Perplexity AIブランドを偽装し、ブラウザの検索を傍受してキー入力を記録したうえで、ユーザーを正規の検索結果へ誘導する悪意あるChromium拡張機能が確認されました。
この拡張機能は「Search for perplexity ai」(ID: flkebkiofojicogddingbdmcmkpbplcd、バージョン2.2)として公開されており、Manifest V3の機能、declarativeNetRequest(DNR)ルール、そしてタイポスクワッティングドメインperplexity-ai[.]onlineを組み合わせ、検索クエリと関連テレメトリを攻撃者管理のインフラへ記録する、ステルス性の高い二段階傍受パイプラインを構築していました。
MicrosoftはGoogleにこの拡張機能を報告し、本稿執筆時点ではChrome ウェブストアから削除されています。
インストール時、この拡張機能はchrome_settings_overridesを通じて自身をデフォルト検索プロバイダーとして設定し、完成したオムニボックスのクエリとsuggest_urlリクエスト(入力された1文字ごと)の両方を攻撃者のドメインへ転送していました。
その後、DNRルールを用いて即座にブラウザを期待通りの検索エンジン(Perplexity、Google、またはBing)へリダイレクトします。ユーザーに見える検索結果はそのままに、悪意あるサーバーへの最初のホップでは完全なクエリ文字列、HTTPヘッダー、ユーザーエージェント、送信元IPが収集されていました。
拡張機能のmanifestおよび付属のサーバーサイドコード(server.jsおよびnginx.conf)から、傍受が意図的なものであることが明らかです。server.jsはリクエストをプロキシして受信ヘッダーを記録し、緩やかなCORSポリシーを適用します。nginx.confは/searchエンドポイントにHTTPSとプロキシ機能を提供します。
このアーキテクチャにより、一見無害に見えるAI検索アドオンが、強力な監視・データ収集手段へと変貌します。
Perplexity AIを騙るChromium拡張機能
いくつかの技術的な選択が、この拡張機能のステルス性と機能を高めています。suggest_urlフィールドを使用することで、ユーザーがクエリを送信する前のリアルタイムなキーストローク単位のデータを攻撃者が取得できる仕組みとなっており、単純なリダイレクトにとどまらず、実質的にユーザーへの積極的な監視が行われていました。
Microsoft脅威インテリジェンスは、AIを活用した回答エンジンPerplexity AIを偽装し、ユーザーをだましてインストールさせる悪意あるChromiumベースの拡張機能を特定しました。
DNRパーミッションとして要求されたdeclarativeNetRequest、declarativeNetRequestFeedback、declarativeNetRequestWithHostAccessは、それぞれリダイレクト、どのルールが発動したかの監視、ホストスコープの傍受を可能にするものです。この組み合わせは、正規のAI検索アシスタントに合理的に必要とされる範囲を大きく超えています。
また、この拡張機能にはWasm(WebAssembly)の評価を許可する異例のcontent_security_policyが含まれており、manifestを再公開することなく将来的な機能拡張が可能な設計となっています。
脅威モデルは単純明快ながら影響は大きく、信頼されたAIブランドをタイポスクワッティングしてオンボーディングUXを模倣することで、攻撃者はインストール率を高めることができました。
インストール後、ユーザーには通常の検索動作が表示される一方、攻撃者側のインフラはプロファイリング、ターゲット広告、広告詐欺、あるいは攻撃者の意図次第でその他の悪用に活用できる豊富なシグナルを収集していました。
Microsoftは今回のサンプルにおいて認証情報窃取の確証は得られませんでしたが、収集されたテレメトリの広さと高い権限は、プライバシーおよびセキュリティ上の重大なリスクをもたらします。
このケースは、より広範な2つのトレンドを浮き彫りにしています。第一に、ブラウザ拡張機能はAPIやユーザートラフィックへの特権的アクセスを持つため、依然として高価値な攻撃対象となっています。
第二に、攻撃者はAIブランディングと現在のAIブームをソーシャルエンジニアリングの手段として活用し、認知度の高いAIサービスを偽装してユーザーの警戒心を低下させる手口が増加しています。
Microsoftはこれを、脅威アクターがAIを技術的な能力としてだけでなく、誘引手段としても活用しているという研究結果と関連付けています。
防御策は明確です。企業は拡張機能の許可リストを徹底し、信頼されていない拡張機能をブロックするポリシー制御を適用するべきです。また、ブラウザの検索設定への不正な変更や未知の中間ドメインへのアウトバウンドトラフィックを監視し、検索オーバーライドや強力なネットワーク操作APIを要求する拡張機能にはフラグを立てることが重要です。
Microsoft Defender SmartScreen、Edgeの拡張機能ガバナンス、継続的なストアレビュープロセスなどのプラットフォーム保護機能が、追加の緩和レイヤーを提供します。
Microsoftは検出と対応を支援するため、詳細なインジケーター、動的解析の結果、および高度なハンティングクエリを公開しています。組織はこれらのシグナルを取り込み、行動テレメトリをレピュテーションフィードと照合することが推奨されます。
Chrome ウェブストアからのこの拡張機能の削除は即時的なリスクを軽減しますが、信頼されたAIブランドのタイポスクワッティング、MV3/DNRを利用したサイレント傍受、サーバーサイドログの組み込みといった根本的な手口は再現可能です。
脅威アクターがAIブランディングとブラウザ拡張機能の特権を悪用して機密性の高いブラウジングアクティビティを収集し続ける中、セキュリティチームとユーザーは引き続き警戒を怠らないことが重要です。
サイバーセキュリティコンサルティング
侵害の痕跡(IOC)
| インジケーター | 種別 | 説明 |
| perplexity-ai[.]online | ドメイン | 検索リダイレクトに使用されたタイポスクワッティングドメイン |
| flkebkiofojicogddingbdmcmkpbplcd | 拡張機能ID | 悪意あるChromium拡張機能 |
| extension.tilda[.]ws/perplexityai | URL | インストール用オンボーディングページ |
注記: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみリファング(元に戻す処理)を行ってください。
翻訳元: https://gbhackers.com/chromium-extension-spoofs-perplexity-ai/
