エンタープライズ向けブラウザセキュリティ企業のSquareXは、悪意のあるブラウザ拡張機能がAIサイドバーインターフェースになりすまし、フィッシングやその他の悪意ある目的に利用される可能性を実証しました。
この攻撃手法はAIサイドバーなりすましと名付けられており、PerplexityのCometやOpenAIの新しいウェブブラウザChatGPT Atlasに対して実証されています。しかし、SquareXはこれはシステム的な欠陥であり、AIブラウザだけでなく、Edge、Brave、Firefoxも同様に脆弱であると主張しています。
AIサイドバーは、ウェブブラウザに統合されたAIチャットウィンドウであり、通常は画面の側面に表示され、現在のページの内容を処理したり、ユーザーのプロンプトに基づいてアクションを実行したりします。
ChatGPT AtlasやCometは専用のAIブラウザですが、EdgeやChromeなどのアプリケーションもCopilotやGeminiによって動作するAIアシスタントを統合しています。FirefoxやBraveにもAIサイドバーがありますが、独自のLLMではなくサードパーティのチャットボットを利用しています。
SquareXの研究者は、攻撃者がターゲットユーザーに悪意のあるブラウザ拡張機能をインストールさせることで、ブラウザ内の信頼されたAIサイドバーをなりすます方法を実証しました。この拡張機能は攻撃者が一から作成し、無害なツールに偽装することも、正規の拡張機能を侵害・改変して利用することも可能です。
なお、悪意のある拡張機能にはホストおよびストレージの権限が必要ですが、セキュリティ企業はこれらが多くの人気拡張機能で一般的に要求される権限であると指摘しています。
被害者が新しいブラウザタブを開くと、悪意のある拡張機能がページにJavaScriptを注入し、正規のAIサイドバーと全く同じ偽のサイドバーを作成します。
「なりすましされたAIサイドバーと本物のAIサイドバーの間に視覚的・操作上の違いがないため、ユーザーは本物のAIブラウザサイドバーとやり取りしていると信じてしまう可能性が高い」とSquareXは説明しています。
「ユーザーがなりすましAIサイドバーにプロンプトを入力すると、拡張機能はそのLLMにフックして応答を生成します。しかし、重要な違いは、特定の指示やガイドを要求するプロンプトを検出した場合、応答を操作して悪意のある手順を含める点です。ユーザーはその手順を実行してしまうことになります」とも付け加えています。
SquareXは、AIサイドバーなりすましがフィッシングやマルウェア配布に悪用される可能性を示しました。例えば、悪意のあるサイドバーは、暗号通貨サービスについて尋ねたユーザーをフィッシングサイトに誘導することができます。
被害者がコマンドの実行を必要とするアプリのインストール支援を求めた場合、偽のAIサイドバーはリバースシェルを実行する手順を表示し、デバイスへのリモートアクセスを許可してマルウェアの展開を可能にします。
悪意のあるブラウザ拡張機能の利用に加え、SquareXは攻撃者がネイティブに偽のAIサイドバーを統合したウェブサイトを設置することもできると指摘しています。しかし、悪意のある拡張機能を利用した攻撃ベクトルの方が、あらゆるウェブサイトで実行可能なため、より重大です。
SquareXはSecurityWeekに対し、今回の発見をPerplexityおよびOpenAIに報告したと述べています。
しかし、この種の脆弱性は、攻撃の成功に被害者の大きな関与が必要となるため、完全に対処するのは通常困難です。
OpenAIはAtlas発表のブログ記事で、さまざまなリスクを防ぐためのセーフガードを追加したと指摘しています。例えば、ChatGPTエージェントはブラウザ内でコードを実行したり、ファイルをダウンロードしたり、拡張機能をインストールしたり、デバイス上の他のアプリにアクセスしたりできません。
しかし、攻撃者がソーシャルエンジニアリングを用いて被害者に拡張機能をインストールさせ、偽のAIサイドバーとやり取りさせ、チャットボットからの指示を信じ込ませた場合、こうした保護策の効果は限定的です。
悪意のあるブラウザ拡張機能を利用した攻撃は、以前にもChatGPT、Gemini、Copilot、Claude、DeepSeekなどの人気LLMに対して実証されています。
