう。
- 覚醒(Activation):
- 潜伏期間を終えた攻撃者は、悪意のあるコードを含んだアップデートを配信します。このアップデートはChromeによってユーザーの操作なしに自動的にインストールされます。新たに追加されたコードには「バックドア」が仕込まれており、外部の「C2(コマンド&コントロール)サーバー」に接続し、攻撃者からの「号令(marching order)」を待ち受けます 2。この通信は、セキュリティソフトの検知を逃れるため、暗号化や難読化が施されていることがほとんどです。
- 実行(Execution):
- C2サーバーから指令を受け取ると、拡張機能はついにその牙を剥きます。訪問したウェブサイトのURLをすべて収集したり、偽のログインページに強制的にリダイレクトさせたり、閲覧中のページからデータを盗み出したりといった、本来の悪意ある活動を開始するのです。
進化する騙しのテクニック
攻撃者の手口は、年々巧妙化しています。
- 有名ブランドへのなりすまし:
- FortiVPN、Calendly、DeepSeek AIといった、ビジネスシーンで広く使われている有名ブランドを模倣した拡張機能を作成します。
calendly-daily.comのように本物と紛らわしいドメイン名を取得し、サポート用のメールアドレスも正規のものに見せかけることで、ユーザーを巧みに騙します。
- FortiVPN、Calendly、DeepSeek AIといった、ビジネスシーンで広く使われている有名ブランドを模倣した拡張機能を作成します。
- AIによる詐欺の量産:
- AIツールを駆使して、プロが作成したかのようなウェブストアの紹介ページを短時間で大量に自動生成します。複数の異なる偽の拡張機能ページが、酷似した構成や文言を持っているのは、単一のグループがAIを使って量産している有力な証拠です。
これらの手口は、単なる技術的な攻撃以上の意味を持っています。スリーパーエージェント戦術は、ユーザーの「信頼」そのものを兵器化する、社会工学的な攻撃モデルへの移行を象徴しています。従来のマルウェアがフィッシングメールのような一瞬の油断を突くのに対し、この手口は長期間にわたってユーザーに本物の価値を提供し、信頼関係を築きます。
これにより、ユーザーの中には「このツールはいつも通り安全だ」という認知バイアス(正常性バイアス)が形成されます。その結果、悪意あるアップデートが配信されても、ユーザーは心理的にそれを受け入れやすくなってしまうのです。攻撃対象はブラウザのセキュリティだけでなく、ユーザーの判断力そのもの。だからこそ、この手口はより陰湿で、効果的なのです。
第3章:【緊急対策】今すぐ確認・削除すべき危険な拡張機能リストと削除方法
これまでの章で解説した脅威は、不安を煽るものだったかもしれません。しかし、ここからは具体的な対策に移ります。既知の脅威に対する最も効果的な防御は、それを即座に排除することです。
この章では、あなたのブラウザを今すぐ守るための、具体的な手順を示します。
危険な拡張機能の統合リスト
以下に示すのは、LayerX、Koi Security、Malwarebytesといった複数のセキュリティ機関からの報告を統合し、一つの「マスターリスト」としてまとめたものです。
ご自身のブラウザにインストールされている拡張機能と照らし合わせ、該当するものがないかを確認してください。
| 拡張機能名 (Extension Name) | 脅威の種類 (Threat Type) | 発見した機関/レポート (Source) | |
| — LayerX “Sleeper Sound” Report — | |||
| Volume Booster | スリーパーエージェント、悪意あるC2通信 | LayerX | |
| Sound Booster | スリーパーエージェント、悪意あるC2通信 | LayerX | |
| Music Saver | スリーパーエージェント、悪意あるC2通信 | LayerX | |
| (その他、同レポートで指摘されたサウンド関連拡張機能) | |||
| — LayerX “Phishing Campaign” Report — | |||
| FortiVPN | フィッシング、データ窃盗、ブランドなりすまし | LayerX | |
| Manus AI | Free AI Assistant | フィッシング、データ窃盗 | LayerX | |
| Calendly Daily | Free Meeting Scheduling Software | フィッシング、データ窃盗、ブランドなりすまし | LayerX | |
| DeepSeek AI Chat | フィッシング、データ窃盗、ブランドなりすまし | LayerX | |
| AI Sentence Rewriter | フィッシング、データ窃盗 | LayerX | |
| Convert PDF to JPG | フィッシング、データ窃盗 | LayerX | |
| Free VPN – Raccoon | Unlimited VPN | フィッシング、データ窃盗 | LayerX | |
