サイバーセキュリティ研究者らによって、OpenAI ChatGPTとDeepSeekの会話履歴、並びに閲覧データを、攻撃者支配下のサーバーへ不正に流出させる目的で設計された、二つの悪質なChrome拡張機能が新たに発見されました。この二つの拡張機能は、合計で90万ユーザー以上が導入していたことが判明しています。
本件は、AIチャットサービスの利用者が急増する現代において、クライアントサイドのセキュリティが如何に重要であるかを浮き彫りにする事例です。窃取された会話履歴には、ユーザーが業務中に扱った企業の機密情報や、個人的な財務情報、開発中のプロジェクトに関するプロンプトが含まれている可能性が極めて高く、その情報が悪用されるリスクは甚大です。
我々Web3.0のセキュリティ専門家として見過ごせないのは、こうした機密データが流出することで、資産保護にも間接的な影響が及ぶ点です。盗み出された情報を用いることで、より高度かつパーソナライズされたフィッシング詐欺やソーシャルエンジニアリング攻撃が可能になります。特に、ユーザーがAIに対して自身のウォレット情報やシードフレーズに関連する問い合わせを行っていた場合、資産を直接的に脅かす事態に発展しかねません。
ユーザーは、Chromeウェブストアからの拡張機能導入にあたり、提供元の信頼性、そして要求される権限(パーミッション)を厳格に確認する必要があります。ブラウザのセキュリティは、デジタルアセットを守るための第一の防御線であることを再認識すべきです。
コメント