Security

悪意あるAIブラウザー拡張機能がLLMチャットを窃取

3分で読める

概要

Microsoft Defender は、人気の AI アシスタント用アドオンを装った悪意ある Chromium ブラウザー拡張機能を発見しました。これらは ChatGPT や DeepSeek の機密性の高いプロンプト、応答、閲覧した URL、内部のブラウジングコンテキストを収集し、通常の HTTPS トラフィックに見せかけて静かに外部送信できます。この発見が重要なのは、これらの拡張機能が約 90 万回インストールされ、20,000 を超える企業テナントで確認されたと報告されており、信頼されたブラウザーマーケットプレイスと日常的な AI ワークフローが、組織にとって重大なデータ損失リスクになり得るためです。

Securityでお困りですか?専門家に相談する

はじめに: なぜ重要なのか

AI アシスタントのブラウザー拡張機能は、特に ChatGPT や DeepSeek への素早いアクセス手段として、ナレッジワーカー向けの「生産性」アドオンとして一般的になりつつあります。Microsoft Defender の調査は、この利便性がどのように企業のデータ流出経路へ変わり得るかを示しています。信頼されたマーケットプレイスからインストールされた正規品そっくりの拡張機能が、従来型のマルウェアのような挙動を見せることなく、機密性の高いプロンプト、応答、内部 URL を継続的に収集し、外部送信できるのです。

新たに判明したこと / 主な調査結果

Microsoft Defender は、次のような悪意ある Chromium 拡張機能を調査しました。

  • 正規の AI アシスタント拡張機能になりすます: 見慣れたブランド表現や権限要求を使って偽装します(Defender は AITOPIA のような著名ツールの模倣を指摘しています)。
  • LLM チャット内容とブラウジング テレメトリを収集: 具体的には次を含みます。
    • 閲覧した完全な URL(内部サイトを含む)
    • ChatGPTDeepSeek などのプラットフォームから取得した チャットの断片(プロンプトと応答)
    • モデル識別子、ナビゲーション コンテキスト、永続的な UUID
  • 通常の拡張機能のように永続化: ブラウザー起動時の自動再読み込みや、拡張機能のローカル ストレージへのテレメトリ保存を行います。
  • HTTPS POST で定期的にデータを外部送信: 通常の Web トラフィックに見える場合があります。

Defender の報告によると、これらの拡張機能は 約 90 万回インストール され、Defender のテレメトリでは 20,000 を超える企業テナント でアクティビティが確認されています。

攻撃の仕組み(概要)

  • 配布: AI 関連をうたう説明文とともに Chrome Web Store で公開されていました。Microsoft Edge は Chrome Web Store の拡張機能をサポートしている ため、同じ掲載情報で複数ブラウザーにまたがる拡散が可能です。
  • 信頼と権限の悪用: 広範な Chromium 拡張機能の権限により、ページ内容やブラウジング アクティビティを監視できました。誤解を招く同意メカニズム が使われ、ユーザーがオプトアウトした後でも アップデートによって既定でテレメトリが再有効化される 可能性がありました。
  • コマンド & コントロール: deepaichats[.]comchatsaigpt[.]com など、攻撃者が管理するドメインへ定期的にアップロードし、送信後は痕跡を減らすためにローカル バッファーを消去します。

IT 管理者とエンドユーザーへの影響

  • データ漏えいリスク: プロンプトには、独自コード、内部プロセス、戦略に関する議論、チャットへ貼り付けられた資格情報、その他の機密コンテンツが含まれることがあります。完全な URL の外部送信により、内部アプリケーション構造や機密性の高いクエリ文字列が明らかになる可能性があります。
  • コンプライアンスとプライバシーの露出: 取得されたチャット履歴には、規制対象データや個人データが含まれる可能性があり、保持、eDiscovery、データ所在地に関する義務対応を複雑にします。
  • 拡張機能リスクは「常時オン」になる: 一度限りのフィッシングとは異なり、悪意ある拡張機能はセッションをまたいでユーザー アクティビティを継続的に可視化できます。

推奨される対応 / 次のステップ

  1. 既知の外部送信先エンドポイントをハンティングしてブロックする: 外向きの HTTPS POST トラフィックを監視し、次の対象にネットワーク制御を適用します。
    • *.chatsaigpt.com
    • *.deepaichats.com
    • *.chataigpt.pro
    • *.chatgptsidebar.pro
  2. 管理対象エンドポイント全体でブラウザー拡張機能を棚卸しし監査する: 広範なサイト権限を持つ AI / サイドバー系ツールを重点的に確認します。
  3. 拡張機能のガバナンスを強化する:
    • 承認済み拡張機能の許可リストを使用する
    • 可能な限りインストール元を制限する
    • アップデート時の挙動と権限の変化を確認する
  4. Microsoft Defender Vulnerability Management を使って Browser extensions assessment を実行し、リスクの高い拡張機能を特定して修正対応の優先順位を付けます。
  5. ユーザー教育を実施する: AI チャットは機密性の高いコミュニケーションとして扱い、ツールとアクセス経路が明示的に承認されていない限り、秘密情報、トークン、独自コンテンツを貼り付けないようにします。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Microsoft Defender Security Research Teamの元の記事を読む
Microsoft Defenderbrowser extensionsdata exfiltrationAI securityChromium

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。