サイバーセキュリティ研究者により、合計で90万ユーザー以上からOpenAI ChatGPTおよびDeepSeekのチャット履歴と閲覧データを攻撃者側のサーバーへ密かに送信する、悪意のあるChrome拡張機能が2種類発見されました。これはWeb2レイヤーでの攻撃ですが、Web3ユーザーにとって見過ごせない重大なセキュリティリスクを含んでいます。
具体的には、「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」などの名称でストアに公開されていたこれらの拡張機能は、ユーザーがAIと交わした機密性の高い対話内容だけでなく、広範な閲覧履歴も盗み出していました。
Web3セキュリティの観点から、ブラウザ拡張機能はMetamaskなどのウォレットの基盤となるため、その権限の濫用は即座に資産盗難に繋がりかねません。盗まれた閲覧データやセッショントークンは、dAppへのアクセスやフィッシング攻撃の足がかりとして悪用される危険性があります。我々専門誌は、すべてのWeb3ユーザーに対し、要求される権限を厳格に監査し、重要なウォレット操作には拡張機能を最小限に抑えた専用のブラウザプロファイルを使用することを強く推奨します。
Source: Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users
コメント