Blog · セキュリティ情報 · 2026年7月14日更新

ModHeader マルウェアの削除方法と残留データのクリーンアップ

2026年7月上旬、隠されたデータ収集 SDK の報告を受けて、Google は ModHeader v7.0.18 をマルウェアと判定し、Microsoft は Edge ストアから削除しました。このページは煽りなしの実務チェックリストです:影響の有無を確認し、削除し、Mac/Windows の残留データを消去し、触れられた可能性のあるものを保護します。

このガイドは、最終的に VibeHeader を使うかどうかに関係なく役立つように書いています。以下の ModHeader に関する記述はすべて、出典に挙げた Google・Microsoft・独立系研究者の報告に基づくもので、当方独自の分析ではありません。Chrome や Edge が既に拡張機能を無効化している場合、以下のクリーンアップはあなたに当てはまると考えてください。

時間がない方へ — 要点は次の 4 つ(詳細は下記):

  1. Chrome と Edge から拡張機能を削除する。
  2. Mac/Windows の残留ストレージフォルダを削除する。
  3. api.stanfordstudies.comDNS または hosts でブロックする。
  4. 貼り付けていたシークレットをローテーションする。

何が報告されたのか(60 秒版)

まだ ModHeader をインストールしている場合、広く推奨されている対応は削除です。以下、きれいに削除する手順です。

手順 1 — 影響の有無を確認する

chrome://extensions(Edge を使っている場合は edge://extensions も)を開き、バージョン番号が表示されるようにデベロッパーモードをオンにします。

Chrome のセーフティチェックに 「この拡張機能にはマルウェアが含まれています」 と表示されている場合は、まさにこのページの対象です。警告を閉じるだけで済ませず、以下のクリーンアップを最後まで実施してください。実際の警告表示はこちら:

Chrome のセーフティチェックが「ModHeader - Modify HTTP headers」をマルウェアとして警告し削除を推奨している画面
Chrome のセーフティチェックが ModHeader をマルウェアとして警告し、削除を推奨している画面。

手順 2 — 拡張機能を削除する(Chrome と Edge)

  1. chrome://extensions を開く → ModHeader を探す → 削除をクリック → 確認。edge://extensions でも同様に。
  2. ブラウザが既に無効化している場合も、無効のまま削除をクリックしてください — 無効化は実行を止めるだけで、キャッシュされたデータは消えません。
  3. インストールしていたすべてのブラウザプロファイルで実施してください(Chrome のプロファイルはそれぞれ独立しています)。

手順 3 — 残留ローカルデータを削除する

アンインストールでほとんどは消えますが、拡張機能のキャッシュデータ — 研究者の報告では、トークンや Cookie を含み得るリクエスト/レスポンスヘッダーの保存が 100 MB を大きく超える例も — が残ることがあります。念のため、以下のフォルダのうち残っているものを削除してください。Default は実際のプロファイルフォルダに読み替えてください(Profile 1Profile 2… も確認)。

macOS

~/Library/Application Support/Google/Chrome/ 配下(Edge は Microsoft Edge 配下の相当パス):

Windows

%LOCALAPPDATA%\Google\Chrome\User Data\ 配下(Edge:%LOCALAPPDATA%\Microsoft\Edge\User Data\):

フォルダを削除する前に、ブラウザを完全に終了してください。起動中はファイルがロックされている場合があります。

💡 ヒント:残留フォルダの掃除はコーディングエージェントに任せる。Claude Code や Codex のようなコーディングエージェントを使っているなら、このガイドの URL(または上のフォルダ一覧)を貼り付けて、すべてのブラウザプロファイルを横断して ModHeader の残留フォルダを探し、削除するよう頼めます。プロファイルが複数あって消し漏れが心配な場合に特に有効です。安全のための注意点は 2 つ:先にブラウザを完全終了すること、そして削除前に見つかったフォルダを一覧表示させ、あなたの確認を待ってから実行させることです。

手順 4 — 送信先ドメインをブロックする

キャッシュに残った複製からも一切通信できないよう、コレクターをブロックしてログを取ります:

