Blog · セキュリティ情報 · 2026年7月14日更新
ModHeader マルウェアの削除方法と残留データのクリーンアップ
2026年7月上旬、隠されたデータ収集 SDK の報告を受けて、Google は ModHeader v7.0.18 をマルウェアと判定し、Microsoft は Edge ストアから削除しました。このページは煽りなしの実務チェックリストです:影響の有無を確認し、削除し、Mac/Windows の残留データを消去し、触れられた可能性のあるものを保護します。
Blog · セキュリティ情報 · 2026年7月14日更新
2026年7月上旬、隠されたデータ収集 SDK の報告を受けて、Google は ModHeader v7.0.18 をマルウェアと判定し、Microsoft は Edge ストアから削除しました。このページは煽りなしの実務チェックリストです:影響の有無を確認し、削除し、Mac/Windows の残留データを消去し、触れられた可能性のあるものを保護します。
このガイドは、最終的に VibeHeader を使うかどうかに関係なく役立つように書いています。以下の ModHeader に関する記述はすべて、出典に挙げた Google・Microsoft・独立系研究者の報告に基づくもので、当方独自の分析ではありません。Chrome や Edge が既に拡張機能を無効化している場合、以下のクリーンアップはあなたに当てはまると考えてください。
時間がない方へ — 要点は次の 4 つ(詳細は下記):
api.stanfordstudies.com を DNS または hosts でブロックする。7.0.18 には、日付ライブラリを装ったファイル(dayjs.min-*.js)の中に隠された SDK が同梱されており、訪問先ドメインを収集して AES-GCM で暗号化し、1 日 1 回、第三者のコレクター api.stanfordstudies.com/app/log(「Stanford Studies」を名乗るがスタンフォード大学とは無関係のサイト)へ POST する作りでした。まだ ModHeader をインストールしている場合、広く推奨されている対応は削除です。以下、きれいに削除する手順です。
chrome://extensions(Edge を使っている場合は edge://extensions も)を開き、バージョン番号が表示されるようにデベロッパーモードをオンにします。
idgpnmonknjnojddfkpgkljpfnnfcklj7.0.18(このビルドを使っていた場合は影響ありとして扱ってください)Chrome のセーフティチェックに 「この拡張機能にはマルウェアが含まれています」 と表示されている場合は、まさにこのページの対象です。警告を閉じるだけで済ませず、以下のクリーンアップを最後まで実施してください。実際の警告表示はこちら:
chrome://extensions を開く → ModHeader を探す → 削除をクリック → 確認。edge://extensions でも同様に。アンインストールでほとんどは消えますが、拡張機能のキャッシュデータ — 研究者の報告では、トークンや Cookie を含み得るリクエスト/レスポンスヘッダーの保存が 100 MB を大きく超える例も — が残ることがあります。念のため、以下のフォルダのうち残っているものを削除してください。Default は実際のプロファイルフォルダに読み替えてください(Profile 1、Profile 2… も確認)。
~/Library/Application Support/Google/Chrome/ 配下(Edge は Microsoft Edge 配下の相当パス):
Default/Extensions/idgpnmonknjnojddfkpgkljpfnnfckljDefault/Local Extension Settings/idgpnmonknjnojddfkpgkljpfnnfckljDefault/Sync Extension Settings/idgpnmonknjnojddfkpgkljpfnnfckljDefault/IndexedDB/chrome-extension_idgpnmonknjnojddfkpgkljpfnnfcklj_0.indexeddb.leveldb%LOCALAPPDATA%\Google\Chrome\User Data\ 配下(Edge:%LOCALAPPDATA%\Microsoft\Edge\User Data\):
Default\Extensions\idgpnmonknjnojddfkpgkljpfnnfckljDefault\Local Extension Settings\idgpnmonknjnojddfkpgkljpfnnfckljDefault\Sync Extension Settings\idgpnmonknjnojddfkpgkljpfnnfckljDefault\Managed Extension Settings\idgpnmonknjnojddfkpgkljpfnnfckljDefault\IndexedDB\chrome-extension_idgpnmonknjnojddfkpgkljpfnnfcklj_0.indexeddb.leveldbフォルダを削除する前に、ブラウザを完全に終了してください。起動中はファイルがロックされている場合があります。
