Socketの脅威リサーチチームは2026年6月12日、Chromeウェブストアで配布されていた「ライブ壁紙」系拡張機能152個が、データを収集しないと表示しながら、IPアドレスやISP、クリック数などを記録し、Google AdSenseやDoubleClick、Google Analyticsと共有していたと報告した。
152個は単一コードベースから作られ、38のパブリッシャーアカウントと、tabplugins[.]com、yowgames[.]com、chromewallpaper[.]comの3ブランドに分散し、合計約105,000ユーザーを報告していた。うち54個はインストール時にutm_source=google&utm_medium=organic付きのタブを開き、Googleのオーガニック検索経由の訪問を偽装した。
141個のサービスワーカースクリプトに共通の挙動が確認され、11個はすでに削除された。なお参照元のCyber Security News記事は2026年6月14日に公開されている。
From: 
152 Chrome Extensions Hide Ad Tracking and Fake Google Search Traffic
【編集部解説】
今回の調査でまず押さえておきたいのは、これが「ウイルスに感染してパソコンを乗っ取られる」類の話ではない、という点です。一次情報であるSocketは、141個すべてのバックグラウンドスクリプトを解析した結果、fetch や eval といった外部コードを呼び出す命令が一切含まれていないことを確認しています。リスクの本質は端末の侵害ではなく、「あなたの存在が、知らないうちに広告の数字を水増しする駒として使われる」ことにあります。
では何が起きているのか。鍵は「オーガニック検索の偽装」という耳慣れない手口です。
Webサイトへの訪問者は、解析ツール上で「どこから来たか」が記録されます。なかでも「Googleで検索して、広告ではない普通のリンクをクリックして来た人」――つまりオーガニック検索経由の訪問は、最も価値が高いとされます。お金で買った訪問ではなく、自然な人気の証だからです。
この拡張機能は、その「自然な人気」の信号を人工的に製造していました。インストールされた瞬間、拡張機能が勝手にタブを開き、そのアクセスに「Google検索から来た」という偽の標識を貼り付けるのです。
さらに巧妙なのがアンインストール時の挙動です。Googleが本物の検索結果クリックに付与する署名付きトークン(ved・usg)まで模倣したURLを発火させるため、一般的なアクセス解析や目視の確認では、人間がGoogle検索結果をクリックしたように見えやすくなります。これにより運営者は、広告主やアフィリエイト先に対し「うちはこんなに自然な人気があります」と偽の実績を提示できるわけです。
影響範囲は、報告ベースで約105,000ユーザー。ただしChromeの表示が概数で丸められる仕様のため、実数はこれを上回る可能性があります。152個が38のパブリッシャーアカウントに意図的に分散されていたのは、1つのアカウントが削除されても残りが生き延びる「テイクダウン耐性」を狙った設計だと、Socketは分析しています。
注目すべきは、Socketが脅威の出どころを断定していない点です。owhitドメインの連絡先名や、トルコの地域コードを思わせる手がかりから「トルコの可能性」に言及しつつも、状況証拠にすぎず確証はないと明言しています。安易な犯人特定をしない、この抑制された筆致こそ、一次情報を読む価値だと感じます。
規制とプラットフォームの観点では、この事案は明確な「規約違反」です。Chromeウェブストアの「データを収集しない」という表示と、リンク先のプライバシーポリシー(IPやISP、クリック数を記録しGoogle AdSense等と共有すると明記)が真っ向から矛盾しており、Googleの開発者ポリシーは、この種の食い違いを全アカウント停止の対象としています。審査をすり抜けた壊れたコードの拡張機能まで存在したことは、ストア審査の限界も同時に映し出しています。
長期的な視点で考えると、ここで起きているのは「広告経済の信頼性」という土台への静かな侵食です。計測データが汚染されれば、広告費は実体のない人気に流れ、まじめにコンテンツを作る側が不利益を被ります。私たち利用者にとっての教訓はシンプルで、「無料の壁紙」が何で対価を回収しているのかを、一度立ち止まって考える習慣を持つこと。便利さの裏側を読み解く力こそ、これからのデジタル社会を生き抜く基礎体力になるはずです。
【用語解説】
Socket(ソケット)
ソフトウェアサプライチェーンのセキュリティを手がける企業。今回の152拡張機能を発見・解析した脅威リサーチチームを擁する。本件の一次情報源だ。
Chrome拡張機能(Chrome Extensions)
ブラウザChromeに機能を追加する小さなプログラム。今回は「新規タブを開くと壁紙が表示される」タイプが悪用された。
オーガニック検索(Organic Search)
広告ではなく、検索結果の通常リンクをクリックして訪問すること。「自然な人気」の指標とされ、アクセス解析上で最も価値の高いトラフィックと見なされる。今回はこの信号が人工的に偽造された。
サービスワーカー(Service Worker)
拡張機能やWebサイトがバックグラウンドで動かす常駐スクリプト。ユーザーが操作していなくても処理を実行できる。