手順 5 — 渡していた機密情報をローテーションする

この拡張機能はブラウザを流れるヘッダーを読み取り・保存できたため、日常的に貼り付けていたものは露出した可能性があるものとして再発行してください:

休眠状態と報告されている以上、これは予防的措置です — ただ、トークンの再発行は「大丈夫なはず」に賭けるより、はるかに安い保険です。

IoC(Indicators of Compromise — セキュリティ/IT チーム向け)

管理下の端末を以下の指標で検索してください。裏付けが強いのは拡張機能 ID・バージョン・送信先エンドポイント・偽装ファイル名です。(報告値)と付記した項目は元のリバースエンジニアリング記事に由来し、参考情報として掲載しています。

種別指標
拡張機能 IDidgpnmonknjnojddfkpgkljpfnnfcklj
バージョン7.0.18
ネットワーク(送信)api.stanfordstudies.com/app/log への外向き POST
ドメインapi.stanfordstudies.comstanfordstudies.com
偽装ファイルdayjs.min-*.js(データ収集 SDK)
関連ファイル(報告値)background-94ad634d.js
ハードコードされた AES 鍵(報告値)aWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bE
フィンガープリント用ソルト(報告値)mod盐header

報告された挙動:収集はドメインのみ(完全な URL・Cookie 値・パスワードは対象外)、AES-GCM 暗号化、端末ごとにランダム化されたスケジュールで 1 日 1 回のバッチ送信、リモートコード実行・外部スクリプト読み込みなし。

よくある質問

自分の閲覧データは実際に盗まれたのですか?

ビルド 7.0.18 を解析した研究者によれば、コレクターは空の許可リストの背後で休眠状態で出荷されており、検証環境では何も送信されませんでした。ただしエンドポイント・鍵・スケジューラは揃っており、後のアップデートで有効化できました。「漏えい確定」ではなく「現実的な露出リスク」として、削除・データ消去・シークレットのローテーションを行ってください。

Chrome が既に無効化してくれました。それで終わりですか?

まだです。無効化は実行を止めるだけで、ローカルのキャッシュデータ(保存されたヘッダー・トークン・Cookie が 100 MB を大きく超える例も報告)は消えません。完全に削除し、手順 3 の残留フォルダも消去してください。

影響を受けたのはどのバージョン?

研究者は隠し SDK をビルド 7.0.18(ID idgpnmonknjnojddfkpgkljpfnnfcklj)に帰属させています。2026年7月上旬、Google が判定・無効化し、Microsoft が Edge から削除しました。

代わりに何を使えばいい?

軽量・MV3 ネイティブ・広告なし・アナリティクスなし・必要最小限の権限、という条件で選んでください。VibeHeader はその方針で作られています(監査できるようオープンソース化進行中)。重いルールエンジンが必要なら Requestly や Header Editor も保守されている選択肢です。

代わりのヘッダー編集拡張が必要な場合

テストのためにヘッダー編集はこれからも必要 — 実務的な問いは「次に何を信頼するか」です。重要なチェックリスト:小さく絞られた機能、Manifest V3 ネイティブ、広告なし・アナリティクスなし、内容を把握できる権限、そして設定が他人のサーバーを経由しない共有モデル。

VibeHeader はその仕様で作られています:広告なし、トラッキングなし、設定を URL フラグメント(#c=)にエンコードするリンク共有 — 処理はブラウザ内で完結し、サーバーには何も送信されません。オープンソース化も進行中なので、言葉を信じる必要すらなくなります。詳しい経緯や他の選択肢は開発者の視点(英語)ModHeader 代替の比較(英語)をどうぞ。

VibeHeader 拡張機能の UI:HTTP ヘッダールールの一覧と共有リンクボタン、広告なし
VibeHeader:ワンクリックのリンク共有を備えた、広告なし・アナリティクスなしのヘッダー編集拡張。

押し売りはしません — このページの目的は、何に乗り換えるにせよ、安全にクリーンアップしてもらうことです。

出典

本ページの ModHeader に関する記述はすべて、Google・Microsoft および上記リンクの研究者に帰属します。「(報告値)」と付記した指標は HackIndex の記事に由来し、当方で独立に再検証したものではありません。