Chrome・Edge向けブラウザ拡張機能145本以上が、7年間にわたりスパイウェアとして機能していた事件が発覚した。被害規模は430万インストールに達し、収集されたデータは中国国内のサーバー群に送信されていた。
- 対象:Chrome / Edge ブラウザ拡張機能群
- 攻撃者:ShadyPanda(Koi Security命名)
- 安全性レベル:0(使用不可)
- 厚黒学レベル:-15(補鍋法・段階的侵入の典型)
- 支配国(名目国):中国(シンガポール等経由)
エグゼクティブ・サマリー
本事件は単なるマルウェア事案ではない。「便利な無料ツール」を入口として、ユーザーのデータとシステム権限を長期間にわたり収奪する「デジタル冊封体制」の典型的実装例である。
- 法務判定:即座に使用停止・全社調査必須
- 技術判定:RCE(リモートコード実行)バックドア確認、極めて危険
-
主要リスク:
- 閲覧履歴・検索クエリの全量収集
- 認証Cookie・セッショントークンの窃取
- 任意JavaScriptの遠隔実行(バックドア)
- 中国国内サーバーへのデータ集約
- 国家情報法による政府アクセス義務
事件概要
発覚経緯
2024年末、セキュリティ企業Koi Securityの調査により、Chrome Web StoreおよびMicrosoft Edge Add-onsで配布されていた145本以上の拡張機能が、組織的なスパイウェアキャンペーンの一部であることが判明した1。
被害規模
| 指標 | 数値 |
|---|---|
| 総インストール数 | 約430万 |
| 悪性拡張機能数 | 145本以上 |
| 活動期間 | 約7年(2018年頃〜2024年) |
| 主要被害拡張 | WeTab(300万+)、Clean Master(30万+) |
攻撃者
Koi Securityは本攻撃グループを「ShadyPanda」と命名。中国ベースのインフラを使用し、Baidu系サーバーおよび中国国内の専用サーバーにデータを送信していたことが確認されている2。
技術的分析
攻撃フェーズの構成
ShadyPandaのキャンペーンは、複数のフェーズで構成される洗練されたサプライチェーン攻撃であった。
Phase 1:アフィリエイト詐欺(2018年〜)
初期段階では、壁紙・生産性ツール系の拡張機能(Chrome 20本、Edge 125本)を通じ、Amazon・eBay・Booking.com等へのリンクにアフィリエイトタグを無断挿入。比較的「軽い」マネタイズから開始した。
Phase 2:検索ハイジャック・Cookie収集
検索結果を独自の検索エンジン経由に書き換え、特定サイトのCookieを取得して外部ドメインへ送信。収益化と情報収集を並行して実施。
Phase 3:RCEバックドア化(Clean Master系)
「Clean Master」等の拡張機能において、約30万インストールに達した時点でバックドア化を実行3。
攻撃フロー:
1. 拡張機能が1時間ごとに api.extensionplay[.]com へ接続
2. サーバーから任意のJavaScriptコードを取得
3. ユーザーのブラウザ内で取得したコードを実行
4. 実行内容は攻撃者が随時変更可能
これにより、拡張機能は事実上の「リモートアクセスツール(RAT)」と化した。
Phase 4:大規模データ収集(WeTab系)
Starlab Technology名義でEdge向けに投入されたWeTab系拡張(5本、計400万インストール超)において、大規模なデータ収集が実行された4。
データ送信先(17ドメイン):
- Baiduがホストするサーバー:8件
- WeTab関連の中国国内サーバー:7件
- Google Analytics:2件
収集データの詳細
複数のセキュリティレポートを総合すると、以下のデータが収集されていた56。
ブラウジング関連
- 訪問した全URL(閲覧履歴の完全な記録)
- 入力中も含む検索クエリ・キーストローク
- HTTPリファラ(どのページからどこへ遷移したか)
- クリック座標(マウスのX/Y座標とターゲット要素)
デバイス・ブラウザ情報
- ユーザーエージェント(ブラウザ種別・OS等)
- 言語設定、画面解像度、タイムゾーン
- フィンガープリント情報一式
認証・セッション関連
- Cookie(セッションCookie含む)
- localStorage / sessionStorageへのアクセス
-
chrome.storage.syncに保存されたUUID等の永続識別子
