サイバーセキュリティ研究者らにより、Chromeウェブストアで提供されていた悪質なブラウザ拡張機能2つが特定されました。これらの拡張機能は合計90万ユーザー以上に影響を及ぼし、OpenAI ChatGPTおよびDeepSeek AIでのユーザーとの会話内容を、ブラウザ閲覧データと共に、攻撃者の管理するサーバーへ秘密裏に送信するよう設計されていました。
確認された拡張機能の一つは、「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」と称し、人気のAIサービスの機能を拡充すると偽装していました。
本件は、AIサービスが普及する中で、利便性のためにサードパーティ製ツールに広範な権限を与えてしまうことの危険性を改めて示しています。特にWeb3領域のユーザーにとって、ブラウザはウォレット操作やトランザクション署名といった機密性の高い操作を行う基盤です。ブラウザ拡張機能は、内部で広範な権限を持つため、データの盗難やアカウント侵害の理想的な経路となり得ます。
Web3セキュリティ専門家として、私たちは全てのユーザーに対し、インストールする拡張機能の提供元の信頼性を厳格に評価し、最小権限の原則(Principle of Least Privilege)を適用することを強く推奨します。ブラウザ環境の健全性を維持することが、デジタル資産と機密通信を保護するための最前線となります。
Source: Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users
コメント