悪意あるブラウザ拡張機能が、ChatGPT、Claude、Copilot、Gemini、DeepSeekといった主要AIプラットフォームのユーザーから、会話内容や個人データを積極的に収集しています。
この脅威は、表向きは便利に見えるChrome拡張機能として提供されるVPN、サイドバー、「AIアシスタント」などを悪用するものです。見かけ上は無害なChrome拡張機能を通じて、エージェント型AIとのやり取りを傍受し、チャット履歴を窃取するほか、ユーザーが生成AIに日常的に提供する機密情報を収集します。
複数の拡張機能の分析により、一貫した動作パターンが明らかになっています。インストール後、拡張機能はターゲットとなるAIドメインへのアクセスをブラウザ上で監視し、ページやiframeにJavaScriptを注入します。その後、DOMにレンダリングされたチャット内容やセッション識別子を取得し、収集したデータをBase64などでエンコードしてから、攻撃者が管理するサーバへ送信します。
例えば、プライバシー重視のサービスとして宣伝されていた「Urban VPN」には、悪意あるcontent.jsが含まれており、ChatGPT、Claude、Copilot、DeepSeek、Gemini、Grok、Meta AI、Perplexityへのアクセスを監視し、VPNが有効かどうかにかかわらずネットワーク通信を傍受していました。
また、「Smart Sidebar: ChatGPT, Claude & DeepSeek」という拡張機能は、DOMウォッチャーと完了トリガーセレクターを使用して、ユーザーの最後のプロンプトとモデルの回答を抽出し、chrome.storageにエントリを保存したうえで、定期的にまとめてサードパーティのURLへ送信していました。
ある「AIアシスタント」拡張機能は、リモートのチャットiframeを埋め込み、postMessageを使って外部インフラと設定やコンテンツをやり取りしており、リモートエンドポイントが悪意あるものであった場合に追加の情報窃取経路となっていました。
こうした悪意ある拡張機能には、2つの技術的特徴が繰り返し見られます。1つ目は通信の傍受です。注入されたスクリプトがfetch/XHR関数をオーバーライドするか、DOMの変化を監視することで、完全にレンダリングされたメッセージと、チャットIDやタイムスタンプ、会話の配列などのメタデータを取得します。
2つ目はステルス性の維持です。収集したデータはローカルにバッファリングされ、即時検出を避けるために機会をみて送信されます。また、ディレクトリ名やリソースパスは正規のプロジェクトを模倣しており、簡易なレビューでの発見を困難にしています。
GDataがGBhackersに共有したレポートによると、攻撃者はコードの難読化に加え、バックグラウンドスクリプト・ストレージAPI・メッセージングといったChrome拡張機能のライフサイクル機能を活用して、通常の拡張機能の挙動に紛れ込んでいます。
AIチャットボットユーザーを標的に
これらの拡張機能がもたらすリスクは決して軽視できません。ユーザーは健康状態、財務情報、知的財産、そして機密性の高い企業データをAIツールに開示しているからです。
AITOPIA AIのディレクトリ構造は、オールインワン型のAIアシスタントプラットフォームを模倣しようとした可能性を示唆しています。
傍受された会話は、恐喝、産業スパイ、アカウント乗っ取り、ソーシャルエンジニアリングに直接悪用される可能性があります。企業にとっては、プロジェクトの詳細やソースコードの断片が流出することでコンプライアンス違反につながり、顧客データの漏洩を招く恐れもあります。
対策には多層的なコントロールが必要です。個人ユーザーはインストール済みの拡張機能を定期的に確認し、心当たりのないものや評判の低い拡張機能を削除したうえで、信頼できるAIベンダーが提供する公式の連携機能を優先して利用することをお勧めします。また、拡張機能のアクセス権限を確認し、ホスト全体への広範な読み書き権限の付与は避けてください。
セキュリティチームはグループポリシーを通じて拡張機能の許可リスト・禁止リストを展開し、管理されたソースからのみ拡張機能をインストールできるよう制限し、外部ドメインへの不審なPOST通信を検知するブラウザテレメトリを有効化してください。
ネットワーク防御担当者は、AIサイト訪問直後に発生するBase64エンコードされたペイロードを含む異常なアウトバウンド通信や、未知のエンドポイントへの繰り返しのPOST通信を監視することが重要です。
企業承認済み拡張機能のコードレビューや、VirusTotalやベンダーの脅威インテリジェンスを使った定期的な調査を行うことで、既知の悪意あるインジケーターを発見できます。サンプルとIoC(侵害の痕跡)については、KOI、OX Security、LayerXSecurityなどによる分析レポートをご参照ください。
長期的なリスク低減にはプラットフォーム側の変更が不可欠です。ブラウザベンダーはWebアプリのコンテンツにアクセスする拡張機能の審査を厳格化し、権限の細分化を進める必要があります。
AIサービスプロバイダーは、コンテンツセキュリティポリシーの強化、より厳格なCORSルール、サードパーティスクリプトによる会話DOMノードへのアクセスを防ぐオプションのメッセージレベル暗号化といったクライアントサイド対策を実施できます。
こうした対策が広く普及するまでの間、ユーザーはブラウザ拡張機能を追加の攻撃対象領域として認識し、特に生成AIモデルと機密性の高い会話を行う際は、その使用を制限する必要があります。
本記事で言及した技術的インジケーターや詳細情報については、KOIによるUrban VPNの分析、OX SecurityによるChatGPTおよびDeepSeekの会話を窃取する悪意ある拡張機能のレポート、LayerXSecurityによるiframeベースの偽アシスタントに関する解説、およびChromeデベロッパーガイダンスの「Featuredバッジ」と安全な拡張機能の実践に関するページをご参照ください。
翻訳元: https://gbhackers.com/ai-chatbot-users-targeted/