IndexedDB
ブラウザ内にデータを保存する仕組みの一つ。今回の拡張機能は、起動のたびにこれを全消去する未開示の挙動を備えていたが、実際には何も保存しておらず空振りだった。
MV3(Manifest V3)
Chrome拡張機能の最新仕様。各拡張機能は独立した領域で動作し、他サイトのデータには触れられない設計になっている。
utmパラメータ
URL末尾に付け、訪問の流入元を解析ツールに伝える標識。今回は「Google検索から来た」と偽る標識が仕込まれた。
ved / usgトークン
Googleが本物の検索結果クリックに付与する署名付きの識別子。これを模倣することで、拡張機能由来のアクセスを人間のクリックに偽装した。
ヘッダービディング(Header Bidding / Prebid)
複数の広告枠を同時に競売にかけ、最高額の広告を表示する仕組み。誘導先サイトの収益化に使われていた。
PUP(Potentially Unwanted Program)
明確なウイルスではないが、ユーザーに不利益をもたらしうる「望ましくない可能性のあるプログラム」。今回の拡張機能群はこれに分類される。
【参考リンク】
Socket(公式サイト)(外部)
本件を解析した米サンフランシスコのセキュリティ企業。拡張機能やオープンソースの不正な挙動を検出しブロックする基盤を提供する。
Socket調査ブログ(本件の一次情報)(外部)
今回の152拡張機能ネットワークの全解析。コード断片や感染指標、拡張機能IDの全リストまで網羅した一次情報レポートだ。
Chromeウェブストア(外部)
問題の拡張機能が配布されていたGoogle公式ストア。各拡張機能の「プライバシー慣行」タブの記載もここで確認できる。
Chromeウェブストア デベロッパープログラムポリシー(外部)
開発者が守るべき規約。プライバシー表示と実際のポリシーの矛盾を違反と定め、全アカウント停止の対象とする根拠が記されている。
Google AdSense(外部)
誘導先サイトが収益化に利用していたGoogleの広告配信サービス。本件で偽装された不正トラフィックの換金先の一つとなっていた。
Prebid(Prebid.org)(外部)
ヘッダービディングのオープンソース基盤。2017年設立の独立組織Prebid.orgが管理し、誘導先サイトの広告入札の中核を担う技術だ。
【参考動画】
Socket創業者フェロス・アブハディジェ氏が、同社プラットフォームの仕組みを実演する公式デモ。今回の調査主体がどのような技術で不正を検出しているかを理解する助けになる。
【参考記事】
152 Chrome Live Wallpaper Extensions Hid Ad Tracking and Faked Google Search Traffic(Socket/一次情報)(外部)
152拡張機能・38アカウント・約10万インストール・54個の検索偽装という主要数値を解析した一次情報。出どころは断定していない。
Malicious Chrome Extensions Manipulate Google Organic Search Metrics(Cyberpress)(外部)
同じ数値を確認しつつ、単一テンプレートを多数アカウントに分散する「テイクダウン耐性」と、2チーム関与の可能性を強調する記事だ。
Malicious 152 Chrome Extensions Caught Spoofing Google Organic Search Traffic(GBHackers)(外部)
主要数値を報じる一方「壊滅(dismantled)」と表現。削除済みは11個のみという一次情報の実態とは温度差がある点に留意したい。
What is Prebid.org?(Prebid.org公式ドキュメント)(外部)
Prebid.orgが2017年設立の独立組織であると明記。参考リンクのPrebid提供主体に関する記述の訂正根拠として参照した資料だ。
【関連記事】
Urban VPN Proxyが800万人のAI会話を収集・販売 Chrome「注目」バッジの拡張機能で発覚
「データを集めない」表示と実態の乖離、拡張機能による収益化という論点が本件と重なる関連事案だ。
Microsoft警告:ChromeのAI拡張機能に潜む罠—ChatGPT・DeepSeekの会話履歴が密かに流出
アンインストール時に別タブを自動で開くなど、今回の手口と通じる挙動が確認された事例である。
Google Chrome、拡張機能の安全性向上に専門チームを設置
審査をすり抜けた今回の事案と対をなす、Google側の監視強化策を伝えるポジティブな取り組みだ。
【編集部後記】
正直に言うと、私の手元のブラウザにも、いつ入れたか思い出せない拡張機能がいくつか居座っています。今回の取材を進めながら、その一覧をそっと開いてみました。便利さと引き換えに、私たちは何を差し出しているのか――その問いに、ふだんはあまり目を向けていなかったと気づかされます。
この事案で印象的だったのは、被害が「壊された」という形ではなく、「いつの間にか数字の一部にされていた」という、静かで見えにくい形をとっていたことです。だからこそ、たまに立ち止まって確かめる小さな習慣が、いちばんの守りになるのだと思います。みなさんのブラウザには今、どんな拡張機能が並んでいるでしょうか。よければ一度、一緒に見直してみませんか。
