ブラウザハイジャッカーの削除ガイド（Windows 11、2026年）

アドレスバーにchrome://policyを入力してください。DefaultSearchProviderEnabled、HomepageLocation、ExtensionInstallForcelistなどのエントリが表示されたら、それはあなたの設定ではありません。ブラウザハイジャッカーがChromeのエンタープライズポリシーをWindowsレジストリに注入したのです。ホームページや検索エンジンを元に戻しても何も変わらないのはこのためです。ハイジャッカーがChromeの管理機能を逆手に使っているため、設定はグレーアウトしています。Chromeを再インストールしても、閲覧データをすべてクリアしても、ブラウザをリセットしても、ハイジャッカーは全部生き残ります。ポリシーがChromeのデータフォルダではなくレジストリにあるからです。

現在最も多く駆除しているのはBangsearch.pro、Yglsearch、ActiveSearchBar、Qltuh、CelestialQuasaror、MegaGuardです。インフラのクローンが容易なため、数週間ごとに新しい亜種が出現します。スタンフォード大学Internet Observatoryは2025年に悪意のあるブラウザ拡張機能の2億8000万回以上のダウンロードを報告しており、7月の単一インシデントでChromeとEdgeの230万ユーザーが侵害されました。これは拡張機能ベースのものだけで、無料ソフトのインストーラーにバンドルされるものは含まれていません。

まずポリシーを殺す

ほとんどのオンラインガイドがスキップするか最後に埋めるステップです。レジストリエディタを開きます。Win+R、regeditと入力、Enter。以下の場所に移動して、各下のChromeフォルダを削除します：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome — 管理された業務用PCでなければ、Chromeフォルダ全体を削除。

HKEY_CURRENT_USER\SOFTWARE\Policies\Google\Chrome — 同様。

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update — 一部のハイジャッカーはここにアップデートポリシーを設定し、Chromeの自動更新を阻止します（更新すれば悪意のある拡張機能がブロックリストで削除されるため）。

Edgeの場合：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\EdgeとHKCUの同等箇所。

Chromeを再起動。「お使いのブラウザは組織によって管理されています」のバナーが消え、ホームページと検索エンジンの設定が編集可能に戻るはずです。再起動後にバナーが戻る場合は、ポリシーを再インストールする永続化メカニズムがあるので、続きを読んでください。

拡張機能とタスクスケジューラ

chrome://extensionsを開き、デベロッパーモードをオン（右上のトグル）にして、Chrome Web Storeから意図的にインストールしたもの以外をすべて削除します。無効化だけでなく「削除」をクリック。無効化されたハイジャッカー拡張機能はスケジュールタスクで自己再有効化できます。名前に「PDF」「Helper」「Safe Search」「Web Protection」「Enhanced Search」が含まれ、見覚えのないものはすべて疑わしいです。スタンフォードの調査ではハイジャッカー拡張機能が検出されるまで平均380日間Web Storeに存続するため、数か月前にインストールした時は正規品に見えた可能性があります。

拡張機能の「削除」ボタンがグレーアウトしている場合は、上のレジストリクリーンアップが完了していません。ポリシーが強制インストールしています。戻ってレジストリキーを確実に削除してください。

次にタスクスケジューラを開きます。Win+R、taskschd.msc。DIY削除の試みが多くの場合ここで崩壊し、削除したはずのハイジャッカーが戻ってくる理由です。ハイジャッカーのタスクは無害に見える名前を使います：「ChromeUpdate」「BrowserMaintenance」「SystemHealthCheck」、時にはランダムな文字列。各疑わしいエントリをクリックして「操作」タブを確認。PowerShellスクリプト、Tempディレクトリの.batファイル、AppDataフォルダの.exeを実行するアクションがあれば、それが永続化メカニズムです。「MicrosoftEdgeUpdateTask」という名前のものを見たことがあります。本物のEdgeタスクに十分似ていて、ほとんどの人が見落とします。削除してください。タスクマネージャーのスタートアップタブも確認。発行元なしやAppData\Local\Tempの実行ファイルを指すエントリは正規のものであることはまずありません。

最後にもう1つ誰もチェックしない場所：C:\Windows\System32\drivers\etc\hosts。メモ帳を管理者として実行して開きます。クリーンなhostsファイルはほぼコメント（#で始まる行）だけです。google.com、bing.comなどの正規ドメインがランダムなIPアドレスにマッピングされていたら、hostsファイルハイジャッキングです。最も古典的な手法ですが、誰もそこを見ないため今でも有効です。

リセットとスキャン

永続化を排除したら、ブラウザをリセットします。Chrome：設定→設定のリセット→「設定を元の既定値に戻す」。Firefox：about:supportと入力→「Firefoxを更新」。これはより積極的で、プロファイルを完全に新規作成しますが、まさにそれが必要なことです。ブックマークと保存されたパスワードはどちらでも残ります。

Windows Defenderのフルスキャンを実行。設定→プライバシーとセキュリティ→Windowsセキュリティ→ウイルスと脅威の防止→フルスキャン。次にMalwarebytes Freeでセカンドオピニオン。Defenderのデフォルト設定では無視されるPUPをキャッチします。完全なマルウェア駆除ガイドでセーフモードスキャンテクニックを解説しています。

DNS設定も確認してください。ブラウザに一切触れず、DNSを変更してすべてのウェブトラフィックを自分たちのサーバー経由にリルートするハイジャッカーもあります。コマンドプロンプトでipconfig /all、アクティブアダプターのDNSサーバー行を確認。ルーターのIP、ISPのDNS、または自分で設定したパブリックDNSのはずです。設定した覚えのない見知らぬアドレスがあれば、8.8.8.8と1.1.1.1に変更してください。DNSレベルの改ざんが疑われる場合はDNSガイドで完全な診断を解説しています。ルーター（192.168.1.1または192.168.0.1）にもログインしてDNSを確認してください。ルーターにアクセスしたマルウェアがルーターレベルでDNSを変更し、ネットワーク上のすべてのデバイスに影響を与えるケースがあります。

ハイジャッカー除去後、ハイジャッカーが有効だった間にログインしたすべてのアカウントのパスワードを変更してください。広い権限を持つハイジャッカー拡張機能はWebフォームの入力内容をすべて読み取れます。uBlock Originをインストールして、ハイジャッカーを配信するマルバタイジングチェーンをブロック。ソフトウェアのダウンロードには公式サイトかNinite.comを使い、インストールウィザードの各画面を注意深く読んでください。「推奨ブラウザ拡張機能をインストール」や「デフォルトの検索エンジンに設定」のチェックはデフォルトで入っています。これらすべてを行ってもハイジャッカーが戻ってくる場合は、永続化メカニズムをリモートで特定できます。どこを見るべきか正確に把握しているため、平均セッション時間は約20分です。