最後の項目は特に重要である。Chrome同期機能を通じて、ブラウザ再インストールや端末変更後も「同一ユーザー」として追跡継続する設計が施されていた。
主要な悪性拡張機能
| 拡張名 | プラットフォーム | インストール数 | 機能 |
|---|---|---|---|
| WeTab 新标签页 | Edge | 300万+ | 閲覧データ収集・中国送信 |
| Clean Master | Chrome | 20万+ | RCEバックドア |
| Infinity V+ | Chrome/Edge | 不明 | 検索ハイジャック |
パブリッシャー名:
- Starlab Technology(WeTab系)
- nuggetsno15(Chrome)
- rocket Zhang(Edge)
厚黒学的分析
本事件は、中国古典「厚黒学」における「補鍋法」の完璧なデジタル実装である。
補鍋法との対応
【古典・補鍋法】 【ShadyPanda】
鍋の小さな穴を発見 → 「ブラウザを便利にする」と提案
修理すると申し出る → 無料の拡張機能を提供
主人が背を向けた隙に → 信頼獲得後、数年間潜伏
鍋を叩いて亀裂を拡大 → 静かにバックドア化
「もっと修理が必要」と煽る → 機能追加を装い権限拡大
高額な修理代を請求 → データを継続的に収奪
主人は感謝して支払う → ユーザーは「便利」と感謝
厚黒学的要素チェック
本事件で検出された厚黒学的要素:
- 誇張的キャッチコピー(「ブラウザを高速化」等)
- 無料条件の隠蔽(データ収集が真の対価)
- 段階的な権限要求(最初は無害→徐々に拡大)
- ToS深層条項(目立たない箇所でのデータ利用許諾)
- オプトアウト選択肢欠如
- 包括同意強制
- サブプロセッサ不透明(中国サーバーへの送信を非開示)
- 企業秘密による技術詳細開示拒否
- 統合システム連携の非開示
- 「単体サービス」偽装
- バイナリインストール権限濫用
- セキュリティ監査情報の非開示
- AI倫理審査体制の不在
- 一方的責任転嫁
- 虚偽希少性演出(「人気の拡張」表示)
検出要素数:15/18項目 → 厚黒学的リスク:極めて高
デジタル冊封体制としての構造
本事件は、「デジタル冊封体制」の典型的な実装例として理解すべきである。
朝貢と下賜の構造
【ユーザー(朝貢国)】
│
▼ 朝貢
データ(閲覧履歴、Cookie、検索クエリ)
権限(ブラウザ内でのコード実行権)
│
▼
┌─────────────────────────────┐
│ 中華統合監視システム │
│ (Baidu系サーバー等) │
└─────────────────────────────┘
│
▼ 下賜
「便利な機能」(新しいタブ、キャッシュ削除等)
「無料」という恩恵
│
▼
【ユーザー】は「便利だ」と感謝
参加したら離脱不可能
一度拡張機能をインストールした時点で:
- デバイス識別情報が送信済み
- 閲覧履歴が収集済み
-
chrome.storage.syncにUUIDが保存済み - 統合監視システムに登録済み
拡張機能を削除しても、収集済みデータは中国サーバーに残存し、学習済みモデルからの削除は技術的に不可能である。
国家情報法との関係
中国国家情報法第7条により、中国国内のサーバーに保存されたデータは、政府要請時に無条件で提供する義務がある。
国家情報法第7条:
「あらゆる組織および個人は、法に従って国家の情報活動に協力し、
国家の情報活動の秘密を守る義務を負う」
つまり、ShadyPandaが収集した430万人分のデータは、中国政府がいつでもアクセス可能な状態にある。
企業・組織へのリスク
個人レベル
- オンラインバンキング、SNS、メール等のセッションハイジャック
- 検索履歴・閲覧履歴を利用した標的型フィッシング
- 認証情報の窃取によるアカウント乗っ取り
企業・組織レベル
開発者端末・管理者端末にインストールされていた場合:
- GitHub / GitLab / CI のトークン・Cookie流出
- クラウドコンソール(AWS、GCP、Azure)の操作内容漏洩
- SaaS管理画面の認証情報窃取
- 社内システムへのサプライチェーン攻撃の起点化
特に「ブラウザが社内システムへの唯一の入口」となっている環境では、ブラウザ拡張が事実上の「境界突破ツール」と化す。
推奨対応
即座の対応(24時間以内)
- 拡張機能の棚卸し
- Chrome:
chrome://extensions/ - Edge:
edge://extensions/ - 不要・不明な拡張、特にWeTab / Clean Master / Starlab Technology名義は即削除
