Cato Networksは「HashJack」と名付けた新たな攻撃手法を発見したと発表した。これは正規のURLの「#」以降に悪意あるプロンプトを隠し、AIブラウザアシスタントにそれらを実行させる一方で、従来型のネットワークおよびサーバー側の防御をすり抜けるというものだ。
プロンプトインジェクションとは、ユーザーが書いていないテキストがAIボットへのコマンドになってしまう状況を指す。プロンプト入力の段階で不要なテキストが直接入力される場合は「直接的」プロンプトインジェクションであり、要約を依頼されたウェブページやPDFなどのコンテンツ内に隠されたコマンドが含まれ、それをAIがユーザー入力であるかのように実行してしまう場合は「間接的」インジェクションとなる。AIブラウザは、ユーザーの意図を推測して自律的に行動しようとする比較的新しいタイプのウェブブラウザだが、これまでのところ間接的プロンプトインジェクションに対して特に脆弱であることが判明している。役に立とうとするあまり、エンドユーザーではなく攻撃者を手助けしてしまうことがあるのだ。
Catoは、HashJackを「AIブラウザアシスタントを操作するために、あらゆる正規サイトを兵器化できる、初めて知られた間接的プロンプトインジェクション」として説明している。この手法では、攻撃者が正規URLのフラグメント部分に悪意ある命令を忍ばせ、それがEdgeのCopilot、ChromeのGemini、そしてPerplexity AIのCometといったAIブラウザアシスタントによって処理される。URLフラグメントはAIブラウザの外には決して送信されないため、従来のネットワークおよびサーバー防御からは見えず、正規サイトが攻撃ベクターへと変貌してしまう。
この新しい手法は、通常のURLの末尾に「#」を付けることで動作する。これによってURLの遷移先は変わらないが、その記号の後ろに悪意ある命令を追加できる。ユーザーがAIブラウザアシスタントを通じてページとやり取りすると、その命令が大規模言語モデルに渡され、データの持ち出し、フィッシング、誤情報の拡散、マルウェアの作成支援、さらには誤った投薬量の案内といった医療上の危害に至るまで、さまざまな結果を引き起こし得る。
「この発見が特に危険なのは、URLを通じて正規のウェブサイトを兵器化してしまう点です。ユーザーは信頼できるサイトを見て、自分のAIブラウザを信頼し、その結果としてAIアシスタントの出力を信頼します――そのため、従来のフィッシングよりも成功の可能性がはるかに高くなります」と、Cato Networksの研究者であるVitaly Simonovich氏は述べている。
テストでは、Cato CTRL(Catoの脅威研究部門)は、Cometのようなエージェント機能を備えたAIブラウザが、ユーザーデータを攻撃者が管理するエンドポイントへ送信するよう命令され得ることを確認した。一方、より受動的なアシスタントであっても、誤解を招く指示や悪意あるリンクを表示させることが可能だった。これは典型的な「直接的」プロンプトインジェクションとは大きく異なる。ユーザーは自分が信頼できるページとだけやり取りしていると思い込んでいる一方で、隠されたフラグメントが攻撃者のリンクを供給したり、バックグラウンドでの呼び出しをトリガーしたりしているからだ。
Catoの開示タイムラインによると、GoogleとMicrosoftには8月にHashJackが通知され、Perplexityには7月に報告された。Googleはこれを「修正しない(意図した挙動)」かつ重大度は低いと分類した一方で、PerplexityとMicrosoftはそれぞれのAIブラウザに対して修正を適用した。
「Microsoftでは、間接的プロンプトインジェクション攻撃への防御は単なる技術的課題ではなく、絶えず変化するデジタル環境の中でユーザーを安全に保つという継続的な取り組みであると理解しています」と、レドモンドは声明で述べた。「当社のセキュリティチームは常に新たな亜種を警戒しており、それぞれを徹底的な調査に値する固有のシナリオとして扱っています。この警戒姿勢を維持することで、当社製品が最高水準のセキュリティを満たし続けることを保証しています。」
Catoの調査結果は、セキュリティチームが新たな攻撃を検知するために、もはやネットワークログやサーバー側のURLフィルタリングだけに頼ることはできないことを示している。Catoは、AIガバナンス、不審なフラグメントのブロック、許可するAIアシスタントの制限、クライアント側の監視といった多層防御を提案している。このシフトは、組織がウェブサイトそのものだけでなく、ブラウザとアシスタントの組み合わせが隠れたコンテキストをどのように処理しているかにも目を向ける必要があることを意味する。
AIブラウザが一般利用の瀬戸際にある今、HashJackは、これまでサーバーの脆弱性やフィッシングサイトに限られていた一連の脅威が、ブラウジング体験そのものの内部に存在し得ることを警告している。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/25/hashjack_attack_ai_browser_hashtag/
