人気のAI搭載Chrome拡張機能「SiderAI」と「MaxAI」に、深刻な脆弱性が2件発見されました。悪用された場合、攻撃者はブラウザセッションをひそかに乗っ取り、機密データを窃取するほか、あらゆるウェブサイトでアカウントの完全乗っ取りを行える可能性があります。
それぞれ「Spyder」「MaXSS」と命名されたこれらの欠陥は、開発ベンダーが責任ある開示の試みに応答しなかったため、現在もパッチが適用されていない状態です。
Rebora Security Researchは、「エージェント型サイドパネル」と呼ばれる新しいカテゴリのブラウザツールにこれらの欠陥を発見しました。エージェント型サイドパネルとは、ユーザーが訪問するすべてのウェブサイトにコードを注入し、要約・推論・対話型AIなどの機能を提供するAI駆動型の拡張機能です。
今回影響を受けた2つの拡張機能は、ChromeとEdgeを合わせて1,000万件を超えるインストール数を誇ります。SiderAI単体で1,000万件のインストール数を持ち、Chromeウェブストアの人気拡張機能トップ25にもランクインしています。MaxAIはさらに100万件のインストール数を持ちます。
エージェント型サイドパネルは、コンテンツスクリプトとバックグラウンドプロセスという2つの主要コンポーネントで動作します。
コンテンツスクリプトはユーザーが訪問するすべてのウェブページに注入され、ユーザーが見ている内容や操作に直接アクセスできます。一方、バックグラウンドプロセスは拡張機能のバックエンドとして機能し、コマンドや判断の中継役を担います。
このアーキテクチャは、ウェブページのJavaScriptがコンテンツスクリプトに干渉するのを防ぐセキュリティ境界を持つよう設計されていますが、SiderAIとMaxAIはいずれもその境界を適切に実装できていませんでした。
MaxAIのコンテンツスクリプトは、新しいタブを開いたりスクリーンショットを撮影したりといった強力なコマンドをバックグラウンドプロセスに中継するよう設計されていました。
致命的な欠陥は、コンテンツスクリプトがこれらの機密性の高いメッセージを、拡張機能本体ではなく任意のウェブページから受信した場合でも無条件に受け付け、バックグラウンドに転送してしまう点でした。
研究者らの実証によれば、攻撃者はユーザーの操作なしに、被害者のGmailやGoogleカレンダーを開いた非表示のブラウザタブでスクリーンショットを撮影し、ChatGPTやClaudeのアカウントにアクセスしてAIのメモリダンプを抽出できることが示されました。
SiderAIのコンテンツスクリプトは、任意のウェブサイトを埋め込み、クリックや入力などのユーザー操作をシミュレートすることで、ユーザーに代わってページコンテンツを操作できるよう構築されていました。
Reboraの研究者らは、一見正規に見えるウェブページから悪意あるイベントを生成し、ユーザーの同意なしにこの機能を起動させることに成功しました。
概念実証では、攻撃者が被害者のブラウザ内に非表示のGeminiセッションを開き、AIの保存済みメモリをダンプするプロンプトを注入し、「共有」ボタンをクリックして会話を公開状態にしたうえで、共有リンクを被害者に一切気づかれることなく攻撃者側へ送信することが示されています。
両拡張機能はブラウザに対して幅広い権限を持って動作しているため、攻撃対象の範囲は通常のウェブ悪用をはるかに超えます。
攻撃者はメールや文書、クラウドドライブのファイル、認証トークンの読み取りと窃取、被害者になりすましたメール送信や文書改ざん、セッション認証情報の盗取によるウェブサービス全体でのアカウント完全乗っ取り、さらに状況によってはOSの任意ファイルへのアクセスなども行える可能性があります。
組織にとっては、内部資産・知的財産・従業員のID情報が完全に侵害されるリスクを意味します。
責任ある開示プロセスに従ったにもかかわらず、SiderAI・MaxAIのいずれのベンダーも応答しませんでした。Chromeウェブストアの公式オーナーであるGoogleのセキュリティチームにも通知済みです。
両拡張機能は現在も脆弱なバージョンのまま公開されています。ユーザーはインストール済みの拡張機能を直ちに確認し、SiderAIまたはMaxAIが存在する場合はすぐに削除することが強く推奨されます。
AI駆動型ツールの普及が進み、高い権限を要求するケースが増えている現在、組織はブラウザ拡張機能のガバナンスをエンドポイントセキュリティ戦略における重要な柱として位置づける必要があります。
翻訳元: https://cyberpress.org/critical-chrome-extension-vulnerabilities/
