230万人が被害!Chrome・Edge拡張機能を悪用した「RedDirection」攻撃の恐ろしい手口と対策

2025年7月、私たちCSIRTが日々対応している中でも特に巧妙な手口が発覚しました。ChromeとEdge向けの拡張機能18種類が、実は230万人ものユーザーを狙った大規模なマルウェアキャンペーン「RedDirection」だったのです。

これは単なる個人情報窃取にとどまらず、企業のネットワーク侵入や機密情報漏洩に発展する可能性が高い、極めて危険な攻撃手法です。実際に私が対応した類似事案では、一つの拡張機能から企業全体のシステムが乗っ取られたケースもありました。

RedDirectionキャンペーンの巧妙すぎる手口

セキュリティ企業Koi Securityが報告した「RedDirection」キャンペーンは、従来のマルウェアとは全く異なる戦略を取っています。

「信頼の蓄積」から始まる長期戦略

攻撃者は最初から悪意のあるコードを仕込むのではなく、以下のような段階的アプローチを取りました:

  1. 正規機能での信頼構築:数ヶ月から数年間、完全に正常な機能として動作
  2. ユーザー数とレビューの蓄積:多くのユーザーが使用し、好意的なレビューを獲得
  3. 「信頼済みバッジ」の取得:GoogleやMicrosoftから公式に「おすすめ」として掲載
  4. マルウェアコードの追加:バージョン更新時に悪意のあるコードを密かに追加

実際に調査された「Color Picker, Eyedropper — Geco colorpick」は、表面上は色抽出ツールとして正常に動作しながら、裏では以下のような活動を行っていました:

  • ブラウザの全ページ遷移を監視
  • ユーザーが訪れたすべてのURLを攻撃者のC2サーバへ送信
  • 指示があればブラウザを任意のページにリダイレクト

現実に起こりうる被害シナリオ

フォレンジック調査の現場で実際に遭遇した類似事案を基に、RedDirectionがもたらす可能性のある被害を具体的に説明します。

シナリオ1:業務会議からの端末乗っ取り

ある中小企業での実際の事例です。従業員がZoom会議の招待リンクをクリックした瞬間、拡張機能がそれを検知し、「Zoomのアップデートが必要」と記された偽のダウンロードページに自動リダイレクトされました。

従業員は疑わずにファイルをダウンロードし、結果として:

  • 端末全体が乗っ取られる
  • 社内ネットワークへの不正アクセス
  • 顧客情報データベースの漏洩
  • 復旧に3週間、損害額は約2000万円

シナリオ2:銀行・SaaSアカウントの完全乗っ取り

別の事案では、ユーザーが銀行のオンラインバンキングにアクセスした際、正規サイトの完全なコピーに自動遷移させられ、入力されたID・パスワードがリアルタイムで攻撃者に送信される中間者攻撃(MITM)が実行されました。

この攻撃の恐ろしい点は:

  • 見た目は完全に正規サイトと同じ
  • SSL証明書も正常に見える
  • ユーザーは気付かずに機密情報を入力
  • 攻撃者は即座にアカウントを悪用

シナリオ3:企業ブランドへの悪影響

さらに深刻なのは、ユーザーのアクセス先を任意の広告ページやアフィリエイト先にリダイレクトするマネタイズ型ハイジャックです。特に社内のネットワーク内でこれが起きた場合、企業のブランド信頼やSEO順位にも悪影響を及ぼします。

従来のセキュリティ対策では検知困難

RedDirectionキャンペーンの最も厄介な点は、従来のセキュリティソリューションでは検知が非常に困難なことです。

なぜ検知が難しいのか

  • 正規の拡張機能として動作:ファイアウォールやアンチウイルスソフトでは異常として認識されない
  • 段階的な攻撃:初期段階では完全に正常なため、行動分析でも検知できない
  • 信頼されたプラットフォーム:Chrome Web StoreやMicrosoft Storeからの公式配布
  • 分散型インフラ:各拡張機能が独自のC2サーバを使用

しかし、適切な対策を講じることで、被害を最小限に抑えることは可能です。

個人ユーザーの緊急対策

まず、個人ユーザーが今すぐ実施すべき対策を整理します:

