サイバーセキュリティ研究者らは、Chrome Web Store上で新たに2つの悪意ある拡張機能が発見されたと報告しました。これらの拡張機能は、OpenAI ChatGPTおよびDeepSeekといった主要な生成AIサービスとの会話履歴、さらにはユーザーの閲覧データを攻撃者側のサーバーへ密かに送信するように設計されていました。
影響を受けたユーザーは合計で90万人以上に上るとされ、大規模な情報漏洩の脅威に直面しています。確認された拡張機能の一つは、「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」という名称で、人気AIモデルへのアクセスを謳うことで多数のユーザーを誘引していました。
生成AIの利用が一般化する中で、ユーザーが意図せずインストールしてしまうブラウザ拡張機能を経由した機密データの窃取事例は増加傾向にあります。拡張機能は、ブラウザがアクセスするほぼ全てのデータにアクセス権限を持つことが多いため、悪意あるコードが含まれている場合、AIとの機密性の高いやり取り(企業情報、個人情報、プロジェクトの詳細など)が第三者に容易に盗み出されます。
Web3セキュリティの観点からも、AIモデルとのやり取りには、スマートコントラクトやプライベートキーの取り扱いに関する重要な情報が含まれる可能性があるため、極めて重大なインシデントと捉えるべきです。ユーザーは、拡張機能をインストールする前に、提供元の信頼性、レビュー、要求される権限を厳しく精査することが強く推奨されます。
ソース元: Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users
コメント