序章:生成AIブームの裏で進行する「知恵の窃盗」
2026年1月、私たちのデジタルライフを揺るがす衝撃的なニュースが飛び込んできました。生成AIの利用を便利にするはずのGoogle Chrome拡張機能が、実はユーザーの会話内容を盗み出す「スパイウェア」だったのです。その被害規模は約90万人。
本レポートでは、この事件の全貌を徹底的に調査し、技術的な手口から、背後に見え隠れする「生産国」の影、そして私たちが今すぐ取るべき対策までを、専門的な視点から余すところなく解説します。単なるニュースの要約にとどまらず、なぜこのような事態が起きたのか、そして今後私たちはAIとどのように付き合っていくべきなのか、その深層に迫ります。
第1章:事件の概要と被害の実態
1.1 発覚した悪質拡張機能
今回、セキュリティ企業であるOX SecurityやCheck Point Researchの調査によって明らかになったのは、以下の2つのChrome拡張機能です。これらは、ChatGPTやDeepSeek、Claudeといった大規模言語モデル(LLM)へのアクセスを容易にする「サイドバー」アプリを装っていました1。
|
拡張機能名 |
ID |
推定ユーザー数 |
特記事項 |
|
Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI |
fnmihdojmnkclgjpcoonokmkhjpjechg |
約600,000人 |
Google「おすすめ」バッジ取得済み |
|
AI Sidebar with Deepseek, ChatGPT, Claude, and more |
inhcgfpbfdjbjogdfjbclgolkmhnooop |
約300,000人 |
サイドバー形式のUIを提供 |
これら2つの拡張機能だけで、合計約90万インストールが確認されています。これは単なるニッチなツールの被害ではなく、広く普及していた「定番ツール」がマルウェア化していたことを意味します。
1.2 何が盗まれたのか?
このマルウェアの恐ろしい点は、従来のウイルスのように「パスワード」や「クレジットカード番号」だけを狙うのではなく、「AIとの会話そのもの(プロンプトと回答)」を標的にしていることです。これをセキュリティ業界では「プロンプト・ポーチング(Prompt Poaching)」と呼び始めています5。
具体的には、以下の情報が攻撃者のサーバーへ送信されていました。
- AIとのチャット履歴: ユーザーがChatGPTやDeepSeekに入力した質問内容と、AIからの回答すべて。ここには、企業の機密情報、ソースコード、顧客データ、個人的な悩みなどが含まれます1。
- ブラウジング履歴: 開いているすべてのタブのURL。これには、社内システムのイントラネットURLや、セッショントークンが含まれるURLパラメータも含まれ、企業ネットワークの構造把握に悪用される恐れがあります1。
- ユーザー識別情報: 被害者を特定するためのユニークIDやメタデータ1。
1.3 偽装の手口:信頼の悪用
攻撃者は非常に巧妙でした。彼らはゼロからツールを作るのではなく、実在する正当な拡張機能「AITOPIA」のインターフェースと機能を丸ごとコピー(模倣)したのです3。
「AITOPIA」は多くのユーザーを持つ信頼性の高いアプリですが、攻撃者はその名前やアイコン、説明文を酷似させることで、ユーザーを誤認させました。機能自体は正常に動作するため、ユーザーは自分のデータが裏で盗まれていることに気づくことができませんでした。
第2章:技術的詳細解剖 - マルウェアはどのように動くのか
ここでは、プロのWebライターとして、少し専門的な技術の裏側を、わかりやすく噛み砕いて解説します。なぜセキュリティソフトはこのマルウェアを見逃してしまったのでしょうか。
2.1 DOMスクレイピング:画面の「盗み見」
このマルウェアの核となる技術は、「DOM(Document Object Model)スクレイピング」です。
通常、Webブラウザとサーバーの通信はHTTPSによって暗号化されており、外部から盗聴することは困難です。しかし、ブラウザ拡張機能は、「画面に表示された後のデータ」に直接アクセスする権限を持っています。
