なぜ4カ月も放置された？ Google「お墨付き」拡張機能がマルウェアだった件

「WebPの画像、JPEGで保存できないの……？」──Web上の画像を扱う人なら、一度はこの不便さにイライラした経験があるはずです。そんなストレスを一発で解消してくれるChrome拡張機能として、多くのユーザーに愛されてきたのが「Save Image as Type」でした。

ところが2026年3月、Googleがこの拡張機能を「マルウェアを含む」として強制ブロック。Chrome Web Storeからも削除されました。利用者数は100万人超。あなたのChromeにも入っていませんか？

この記事では、何が起きたのか、どんな被害があるのか、そして今すぐやるべきことを詳しくお伝えします。

そもそも「Save Image as Type」とは何だったのか

Save Image as Typeは、Webページ上の画像を右クリックするだけでPNG・JPEG・WebPなど好きな形式を選んで保存できる拡張機能です。

近年、Googleが推進する画像フォーマット「WebP」の採用サイトが急増しています。WebPはファイルサイズが小さく表示速度に優れる一方で、画像編集ソフトやSNSへの投稿時に「.webpファイルは対応していません」とはじかれるケースが少なくありません。そんなとき、ワンクリックでJPEGやPNGに変換保存できるこの拡張機能は、Webデザイナーやブロガー、メディア編集者にとってまさに”神ツール”でした。

Chrome Web Storeでの評価は5点満点中4.2、レビュー数は1,700件以上。Googleから信頼性の証である「Featured」バッジまで付与されていたのですから、疑う理由がなかったのも当然です。

なぜマルウェア認定されたのか──その巧妙な手口

正体は「アフィリエイトリンクの乗っ取り」

XDA Developersの詳細な技術調査によると、この拡張機能の悪意あるコードは「inject.js」というファイルに仕込まれていました。具体的な手口はこうです。

まず、ユーザーがWebページを開くと、拡張機能がバックグラウンドで外部サーバーと通信し、対象となるURLリストを取得します。次に、ユーザーがAmazonやBest Buyなどのショッピングサイトにアクセスした際、ページ内に目に見えない「隠しiframe」を読み込み、アフィリエイト用のトラッキングCookieを勝手に埋め込むのです。

これは「Cookie Stuffing（クッキースタッフィング）」と呼ばれる手法で、ユーザーが商品を購入すると、本来そのサイトへ誘導したブロガーやYouTuberに支払われるべき紹介報酬（アフィリエイト収益）が、拡張機能の運営者に横取りされる仕組みです。

調査では、少なくとも578の通販サイトに対してこの不正が行われていた痕跡が確認されています。

「所有者の変更」が引き金だった

この拡張機能は、もともとオープンソースの善良なツールでした。転機となったのは2025年秋の所有者変更です。

2025年11月にGitHub上のリポジトリが削除され、ほぼ同時期にChrome Web Store上のオーナーが「laurenbridgecool」という別人に変更されました。そこからアップデートとして悪意あるコードが注入されたのです。

この「人気拡張機能を買い取って悪用する」手法は、セキュリティ業界では以前から警告されていたパターンです。ユーザーからすれば、ある日アップデートされただけに見えるため、気づくのがほぼ不可能な点が厄介です。

Honey事件との不気味な共通点

「アフィリエイトリンクの乗っ取り」と聞いて、テック業界に詳しい方はピンとくるかもしれません。2024年末に大炎上したPayPal傘下のブラウザ拡張機能「Honey」のスキャンダルとほぼ同じ構図だからです。

Honeyは「最安クーポンを自動で見つけてくれる」便利ツールとして2,000万人以上のユーザーを抱えていました。しかし2024年12月、YouTuberのMegaLag氏による調査動画で、Honeyがチェックアウト直前にアフィリエイトCookieをPayPalのものに差し替え、クリエイターの報酬を横取りしていた実態が暴露されました。

この事件は集団訴訟にまで発展し、Honeyは2025年末までに約800万人のユーザーを失っています。Googleも2025年3月にChrome Web Storeのポリシーを改定し、「割引を提供しない拡張機能がアフィリエイト収益を得ること」を明確に禁止しました。

にもかかわらず、Save Image as Typeはそのポリシー改定後もFeaturedバッジ付きで数カ月間放置されていたことになります。Googleの審査体制に疑問の声が上がるのも無理はありません。

Googleの対応は遅すぎたのか

実は、Microsoftは2025年2月の時点でEdge向けの同拡張機能をマルウェアとして削除しています。さらにセキュリティ研究者のWladimir Palant氏が2024年10月にこの不正ネットワークの存在を公開報告していたにもかかわらず、Googleが対応に動いたのは2026年3月。実に悪意あるコードが仕込まれてから約4カ月間、100万人のユーザーが無防備な状態に置かれていたことになります。

XDA Developersの記事はこの遅延を厳しく批判しており、「Featuredバッジ付きの拡張機能が所有者を変更し、悪用されていることに対して、何の監視もなかったように見える」と指摘しています。

今すぐ確認！ あなたがやるべき3つのこと

1. 拡張機能の削除を確認する

Chromeのアドレスバーに chrome://extensions/ と入力してください。「Save Image as Type」が残っていたら、即座に「削除」ボタンを押しましょう。多くの場合はGoogleの自動ブロックで無効化されていますが、念のための確認は必須です。

2. ブラウザのCookieをクリアする

不正に埋め込まれたアフィリエイトCookieが残っている可能性があります。Chromeの設定から「閲覧履歴データの削除」→「Cookieと他のサイトデータ」にチェックを入れて削除してください。ただし、各サイトへのログイン状態もリセットされるのでご注意を。

3. 他の拡張機能も棚卸しする

これを機に、長期間使っていない拡張機能や、最近アップデートがあった拡張機能の権限を見直しましょう。「すべてのサイトのデータを読み取り、変更する」権限を持つ拡張機能は、特に注意が必要です。

代替拡張機能はあるの？

WebP画像をJPEGやPNGで保存したい需要がなくなるわけではありません。現時点で代替候補として挙がっているのは、以下の2つです。

・Save Image As JPG, PNG, WebP ── Redditユーザーの間で推奨されていますが、大手メディアによる検証はまだ行われていません。

・Save as Image Converter ── Android Authorityのライターが実際にインストールし「慎重ながら一定の評価」をしています。

いずれも導入前にレビューと要求される権限を必ずチェックしてください。「最近のレビューが極端に少ない」「求められる権限が機能に対して過剰」──この2つは危険信号です。

なお、手間はかかりますが、拡張機能に頼らずオンライン画像変換ツール（Squoosh、CloudConvertなど）を使う方法もあります。拡張機能のリスクをゼロにしたい方にはこちらがおすすめです。

まとめ

今回の件で改めて浮き彫りになったのは、「無料の便利ツールには、見えないコストがある」という現実です。

拡張機能は、ブラウザ上のほぼすべてのデータにアクセスできる強力な権限を持ちます。にもかかわらず、一度インストールしたら存在すら忘れてしまうのが多くのユーザーの実態ではないでしょうか。

Honey事件、そして今回のSave Image as Type事件。共通するのは、ユーザーの信頼を逆手に取った「静かな搾取」です。個人情報の流出やPCの乗っ取りといった派手な被害こそないものの、知らないうちに誰かの収益が奪われている──そんな不正が、あなたのブラウザの中で起きていたかもしれません。

「入れっぱなし」になっている拡張機能、今日こそ見直してみてください。

出典：【Android Authority】