広く利用されているChrome拡張機能に重大なセキュリティ上の欠陥が発見され、数百万人のユーザーがブラウザを完全に乗っ取られるリスクにさらされています。
「MaXSS」および「Spyder」と命名されたこれらの脆弱性は、AIを搭載した人気拡張機能「SiderAI」と「MaxAI」に影響を与えており、両者を合わせるとChromeおよび他のChromiumベースのブラウザへのインストール数は1,000万件を超えています。利便性を高めるためのAIアシスタントとして普及しているこれらの拡張機能が、インストールしているユーザーにとって深刻な攻撃経路となっています。
Chrome拡張機能の重大な脆弱性
これらの拡張機能は「エージェント型サイドパネル」と呼ばれる新たなカテゴリに属しており、要約・文脈に応じたアシスト・自動アクションといったAI駆動の機能でブラウジング体験を向上させる設計となっています。
しかし、Webセッションへの深い統合と高い権限が、堅固な分離と入力検証を欠いた実装においては深刻なセキュリティリスクをもたらします。実際には、信頼されていないWebページが間接的にこれらの拡張機能の強力な権限にアクセスできてしまう状態です。
両脆弱性の根本原因は、WebページとExtensionのコンテンツスクリプト間の通信における不適切な処理にあります。Chromeの拡張機能アーキテクチャでは、コンテンツスクリプトが信頼されていないWebコンテンツと特権を持つバックグラウンドプロセスの仲介役を担います。
この分離はセキュリティ境界を確保するための仕組みですが、SiderAIとMaxAIはいずれも、Webページからの入力をバックグラウンドコンポーネントに処理・転送する前に適切に検証することができていませんでした。
MaxAIのMaXSS脆弱性では、悪意のあるWebサイトが細工したメッセージを拡張機能のコンテンツスクリプトに送り込み、検証なしにバックグラウンドプロセスへ転送させることが可能です。
これにより、攻撃者は特権的なブラウザ操作を実行できるようになります。Reboraの研究者らが実証したところによると、攻撃者は隠しタブを開いてGmailやGoogleカレンダーといった機密性の高いアプリケーションのスクリーンショットを取得したり、ChatGPTやClaudeなどのAIプラットフォームを操作してユーザーデータを抜き出したりすることが可能です。
同様に、SiderAIのSpyder脆弱性では、攻撃者が埋め込みWebコンテキスト内でユーザー操作を模倣することが可能です。悪意のあるWebサイトが擬似的なイベントを発生させることで、拡張機能にプロンプトの入力・ボタンのクリック・機密データの外部送信といった操作を強制できます。
研究者らが示した概念実証では、攻撃者が被害者のAIアカウントにアクセスし、機密性の高い出力を生成させ、攻撃者が制御する公開リンク経由で情報を漏洩させる手順が明らかにされました。
これらの脆弱性の影響は甚大です。悪用に必要なのは、ユーザーが悪意のあるWebページを訪れるだけで、それ以外のユーザー操作は一切不要です。これらの拡張機能に付与された広範な権限を利用することで、攻撃者はメール・ドキュメント・認証トークンにアクセスしたり、複数のサービスにわたってユーザーになりすまして操作を実行したりすることが可能になります。
さらに一部のシナリオでは、ローカルファイルへのアクセスも懸念されると研究者らは指摘しており、一般ユーザーと企業の双方にとってリスクの深刻さはより一層高まっています。
責任ある開示の試みにもかかわらず、ベンダー側は回答しておらず、公開時点でもユーザーはリスクにさらされたままの状態です。Googleへも通知が行われましたが、即座の対応が確認されるには至っていません。
セキュリティの専門家らは、今回の件がAI統合型ソフトウェア、特に高い権限で動作するブラウザ拡張機能に共通する問題を浮き彫りにしていると警告しています。AIツールの普及が加速する中、ブラウザのエンドポイントはますます魅力的で脆弱な攻撃対象領域となっています。
ユーザーはインストール済みの拡張機能を確認し、SiderAIおよびMaxAIが存在する場合は直ちに削除することを強くお勧めします。また、組織においてはより厳格な拡張機能ポリシーの適用・ブラウザベースの脅威の監視・サードパーティツールへの権限制限を徹底し、リスクの低減を図ることが求められます。
翻訳元: https://gbhackers.com/critical-chrome-extension-vulnerabilities/