💡 ヒント:残留フォルダの掃除はコーディングエージェントに任せる。Claude Code や Codex のようなコーディングエージェントを使っているなら、このガイドの URL(または上のフォルダ一覧)を貼り付けて、すべてのブラウザプロファイルを横断して ModHeader の残留フォルダを探し、削除するよう頼めます。プロファイルが複数あって消し漏れが心配な場合に特に有効です。安全のための注意点は 2 つ:先にブラウザを完全終了すること、そして削除前に見つかったフォルダを一覧表示させ、あなたの確認を待ってから実行させることです。
キャッシュに残った複製からも一切通信できないよう、コレクターをブロックしてログを取ります:
/etc/hosts、Windows は C:\Windows\System32\drivers\etc\hosts)に 0.0.0.0 api.stanfordstudies.com を追記するか、DNS リゾルバ/Pi-hole でブロック。api.stanfordstudies.com(および親ドメイン stanfordstudies.com)を DNS ブロックリスト/egress ファイアウォールに追加し、プロキシ・DNS ログから当該ホストへの過去の POST /app/log を検索。この拡張機能はブラウザを流れるヘッダーを読み取り・保存できたため、日常的に貼り付けていたものは露出した可能性があるものとして再発行してください:
休眠状態と報告されている以上、これは予防的措置です — ただ、トークンの再発行は「大丈夫なはず」に賭けるより、はるかに安い保険です。
管理下の端末を以下の指標で検索してください。裏付けが強いのは拡張機能 ID・バージョン・送信先エンドポイント・偽装ファイル名です。(報告値)と付記した項目は元のリバースエンジニアリング記事に由来し、参考情報として掲載しています。
| 種別 | 指標 |
|---|---|
| 拡張機能 ID | idgpnmonknjnojddfkpgkljpfnnfcklj |
| バージョン | 7.0.18 |
| ネットワーク(送信) | api.stanfordstudies.com/app/log への外向き POST |
| ドメイン | api.stanfordstudies.com、stanfordstudies.com |
| 偽装ファイル | dayjs.min-*.js(データ収集 SDK) |
| 関連ファイル(報告値) | background-94ad634d.js |
| ハードコードされた AES 鍵(報告値) | aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE |
| フィンガープリント用ソルト(報告値) | mod盐header |
報告された挙動:収集はドメインのみ(完全な URL・Cookie 値・パスワードは対象外)、AES-GCM 暗号化、端末ごとにランダム化されたスケジュールで 1 日 1 回のバッチ送信、リモートコード実行・外部スクリプト読み込みなし。
ビルド 7.0.18 を解析した研究者によれば、コレクターは空の許可リストの背後で休眠状態で出荷されており、検証環境では何も送信されませんでした。ただしエンドポイント・鍵・スケジューラは揃っており、後のアップデートで有効化できました。「漏えい確定」ではなく「現実的な露出リスク」として、削除・データ消去・シークレットのローテーションを行ってください。
まだです。無効化は実行を止めるだけで、ローカルのキャッシュデータ(保存されたヘッダー・トークン・Cookie が 100 MB を大きく超える例も報告)は消えません。完全に削除し、手順 3 の残留フォルダも消去してください。
研究者は隠し SDK をビルド 7.0.18(ID idgpnmonknjnojddfkpgkljpfnnfcklj)に帰属させています。2026年7月上旬、Google が判定・無効化し、Microsoft が Edge から削除しました。
軽量・MV3 ネイティブ・広告なし・アナリティクスなし・必要最小限の権限、という条件で選んでください。VibeHeader はその方針で作られています(監査できるようオープンソース化進行中)。重いルールエンジンが必要なら Requestly や Header Editor も保守されている選択肢です。
テストのためにヘッダー編集はこれからも必要 — 実務的な問いは「次に何を信頼するか」です。重要なチェックリスト:小さく絞られた機能、Manifest V3 ネイティブ、広告なし・アナリティクスなし、内容を把握できる権限、そして設定が他人のサーバーを経由しない共有モデル。
VibeHeader はその仕様で作られています:広告なし、トラッキングなし、設定を URL フラグメント(#c=)にエンコードするリンク共有 — 処理はブラウザ内で完結し、サーバーには何も送信されません。オープンソース化も進行中なので、言葉を信じる必要すらなくなります。詳しい経緯や他の選択肢は開発者の視点(英語)と ModHeader 代替の比較(英語)をどうぞ。
押し売りはしません — このページの目的は、何に乗り換えるにせよ、安全にクリーンアップしてもらうことです。
本ページの ModHeader に関する記述はすべて、Google・Microsoft および上記リンクの研究者に帰属します。「(報告値)」と付記した指標は HackIndex の記事に由来し、当方で独立に再検証したものではありません。