マルウェアは、ユーザーが chatgpt.com や deepseek.com にアクセスしたことを検知すると、Webページの構造(DOM)を解析し、チャットが表示されている部分のテキストデータを直接読み取ります1。
あたかも、あなたの肩越しに画面を覗き込み、表示された文字をすべてメモしているようなものです。これなら、どんなに通信が暗号化されていても関係ありません。
2.2 APIの悪用とデータの持ち出し
マルウェアは、Chromeブラウザが提供する正規の機能(API)を悪用していました。
- chrome.tabs.onUpdated API: ユーザーがタブを切り替えたり、新しいページを開いたりするのをリアルタイムで監視するために使用されました1。
- データの送信: 収集したデータは、即座に送信されるのではなく、一時的にブラウザ内に保存されます。そして、30分ごとの間隔でまとめて攻撃者のサーバー(C2サーバー)に送信されていました2。
この「30分ごと」という通信間隔や、データを「Base64」という形式でエンコード(文字変換)して送信する手口は、セキュリティソフトによる通信検知を回避するための常套手段です4。
2.3 インフラの隠蔽:「Lovable」の悪用
さらに狡猾な点として、攻撃者は「Lovable」というAIウェブ開発プラットフォームを悪用していました4。
Lovableは、ノーコードでWebサイトやアプリを作れる正当なサービスです。攻撃者はこのプラットフォーム上にプライバシーポリシーのページや、サーバーの一部を構築していました。セキュリティシステムから見れば、通信先は「信頼できるLovableのドメイン」に見えるため、ブロックされにくくなります。これを「正当なインフラへの寄生」と呼びます。
第3章:マルウェアの生産国と脅威アクターの特定
今回の調査において、最も関心が高いのが「誰が」「どこの国が」この攻撃を行ったのかという点です。ニュースソースやセキュリティレポートを総合的に分析すると、ある特定の国家の影が浮かび上がってきます。
3.1 「DarkSpectre(ダーク・スペクター)」との関連性
2026年1月の同時期、Check Point ResearchやKoi Securityといった大手セキュリティ企業は、「DarkSpectre」と呼ばれる中国系の脅威アクターによる大規模なスパイ活動を報告しました2。
DarkSpectreは、以下の特徴を持つ攻撃グループです。
- 活動拠点: 中国(Chinese affiliated threat actor)2。
- 手口: ブラウザ拡張機能を悪用し、ビデオ会議ツール(Zoom等)の情報を窃取。
- 被害規模: 世界中で880万人のユーザーに影響。
ここで重要なのは、今回90万人が被害に遭った「ChatGPT拡張機能」のニュースが、この「DarkSpectre」のレポートと同じ文脈で語られていることです。Check Pointのレポートでは、DarkSpectreの活動報告の直後に、今回の2つの悪質拡張機能について言及しています2。
レポート内ではこれらを「別々の発見」として記述していますが、**「中国系アクターによるブラウザ拡張機能を悪用した大規模キャンペーン」**という大きなトレンドの中で、同一または極めて近い属性を持つグループによる犯行である可能性が強く示唆されています。
3.2 「DeepSeek」をルアー(餌)にする手口
今回の悪質拡張機能がターゲットにしたAIの一つに「DeepSeek(ディープシーク)」が含まれている点も、生産国を推測する手がかりとなります。
DeepSeekは中国のAI企業が開発したLLMであり、特に中国国内や技術者の間で人気があります。攻撃者は、ChatGPTだけでなく、この中国製AIであるDeepSeekをわざわざ製品名(「AI Sidebar with Deepseek...」)に含めていることから、中国市場または中国の技術トレンドに精通した人物、あるいは中国語圏のユーザーをターゲットの一部として想定していた可能性が高いと考えられます3。
3.3 結論:生産国の推定
