セキュリティ研究者は、正規のAIツールになりすまし、ChatGPTおよびDeepSeekの会話を攻撃者が管理するサーバーへ密かに流出させる2つの悪意あるブラウザ拡張機能を通じて、90万人超のChromeユーザーを標的にした高度なデータ窃取キャンペーンを突き止めた。
この発見は、2025年12月29日にOX Securityが報告したもので、AI生産性ツールに対するユーザーの信頼を悪用する組織的な脅威オペレーションの実態を明らかにしている。
拡張機能「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」(60万件以上のインストール)と「AI Sidebar with Deepseek, ChatGPT, Claude and more」(30万件以上のインストール)は、正規のAIサイドバーツールであるAITOPIAの派生版を装いながら、Googleの審査プロセスにもかかわらず稼働し続ける悪意あるデータ収集機能を埋め込んでいる。
このマルウェアは、すべてのWebサイトの内容を読み取れる広範なブラウザ権限を通じて動作する。
ユーザーがChatGPTまたはDeepSeekのプラットフォームを利用すると、拡張機能はプロンプト、AIの応答、関連メタデータを含む会話の完全な書き起こしをリアルタイムで取得する。
盗まれたデータは当初ローカルに保存され、その後30分ごとにdeepaichats[.]com上のコマンド&コントロール基盤へ送信される。
会話の窃取にとどまらず、拡張機能はすべての閲覧活動を監視し、開いているタブの完全なURL、検索クエリ、URLパラメータを抽出することで、セッショントークン、認証情報、機微な検索履歴が漏えいする可能性がある。
この収集範囲の広さにより、侵害は重大な情報漏えいインシデントへと発展する。
流出した会話は特に深刻だ。ユーザーは、プラットフォーム側のセキュリティ保護が機能していると考え、AIモデルに対して独自のソースコード、機密の事業戦略、個人を特定できる情報、機微な社内コミュニケーションを共有することが多い。
これらの拡張機能はそうした前提を完全に回避し、暗号化されていない会話内容への直接アクセスを可能にする。
脅威アクターはソーシャルエンジニアリング手法を用い、「匿名で個人を特定できない分析データ」への許可を求めながら、会話内容を丸ごと収集する。
さらに、ユーザーが一方の拡張機能をアンインストールすると、もう一方が自動的に新しいブラウザタブで開く。これは、侵害されたユーザーベース全体で常駐を維持するために設計された連携メカニズムである。
インフラを隠蔽するため、攻撃者はAI駆動のWeb開発プラットフォーム「Lovable」を悪用して偽のプライバシーポリシーやリダイレクトページをホストし、研究者による帰属特定やテイクダウンの取り組みを意図的に困難にしている。
注目すべきことに、OX Securityの12月29日の報告とGoogleによる審査確認にもかかわらず、公開時点で両拡張機能はChromeウェブストア上で有効なままだった。
最初の拡張機能はGoogleの「Featured」バッジを表示し続けており、正当性があるかのように見せるこの印が、インストール率を押し上げた可能性が高い。
組織は重大なリスクにさらされる。従業員がこれらの拡張機能をインストールすると、知的財産、顧客データ、機密通信、戦略的な事業情報が不正に開示される恐れがある。
影響を受けたユーザーは直ちにchrome://extensions/にアクセスして両方の悪意ある拡張機能を削除し、AIプラットフォームを通じて共有した機微なデータについて緩和策が必要かどうかを検討すべきである。