- 同期データのクリア
- Chrome / Edgeの設定同期を一度オフ
- 同期データをリセット後、必要に応じて再設定
- 認証情報の保全
- 重要サービスのパスワード変更
- セッションの全デバイス強制ログアウト
- 2FAの再設定
組織的対応
- ポリシー改定
- 業務用ブラウザでの拡張機能をホワイトリスト制に
- 管理者・開発者・経理等の高権限ユーザーでは拡張を極力制限
- ネットワーク対策
- ShadyPanda関連ドメイン(
api.extensionplay[.]com等)のブロック - 中国向け通信の監視強化
- 調達ポリシー
- 中華系ブラウザ拡張の原則禁止
- 例外申請制度と厳格審査
代替案
| 機能 | 危険な拡張 | 推奨代替 |
|---|---|---|
| 新しいタブ | WeTab | ブラウザ標準機能 |
| キャッシュ削除 | Clean Master | ブラウザ標準機能 |
| 広告ブロック | 中華系 | uBlock Origin |
| パスワード管理 | 中華系 | 1Password, Bitwarden |
本事件の教訓
「ブラウザ拡張」は「コード実行権限の付与」
ブラウザ拡張のインストールは、「便利な機能の追加」ではない。自分のブラウザ内で他者のコードを実行させる権限を与える行為である。
その権限を中華系開発者に与えることは、国家情報法の管轄下にあるコードを自システムで実行させることを意味する。
「7年間正常動作」は安全の証明ではない
ShadyPandaは、最初の数年間は完全に正常なツールとして動作していた。これは「信頼獲得フェーズ」であり、十分なインストール数を確保した後に豹変した。
正常動作の実績は、将来の安全性を保証しない。
「無料」の真のコスト
430万人のユーザーは、「無料の便利ツール」と引き換えに:
- 7年分の閲覧履歴
- 検索クエリ(思考の記録)
- 認証情報
- システムへのバックドアアクセス
を「朝貢」していた。
「無料」は「対価なし」を意味しない。データとシステム権限が対価である。
追加調査項目
- Starlab Technologyの企業構造・実質的支配者
- 他の関連拡張機能の洗い出し(145本の全リスト)
- 日本国内での被害状況・影響を受けた組織
- 収集データの具体的な利用用途(AI学習、プロファイリング等)
最終総括
ShadyPanda事件は、「便利な無料ツール」を入口とした「デジタル冊封体制」への参加を強制するキャンペーンであった。430万人のユーザーは、知らないうちに7年間にわたりデータを「朝貢」し、中華統合監視システムの一部として組み込まれていた。
本事件から導かれる原則は明確である:
「中華系のコードを実行するな」
これはブラウザ拡張に限らない。バイナリ、MCP、pip/npmモジュール、ファームウェア——「電気で動く中華もの」全てに適用される原則である。
日本生存の三原則を想起されたい:
- 大陸国家に深入り禁止
- 海洋同盟で生きろ
- 中華は敬して遠ざく
デジタル時代においても、この原則は有効である。中華の技術は認めつつ、使わない・依存しない・システムに入れない。
聖徳太子以来、日本が中華秩序の門前で独立を保ってきた知恵を、デジタル時代にも適用すべき時が来ている。
📊 本記事は2025年12月時点の調査結果に基づく
🔗 一般向け解説:note記事へのリンク
-
Koi Security: 4 Million Browsers Infected - Inside ShadyPanda’s 7-Year Malware Campaign ↩
-
The Hacker News: ShadyPanda Turns Popular Browser Extensions Into Malware ↩
-
BleepingComputer: ShadyPanda browser extensions amass 4.3M installs in malicious campaign ↩
-
The Register: Chrome, Edge extensions caught tracking users, creating backdoors ↩
-
Windows Central: Millions of users were unknowingly tracked in a 7-year Chrome and Edge malware scheme ↩
-
TechRadar Pro: 4.3 million have installed this malicious browser extension ↩