QuickLens - Google Lensの悪意ある拡張機能を使った検索画面

ブラウザ拡張機能「QuickLens - Search Screen with Google Lens」は当初、画面上の画像検索、コンテンツの翻訳、視覚的なクエリによる製品情報の取得に役立つ便利なツールとして宣伝されていました。一見まともな見た目と機能に見えたにもかかわらず、この拡張機能は最終的に深刻なサイバーセキュリティの脅威へと発展しました。調査の結果、このソフトウェアには、機密情報を収集し、感染したシステムに対してClickFixソーシャルエンジニアリング攻撃を仕掛ける悪意のあるスクリプトが含まれていることが判明しました。

当初、この拡張機能は既に多くのユーザーを抱え、広く信頼されていました。しかし、2026年2月に重大な変化が起こりました。ブラウザ拡張機能マーケットプレイスで販売され、メールアドレス「support@doodlebuggle.top」と社名「LLC Quick Lens」で運営されている新しい所有者に買収されたのです。買収後まもなく、疑わしいプライバシーポリシーが導入され、その後、悪意のあるアップデートが全ユーザーに配布されました。

公式チャネルを通じて配信される悪意のあるアップデート

この拡張機能は既に数千人のユーザーによってインストールされていたため、悪意のあるアップデートは急速に拡散しました。Chromeウェブストアの自動更新メカニズムにより、ユーザーによる追加操作を必要とせずに、既存のインストールに侵害されたバージョンが直接配信されました。

更新版は、閲覧行動の監視やウェブサイトのアクティビティの変更を可能にする広範なブラウザ権限を要求しました。これらの権限により、拡張機能はウェブサイトが通常適用している重要なセキュリティ保護を解除することができました。悪意のあるスクリプトをブロックし、サイトのフレーミングを防止し、特定の攻撃手法を軽減するための安全対策が無効化されたため、被害者が訪問したページで、挿入された悪意のあるコードの実行が大幅に容易になりました。

コマンドアンドコントロールインフラストラクチャとの永続的な通信

インストール後、侵害された拡張機能はリモートのコマンドアンドコントロール（C2）サーバーとの通信を確立しました。マルウェアは感染したユーザーごとに固有の識別子を生成し、地理的位置、ブラウザの種類、オペレーティングシステムなどの環境情報を収集しました。

この拡張機能は、5分ごとにリクエストを送信することで、リモートサーバーとの永続的な通信を維持していました。これらの定期的なチェックインにより、攻撃者は新たな指示を送信したり、悪意のあるペイロードを更新したり、侵害されたシステムに対して追加の攻撃アクションを開始したりすることができました。

ClickFixソーシャルエンジニアリングと偽の更新アラート

QuickLensの悪意あるバージョンは、積極的なソーシャルエンジニアリング手法も実装していました。被害者が訪問したウェブページにスクリプトを挿入し、偽のGoogle Update通知を表示する機能を備えていました。

これらの偽のアラートは、正規のソフトウェアアップデートの通知を模倣するように設計されていました。実際には、これらはClickFix攻撃の一部でした。ClickFix攻撃とは、ユーザーを誘導して有害なコマンドを実行させたり、追加のマルウェアをダウンロードさせたりするための手法です。攻撃者は、複数のウェブサイトにアラートを表示することで、被害者が通知を信頼し、悪意のある指示に従う可能性を高めました。

暗号通貨ウォレットとデータ盗難機能

侵害された拡張機能の最も危険な機能の一つは、暗号資産と機密性の高いユーザーデータを標的とするものでした。埋め込まれた悪意のあるスクリプトは、ブラウザをスキャンしてインストールされている暗号資産ウォレットを探し出し、ウォレットのシードフレーズ、認証情報、機密性の高いフォームデータなどの機密情報を抽出しようとしました。

このマルウェアは、具体的には以下の暗号通貨ウォレット プラットフォームを標的としました。

• アルゴン
• バックパック
• Binanceチェーンウォレット
• ブレイブウォレット
• コインベースウォレット
• 出エジプト
• メタマスク
• ファントム
• ソルフレア
• トラストウォレット
• ウォレットコネクト

この拡張機能は、暗号通貨の盗難に加え、ウェブサイトに入力された幅広い機密データを収集する能力を持っていました。これには、ログイン認証情報、支払い情報、ウェブフォームを通じて送信されるその他の個人データが含まれます。

オンラインアカウントとビジネスプラットフォームへのアクセス

さらに分析を進めると、この悪意のある拡張機能は、広く利用されている複数のオンラインプラットフォームにアクセスし、情報を抽出できることが明らかになりました。これらの機能により、個人ユーザーだけでなく、企業やコンテンツ制作者にも被害が及ぶ可能性があります。

データ収集機能には以下が含まれます。

• Gmailの受信トレイ内のメールデータを読む
• Facebookビジネスマネージャーから広告アカウント情報を収集する
• YouTube チャンネルから分析データと運用データを取得する

この機能は、影響を受けるブラウザを通じてマーケティング キャンペーン、金融アカウント、またはオンライン メディア プラットフォームを管理する組織にとって重大なリスクをもたらしました。

拡張機能の削除とセキュリティへの影響

悪意のある活動の発見を受け、GoogleはChromeウェブストアから「QuickLens - Google Lens検索画面拡張機能」を削除し、無効化しました。この措置にもかかわらず、この拡張機能がまだ残っている場合、以前にインストールしたシステムは依然としてリスクにさらされる可能性があります。

影響を受けたユーザーは、直ちに拡張機能をアンインストールし、システムへの潜在的な侵入の可能性を確認してください。認証情報の変更、ウォレットのセキュリティチェック、システムスキャンを強くお勧めします。

QuickLens事件は、ブラウザ拡張機能に関連するセキュリティリスクの増大を浮き彫りにしています。当初は正当なツールとして開発されたソフトウェアであっても、所有者の変更や公式アップデートチャネルを通じた悪意のあるアップデートの配信によって脅威となる可能性があります。この事例は、信頼されたアプリケーションがいかにしてセキュリティ制御の回避、機密データの窃取、大規模なソーシャルエンジニアリング攻撃の実行に利用されるかを如実に示しています。