| (その他、同レポートで指摘された40以上の拡張機能) | |||
| — Koi Security “RedDirection” / Malwarebytes Report — | |||
| Color Picker, Eyedropper — Geco colorpick | スリーパーエージェント、C2バックドア、スパイ活動 | Koi Security | |
| Emoji keyboard online | ブラウザハイジャック、スパイ活動 | Malwarebytes | |
| Free Weather Forecast | ブラウザハイジャック、スパイ活動 | Malwarebytes | |
| Unlock Discord | ブラウザハイジャック、スパイ活動 | Malwarebytes | |
| Dark Theme | ブラウザハイジャック、スパイ活動 | Malwarebytes | |
| Volume Max | ブラウザハイジャック、スパイ活動 | Malwarebytes | |
| Unlock TikTok | ブラウザハイジャック、スパイ活動 | Malwarebytes | |
| Unlock YouTube VPN | ブラウザハイジャック、スパイ活動 | Malwarebytes |
簡単!拡張機能の削除方法
リストに該当する拡張機能が見つかった場合、以下の手順で速やかに削除してください。
- ステップ1:拡張機能メニューを開くChromeブラウザの右上にある、ジグソーパズルのピースのようなアイコン(🧩)をクリックします。
- ステップ2:拡張機能の管理画面へ表示されたメニューの下部にある「拡張機能を管理」をクリックします。
- ステップ3:探して削除するインストールされているすべての拡張機能の一覧が表示されます。上記のリストと慎重に照らし合わせ、該当する拡張機能の「削除」ボタンをクリックします。
- ステップ4:削除を確定する確認のポップアップが表示されますので、再度「削除」をクリックします。これで、あなたのブラウザから脅威は取り除かれました。
プロのヒント: ツールバーにアイコンが表示されている拡張機能は、そのアイコンを右クリックして「Chromeから削除」を選択するだけで、より素早く削除できます。
削除後のクリーンアップ
悪意のある拡張機能を削除した後も、安心はできません。専門家が推奨する以下の追加措置を必ず実行してください。
- 閲覧データの消去: 拡張機能によって保存された可能性のある追跡IDを削除するため、閲覧履歴やクッキーを消去します。
- パスワードの変更: 拡張機能が有効だった期間中に利用した、オンラインバンキングやメールなどの重要なアカウントのパスワードを変更します。
- マルウェアスキャンの実行: 信頼できるセキュリティソフトを使用して、PC全体に他のマルウェアが潜んでいないか、フルスキャンを実行します。
第4章:未来の自分を守るために。安全な拡張機能を見抜く「5つのチェックリスト」
既存の脅威を排除することは第一歩に過ぎません。次に重要なのは、新たな脅威の侵入を防ぐことです。今後、新しい拡張機能をインストールする前には、必ずこの「5つのチェックリスト」を使い、あなた自身のセキュリティ担当者として機能させてください。
安全な拡張機能を見抜く5つのチェックリスト
- 開発元を調べるその拡張機能は、GoogleやMicrosoftのような信頼できる大企業が開発したものですか? それとも、匿名の個人が汎用的なGmailアドレスで公開しているものでしょうか。信頼できる開発者は、しっかりとした公式サイトを持ち、評価の高い製品を複数公開していることが多いです。危険信号: 連絡先がフリーメール(調査では54%が該当)であったり、公開している拡張機能が一つしかない(同79%)開発者には、最大限の警戒が必要です。
- 権限を精査するインストール時に表示される権限の許可を求めるポップアップを、決して読み飛ばさないでください。例えば、単なるスクリーンショットツールが「すべてのウェブサイト上のあなたの全データを読み取り、変更する」権限を要求するのは、明らかに過剰です。その機能に対して不釣り合いな権限を要求してきた場合、それは最大級の危険信号です。インストールしてはいけません。
- レビューを批判的に読む高評価と低評価の両方に目を通しましょう。高評価のレビューがすべて短く、似たような内容で、同じ時期に集中して投稿されていませんか? それらは偽のレビュー(サクラ)かもしれません。最近の低評価レビューで、不審な広告表示やデータに関する問題が報告されていないかを確認することは特に重要です。また、最近のレビューが全くない場合も、開発が放棄された(つまりセキュリティが脆弱な)拡張機能である可能性があります。
- プライバシーポリシーを確認する正規の開発者は、どのようなデータを収集し、それをどう利用するのかを明確に記したプライバシーポリシーを必ず提供しています。これは通常、ストアのページからリンクされています。危険信号: プライバシーポリシーが存在しない、あるいは内容が曖昧で理解しにくい場合は、最悪の事態を想定し、インストールを避けるべきです。
