Web3セキュリティ専門誌として、今回のブラウザ拡張機能による大規模なデータ侵害は、我々が常に警戒すべきサプライチェーンリスクを浮き彫りにしています。サイバーセキュリティ研究者らは、Chromeウェブストア上で合計90万以上のユーザーを持つ2つの悪意ある拡張機能を発見しました。これらの拡張機能は、ユーザーがOpenAI ChatGPTやDeepSeekと行った会話履歴、および通常のブラウザ閲覧データを標的とし、それらを攻撃者のサーバーへ密かに送信するように設計されていました。
Web3領域において、ブラウザ拡張機能はデジタルウォレットや分散型アプリケーション(dApps)へのゲートウェイとして機能するため、今回の事例は特に深刻な警告となります。具体的に、発見された拡張機能の一つは「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」という名前で、その機能の幅広さでユーザーを欺いていました。AIとの対話履歴には、業務上の機密情報や個人の財務情報が含まれる可能性が高く、その流出はプライバシー侵害を超え、フィッシングやターゲット型攻撃のリスクを増大させます。
ユーザーは、拡張機能をインストールする前に、要求される権限、特に「全てのウェブサイトのデータを読み取る」権限を厳しくチェックし、提供元の信頼性を徹底的に検証することが、デジタル資産とプライバシーを守る上での絶対条件です。
Source: Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users
コメント