ブラウザーセキュリティ企業のLayerXは、人気の生成AIツールに対して有効な新たな攻撃手法を公開しました。この攻撃はブラウザー拡張機能を利用し、秘密裏にデータを外部に持ち出すことが可能です。
この手法はMan-in-the-Prompt(マン・イン・ザ・プロンプト)と名付けられており、ChatGPT、Gemini、Copilot、Claude、DeepSeekなど、非常に人気の高い大規模言語モデル(LLM)でテストされています。
LayerXは、特別な権限を持たない拡張機能であっても、これらのAIツールにアクセスし、機密データの提供や外部送信を指示するプロンプトを注入できることを実証しました。
「ユーザーがLLMベースのアシスタントとやり取りする際、プロンプト入力欄は通常、ページのDocument Object Model(DOM)の一部です。つまり、DOMへのスクリプトアクセス権を持つ任意のブラウザー拡張機能は、AIプロンプトを直接読み書きできるのです」とLayerXは説明しています。
AIのセキュリティ対策について詳しくは SecurityWeekのAIリスクサミット – 2025年8月19~20日、リッツカールトン・ハーフムーンベイにて開催
この攻撃は、企業が内部利用のために構築・カスタマイズしたLLMにとって最大の脅威となります。これらのAIモデルは、知的財産、企業文書、個人情報、財務書類、社内コミュニケーション、人事データなど、非常に機密性の高い情報を扱うことが多いです。
ChatGPTを標的とした概念実証(PoC)では、権限を持たない悪意のある拡張機能がバックグラウンドで新しいブラウザータブを開き、チャットボットを起動して情報の提供を指示できる様子が示されました。攻撃者はその後、データをコマンド&コントロール(C&C)サーバーに送信し、チャット履歴を消去して痕跡を隠すことができます。
攻撃者は、C&Cサーバー(リモートまたはローカルでホスト可能)から拡張機能とやり取りすることができます。
広告。スクロールして記事を読み続けてください。
GoogleのGeminiを標的としたPoCでは、LayerXは攻撃者がGoogle Workspace(Gmail、Docs、Meetなど)との統合を通じて企業データを狙う方法を示しました。これにより、悪意のあるブラウザー拡張機能がGeminiとやり取りし、メール、連絡先、ファイルやフォルダー、会議招待や要約の抽出を指示するプロンプトを注入できます。
攻撃者は、標的企業の顧客リストを取得したり、通話の要約を得たり、人物情報を収集したり、PII(個人識別情報)や知的財産などの機密情報を検索したりすることも可能です。
攻撃者がMan-in-the-Prompt攻撃を実行するには、標的ユーザーに悪意のあるブラウザー拡張機能をインストールさせる必要がありますが、LayerXの調査によると、企業の99%が少なくとも1つのブラウザー拡張機能を使用しており、50%は10個以上の拡張機能を利用しています。これは、多くの場合、攻撃者が標的にもう1つ拡張機能をインストールさせるのはそれほど難しくないことを示唆しています。
LayerXはSecurityWeekに対し、当初はGoogleにこの発見を報告したものの、同社はこれをソフトウェアの脆弱性とは見なさなかったと述べています。他のLLM開発者も同様の見解を持つ可能性が高いです。
セキュリティ企業としても、これはCVEの割り当てが必要な脆弱性ではなく、LLMとのやり取りに必要な権限レベルが低いという全体的な弱点であると認めています。
LayerXは、AIプロンプトとやり取りするリスナーやWebhookを検出するために、生成AIツールとのDOMのやり取りを監視し、行動リスクに基づいてブラウザー拡張機能をブロックすることを推奨しています。