- 利用者数と更新日を見る利用者数は偽装される可能性もあり絶対ではありませんが、一般的に多くのユーザーに利用されていること、そして「最終更新日」が最近であることは、良い兆候です。危険信号: 1年以上更新されていない拡張機能は、開発者に見捨てられ、新たなセキュリティの脆弱性が放置されている可能性があります。
これらのチェックリストは、単なる個人の自衛策にとどまりません。
リモートワークが普及し、多くの業務がSaaSアプリケーション上で行われる現代において、個人のブラウザセキュリティは企業全体のセキュリティと直結しています。
多くの人が、プライベートなSNS利用と、会社の機密情報にアクセスする業務利用を同じブラウザで行っています。
個人的な目的でインストールした悪意のある拡張機能(例えばYouTubeの広告スキップツール)は、そのブラウザ内のすべての情報にアクセス可能です。
これにより、企業のSaaSアプリのログイン情報(セッショントークン)が盗まれ、多要素認証さえも迂回されて、企業システムに侵入される恐れがあるのです。
LayerXのレポートによれば、企業の従業員の99%が最低1つ、半数以上が危険な権限を持つ拡張機能をインストールしていると指摘されており、このリスクは現実のものです。
もはや、自分のブラウザを守ることは、自分の職場とそのデータを守るという、職業上の責任の一部となっているのです。
まとめ
Chrome拡張機能は強力なツールですが、その力には本質的なリスクが伴います。特に「スリーパーエージェント」という脅威は、私たちの「信頼」を逆手にとる、危険な進化形です。
しかし、いたずらに恐れる必要はありません。防御策は明確です。まず「対処」として、本記事で提供したリストを使い、今すぐブラウザに潜む脅威を排除してください。次に「予防」として、今後すべてのインストールにおいて「5つのチェックリスト」を実践してください。
この記事の目的は、あなたを拡張機能から遠ざけることではなく、賢く安全に使いこなすための知識で武装することです。常に警戒心を持ち、情報を武器にすることで、あなたはブラウザのセキュリティの主導権を取り戻し、パーソナライズされたウェブの利便性を、安全かつ自信を持って享受し続けることができるでしょう。
参照情報
今回、記事を書くにあたっての調査では、AIツール・GeminiのDeep Research機能を活用しました。
GeminiのDeep Researchについては、こちらの記事を参照ください。
- Our Blog – LayerX Security
https://layerxsecurity.com/blog/ - Sleeper Sound: LayerX Uncovers Malicious “Sleeper” Sound Management Extensions with Nearly 1.5 Million Users Worldwide
https://layerxsecurity.com/blog/sleeper-sound-layerx-uncovers-malicious-sleeper-sound-management-extensions-with-nearly-1-5-million-users-worldwide/ - Executive Viewpoint Archives – LayerX Security
https://layerxsecurity.com/blog/category/executive-views/ - アプリや拡張機能によりリクエストされる権限 – Chrome ウェブストア ヘルプ
https://support.google.com/chrome_webstore/answer/186213?hl=ja - Malicious Browser Extensions, A Growing Threat | Seraphic Blog
https://seraphicsecurity.com/resources/blog/malicious-browser-extensions-are-on-the-rise/ - Malicious Browser Extensions Are Security Threats – Spin.AI
https://spin.ai/blog/the-escalating-threat-of-malicious-browser-extensions-how-to-protect-your-organization/ - 【警告】150万台が感染!Chrome拡張機能に潜むマルウェアとは? – YouTube
https://www.youtube.com/watch?v=kov_DIu9uDE - Malicious Browser Extensions: Threats and Security Solutions – LayerX
https://layerxsecurity.com/blog/malicious-browser-extensions-threats-and-security-solutions/ - A Study on Malicious Browser Extensions in 2025 – arXiv