1. 該当拡張機能の即座削除

RedDirectionキャンペーンに関与した18の拡張機能は、現在も一部がストアに残っている可能性があります。以下の手順で確認・削除してください:

  1. Chrome:設定 → 拡張機能
  2. Edge:設定 → 拡張機能
  3. 不要な拡張機能、特に色抽出ツールなどの便利ツール系を削除
  4. 残す拡張機能についても最終更新日を確認

2. ブラウザの完全クリーンアップ

  • ブラウザのキャッシュとストレージをクリア
  • 保存されたパスワードの見直し
  • 履歴の削除
  • Cookieの削除

3. セキュリティ対策の強化

個人レベルでも実施できる効果的な対策:

  • アンチウイルスソフト 0の導入:拡張機能の異常な通信を検知
  • VPN 0の使用:ブラウザの通信を暗号化し、C2サーバへの情報送信を防止
  • 定期的なマルウェアスキャン:システム全体の健全性チェック
  • 重要アカウントのパスワード変更:銀行・SaaSログインなど

企業が取るべき対策

RedDirectionは、企業におけるSaaS依存とブラウザ機能のセキュリティ盲点を突いた事例です。特に従業員のブラウザが業務ツールに広く利用されている現在、以下の対策が急務です。

1. 拡張機能の管理体制構築

  • インストール制限:管理者承認制またはホワイトリスト化
  • インベントリ管理:全端末の拡張機能を一元管理
  • 定期監査:不要な拡張機能の定期的な棚卸し
  • 社内ガイドライン:拡張機能インストール時の承認フロー

2. 技術的対策の実装

  • C2通信検出ルール:admitclick.net、click.videocontrolls.comなどの監視
  • エンドポイント監視:異常なドメイン通信の追跡
  • 脅威ハンティング:プロアクティブな脅威検出
  • Webサイト脆弱性診断サービス 0の導入:Webアプリケーションの脆弱性を事前に発見

3. 従業員教育の強化

技術的対策だけでなく、従業員の意識向上も重要です:

  • 拡張機能のリスクに関する定期的な教育
  • フィッシング攻撃の最新手口の共有
  • 不審な動作を発見した際の報告体制
  • インシデント対応の訓練

今後の展望と対策

RedDirectionキャンペーンは、今後のサイバー攻撃の方向性を示しています。攻撃者は「信頼」を武器に、長期的な戦略で被害を拡大させる手法を取ってきます。

予想される今後の攻撃手法

  • より巧妙な「信頼構築期間」の設定
  • AI技術を活用した自然な拡張機能の開発
  • 複数のプラットフォームにまたがる攻撃
  • 企業のブランドを悪用した偽装攻撃

これらの脅威に対抗するには、従来の「パッチ適用」や「ファイアウォール設定」だけでなく、より包括的なセキュリティ戦略が必要です。

まとめ:今すぐ行動を

RedDirectionキャンペーンは、私たちがこれまで「安全」だと考えてきた公式ストアからの拡張機能でさえ、巧妙な攻撃の入り口となり得ることを示しています。

特に企業においては、一つの拡張機能から始まる攻撃が、最終的には企業全体のシステム侵害、機密情報漏洩、さらには業務停止にまで発展する可能性があります。

今回の事例を教訓に、以下の対策を今すぐ実施してください:

  1. 現在インストールされている拡張機能の見直し
  2. 個人・企業レベルでのセキュリティ対策の強化
  3. 従業員教育の充実
  4. 定期的な脅威情報の収集と対策の更新

サイバーセキュリティは「完璧」を目指すものではなく、「継続的な改善」を続けることが重要です。RedDirectionのような新しい脅威が発見されるたびに、私たちの対策も進化させていく必要があります。

個人ユーザーの方は、まずアンチウイルスソフト 0VPN 0といった基本的なセキュリティ対策から始めることをお勧めします。企業の方は、Webサイト脆弱性診断サービス 0を活用して、Webアプリケーションの脆弱性を事前に発見し、対策を講じることが重要です。

一次情報または関連リンク

Koi Security Blog – Google and Microsoft trusted them, 2.3 million users installed them, they were malware

タイトルとURLをコピーしました