2025年11月25日、サイバーセキュリティ企業のCato Networksは、HashJackという新たな脅威を明らかにしました。これは、ウェブアドレス(URL)内の単なるシャープ記号(#)が、GoogleのGemini、MicrosoftのCopilot、PerplexityのCometといったAIブラウザアシスタントに対して悪意のある指示を隠す手口です。
脆弱性の内容
HashJackは、攻撃者がAIが後で読むコンテンツ、今回はURL自体にコマンドを隠す間接的プロンプトインジェクション手法の初めての例です。これにより、HashJackはAIアシスタントがURLの#以降(URLフラグメント)も含めて全体を読み取る仕組みを悪用します。通常、ウェブサーバーはこの部分を無視します。
この手法により、攻撃者はサイト自体をハッキングせずとも、あらゆる正規のウェブサイトを悪用できるようになります。Cato Networksの上級セキュリティ研究者Vitaly Simonovich氏によれば、弱点はAIアシスタントのURLの扱い方にあります。ユーザーは正規サイトを信頼しているため、AIが操作されたアドバイスも信じてしまうのです。
隠されたコマンドは、ユーザーにログイン情報を漏らさせる(認証情報の窃取)や、誤った健康関連アドバイスを与える(医療被害)など、さまざまな悪意ある行動につながります。さらに深刻なのは、高度なエージェントモード(AIが自動でタスクを実行するモード)では、アシスタントがバックグラウンドで攻撃者のURLにアクセスし、機密データを盗み出す(データ流出)よう指示できることです。
さらに、AIはシステムポートの開放や、実際にはマルウェアであるパッケージのダウンロードなど、危険な技術的作業の手順を案内するよう誘導される可能性もあります。研究者によると、PerplexityのCometのような一部の高度なAIブラウザでは、攻撃がさらにエスカレートし、AIアシスタントが自動的にユーザーデータを外部アドレスへ送信することも可能です。
テック大手の対応はまちまち
Cato Networksの脅威調査チームは、2025年7月と8月から影響を受ける企業に調査結果を通知しました。Microsoftは迅速に対応し、10月27日にEdge用Copilotの修正を適用しました。Perplexityも2025年11月18日までにCometブラウザの修正を実施しました。
しかしGoogleは、ChromeのGeminiに対してまだ問題を解決していません。2025年10月、Google Abuse VRP / Trust & Safetyはこの報告を「修正しない(意図した挙動)」として低い深刻度でマークしました。調査結果が公開された時点でも、この問題は未解決のままでした。
Cato CTRL™脅威調査チームがHackread.comに独占提供した調査結果は、悪意のあるコマンドがURLフラグメントに隠され、従来のファイアウォールを回避するという新たなAIセキュリティリスクを提示しています。この発見は、AIアシスタントが機密データを扱う以上、ベンダーはAI設計の欠陥を早急に修正し、今後の文脈操作攻撃を防ぐ必要があることを業界に警告しています。
翻訳元: https://hackread.com/hashjack-attack-url-control-ai-browser-behavior/
