Web3セキュリティ専門誌として、重大なプライバシー侵害事案を報じます。Chrome Web Storeで公開されていた2つの悪意ある拡張機能が、合計90万を超えるユーザーの機密データを窃取していたことが判明しました。標的とされたのは、OpenAIのChatGPTおよびDeepSeek AIでの対話履歴です。これらの拡張機能(例:「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」)は、ユーザーの閲覧データとともに、AIチャットセッションの内容を攻撃者が管理するサーバーへ密かに送信するように設計されていました。ブラウザ拡張機能は、利便性と引き換えにユーザーの広範な活動に対する権限を要求します。Web3の世界では、ウォレット操作や機密性の高いトランザクション署名も拡張機能に依存しているため、この種のサプライチェーン攻撃や信頼性の低いツールのインストールは致命的なリスクとなります。我々は、すべてのユーザーに対し、拡張機能が要求する権限を厳しく監査し、出所不明のツールを排除するゼロトラストの原則を徹底するよう強く求めます。
Source: Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users
コメント