セキュリティ企業Koi Securityは、17のMozilla Firefoxアドオンに悪意のあるJavaScriptコードが埋め込まれていたことを発見した。GhostPosterと名付けられたこのキャンペーンでは、ロゴファイルを悪用してマルウェアを配信していた。これらの拡張機能は合計で5万回以上ダウンロードされており、現在は入手できなくなっている。
対象となったアドオンは、VPN、スクリーンショットツール、広告ブロッカー、Google翻訳の非公式版として宣伝されていた。最も古いものは2024年10月25日に公開されたDark Modeである。セキュリティ研究者のLotan SeryとNoga Gouldmanによると、マルウェアはアフィリエイトリンクの乗っ取り、トラッキングコードの注入、セキュリティヘッダーの削除、隠しiframeの注入、CAPTCHAバイパスなどを実行する。ローダーは外部サーバー(www.liveupdt[.]comまたはwww.dealctr[.]com)から48時間ごとにペイロードを取得し、検出回避のため10%の確率でのみ実行される。インストール後6日以上経過するまでマルウェアは起動しない仕組みも組み込まれている。
From: 
GhostPoster Malware Found in 17 Firefox Add-ons with 50,000+ Downloads
【編集部解説】
今回のGhostPosterキャンペーンは、ブラウザ拡張機能のエコシステムが抱える構造的な脆弱性を改めて浮き彫りにしました。特に注目すべきは、攻撃者が採用した巧妙な検出回避技術です。
マルウェアがロゴファイルという一見無害なリソースにコードを隠蔽する「ステガノグラフィ」手法は、従来の静的解析では発見が困難です。さらに、ペイロードの取得確率を10%に制限し、起動までに6日以上の遅延を設けることで、セキュリティ研究者やサンドボックス環境での検証を巧みに回避しています。
この事案で見逃せないのは、被害の範囲が単なる広告詐欺に留まらない点です。セキュリティヘッダーの削除によって、ユーザーは本来ブラウザが提供する保護機能を失い、クリックジャッキングやクロスサイトスクリプティングといった二次的な攻撃にさらされます。つまり、最初の感染が新たな攻撃の踏み台となる可能性があるのです。
また、TaobaoやJD.comといった中国のeコマースプラットフォームを標的としたアフィリエイト詐欺の手口は、攻撃者が特定の地域や言語圏のユーザーを意識していることを示唆しています。実際、拡張機能のリストには中国語の名称も含まれており、グローバルな攻撃キャンペーンの一環と考えられます。
無料VPN拡張機能が繰り返し悪用される背景には、プライバシーへの関心の高まりと、その裏返しとしてのセキュリティリテラシーの不足があります。Koi Securityが指摘する通り、「無料」という言葉の対価は、多くの場合、ユーザー自身のデータとプライバシーなのです。
【用語解説】
ステガノグラフィ
画像や音声ファイルなどの一見無害なデータの中に、秘密情報を隠蔽する技術。本件では、ロゴファイル内にマルウェアコードを埋め込むことで、通常のセキュリティチェックを回避した。
ペイロード
マルウェアが実際に実行する悪意のある機能やコード本体を指す。本件では、アフィリエイト詐欺やトラッキングなどを行う実行コードがペイロードに該当する。
C2(コマンド・アンド・コントロール)インフラストラクチャ
攻撃者がマルウェアに指令を送ったり、盗んだデータを受信したりするためのサーバー群。本件では「www.liveupdt[.]com」と「www.dealctr[.]com」が使用された。
クリックジャッキング
ユーザーに気づかれないように透明なレイヤーを重ねることで、意図しないクリックをさせる攻撃手法。セキュリティヘッダーが削除されることで、この攻撃が可能になる。
クロスサイトスクリプティング(XSS)
Webサイトに悪意のあるスクリプトを注入し、他のユーザーのブラウザ上で実行させる攻撃手法。Content-Security-Policyヘッダーの削除により、この攻撃のリスクが高まる。
アフィリエイトリンクハイジャック
正規のアフィリエイトリンクを攻撃者のものに置き換え、本来の紹介者が得るべき報酬を横取りする手法。
【参考リンク】
Mozilla Firefox Add-ons(外部)
Firefoxブラウザの公式拡張機能ストア。今回の悪意ある拡張機能が配布されていたプラットフォーム。
Koi Security(外部)
GhostPosterキャンペーンを発見したサイバーセキュリティ企業。ブラウザ拡張機能の脅威分析を専門としている。
The Hacker News(外部)
サイバーセキュリティ関連のニュースを専門に扱う情報メディア。本記事の情報源である。
Taobao(淘宝網)(外部)
中国の大手eコマースプラットフォーム。本件のマルウェアがアフィリエイト詐欺の標的としていたサイトの一つ。
JD.com(京東)(外部)
中国の大手eコマースプラットフォーム。Taobaoと並んで、本件のアフィリエイト詐欺の標的とされた。
【参考記事】
Malicious Firefox add-ons with 50K downloads hijacked affiliate links(外部)
BleepingComputerによる報道。GhostPosterキャンペーンの技術的詳細を解説。
GhostPoster: Malicious Firefox Extensions Steal Your Browsing Data(外部)
発見者Koi Securityの公式ブログ。10%の確率によるペイロード取得など詳細な動作メカニズムを解説。
【編集部後記】
ブラウザ拡張機能は私たちの日常に深く溶け込んでいますが、その便利さの裏側にあるリスクについて、改めて考える機会かもしれません。みなさんは普段、どのような基準で拡張機能を選んでいますか。「無料」という言葉に惹かれて、つい開発元の確認を怠ってしまうことはないでしょうか。
今回の事案は、「便利さ」と「安全性」のバランスをどう取るべきか、私たち一人ひとりに問いかけています。拡張機能のレビュー確認や定期的な見直しなど、小さな習慣の積み重ねが、デジタル空間での自衛につながるのかもしれません。