https://arxiv.org/html/2503.04292v1 - LayerX Reveals 40+ Malicious Browser Extensions – LayerX
https://layerxsecurity.com/blog/layerx-reveals-40malicious-browser-extensions/ - Chromeの拡張機能(アドオン)は、利用もおすすめも慎重に。リスクを十分に知っておくこと – note
https://note.com/hasebee/n/n993f70c1df59 - Millions of people spied on by malicious browser extensions in …
https://www.malwarebytes.com/blog/news/2025/07/millions-of-people-spied-on-by-malicious-browser-extensions-in-chrome-and-edge - Chrome拡張機能のウェブストア公開手順(申請時の注意点と対処法) – Singleton
https://singleton-mah.blogspot.com/2021/05/publish-chrome-web-store.html - 18 Malicious Chrome and Edge Extensions Disguise as Everyday …
https://www.infosecurity-magazine.com/news/18-malicious-chrome-edge-extensions/ - 拡張機能を削除する方法(Google Chrome / Mozilla Firefox / Chromium ベースの Microsoft Edge) – カスペルスキー サポート
https://support.kaspersky.co.jp/common/windows/13590 - 【Chrome】拡張機能(アドオン)を削除する方法 5選 | 情シスの自由帳
https://jo-sys.net/chrome-extension/ - アプリや拡張機能をアンインストールする – Chromebook ヘルプ
https://support.google.com/chromebook/answer/2589434?hl=ja - Google Chrome 拡張機能の安全性チェック: 使う前に確認すべきポイント – Dyno
https://dyno.design/articles/google-chrome-extension-security-check/ - Chrome 拡張機能はすべて安全なのでしょうか? – Keeper Security
https://www.keepersecurity.com/blog/ja/2022/10/19/are-all-chrome-extensions-secure/ - LayerX Security ‘Enterprise Browser Extension Security Report 2025’ Finds Widespread Usage Makes Nearly Every Employee an Attack Vector | Morningstar
https://www.morningstar.com/news/globe-newswire/9422523/layerx-security-enterprise-browser-extension-security-report-2025-finds-widespread-usage-makes-nearly-every-employee-an-attack-vector - 便利だけど選び方に注意!Google Chrome™の拡張機能
https://www.insource-da.co.jp/dxpedia/03_0045.html - Google Chromeの拡張機能が安全か確認する方法!認証マークがポイント – ライフハッカー
https://www.lifehacker.jp/article/2205how-to-know-if-a-google-chrome-extension-is-safe-to-use/ - そのブラウザ拡張機能、大丈夫?を確認する方法 – ギズモード・ジャパン
https://www.gizmodo.jp/2019/01/it-s-time-to-audit-all-the-extensions-youve-installed.html - LayerX Security – The Enterprise Browser Extension
https://layerxsecurity.com/ - Newsroom – LayerX Security
https://layerxsecurity.com/newsroom/
コメント