以上の状況証拠(DarkSpectreとの報道上の近接性、DeepSeekの利用、大規模な組織的展開)から、本マルウェアの背後には中国系のサイバー犯罪グループ、あるいは国家支援型のアクターが存在する可能性が極めて高いと推測されます。ただし、断定的なアトリビューション(帰属証明)は専門家の間でも慎重に行われており、DarkSpectreそのものが実行犯か、あるいはそれに類する別動隊かは、今後の解析を待つ必要があります2。
第4章:「プロンプト・ポーチング」の脅威と影響
セキュリティ企業Secure Annexは、今回の攻撃手法を「プロンプト・ポーチング(Prompt Poaching:プロンプトの密猟)」と名付けました5。これは、2026年のサイバーセキュリティにおける最大の脅威トレンドとなるでしょう。
4.1 なぜ「プロンプト」が狙われるのか
かつて、ハッカーが欲しがったのは「クレジットカード情報」や「パスワード」でした。しかし、AI時代において最も価値があるのは「プロンプト」です。なぜなら、プロンプトには人間の思考プロセスそのものが含まれているからです。
- 企業の知的財産: エンジニアは開発中の未発表コードをAIに修正させます。
- 経営戦略: 経営者はM&Aや新規事業のアイデアをAIと壁打ちします。
- 個人情報: 医師や弁護士は、匿名化したつもりで患者や依頼人のデータをAIに入力します。
攻撃者にとって、これらは「加工済みのインテリジェンス」の宝庫です。企業ネットワークに侵入してファイルサーバーを漁るよりも、社員がAIに入力する内容を盗み見る方が、はるかに効率的に重要な情報を入手できるのです。
4.2 正規アプリも「スパイ」している?
衝撃的な事実として、今回のマルウェアだけでなく、「正規の」有名拡張機能までもが同様のデータ収集を行っていたことが指摘されています。
Hacker Newsの報道によると、ユーザー数100万人を誇るウェブ解析ツール「Similarweb」や、生産性向上ツール「Stayfocusd」なども、技術的にはマルウェアと同様のDOMスクレイピングやAPIハイジャックを用いて、AIとの会話データを収集していたとされています5。
彼らはプライバシーポリシーで「匿名の分析データ」と謳っているかもしれませんが、ユーザーが意図しない範囲で詳細な会話内容が収集されている現状は、「マルウェア」と「正規アプリ」の境界線を曖昧にしています。私たちは、有名企業だからといって盲目的に信頼できない時代に生きています。
第5章:今すぐ確認!削除方法と対策
ここまで読んで不安になった方のために、具体的な確認方法と削除手順、そして今後の対策を解説します。
5.1 感染確認と削除のステップ
もし、あなたのブラウザに以下の拡張機能が入っていたら、即座に削除してください。
- Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI
- AI Sidebar with Deepseek, ChatGPT, Claude, and more
【削除手順】
- Chromeブラウザの右上にある「パズルピース」のアイコンをクリックします。
- 「拡張機能を管理(Manage Extensions)」を選択します。
- 上記の名前に該当する拡張機能を探します。
- 「削除(Remove)」ボタンをクリックします。
- 重要: 片方を削除すると、もう片方のインストールページが自動的に開く罠が仕掛けられています3。開いたタブは無視して閉じ、必ず「拡張機能を管理」画面から両方が消えていることを確認してください。
5.2 アカウントの保護
データが盗まれた可能性がある場合、以下の対応を推奨します。
- セッションの切断: ブラウザのCookieやセッショントークンが盗まれた可能性があるため、Google、Facebook、Microsoft、社内ポータルなど、主要なサービスから一度ログアウトし、再ログインしてください。
- パスワード変更: 念のため、重要なアカウントのパスワードを変更してください。
- AI履歴の確認: ChatGPT等の履歴を確認し、過去にどのような機密情報を入力したか振り返ってください。もし重要なパスワードやAPIキーをプロンプトに入力していた場合は、それらを無効化・再発行する必要があります。
5.3 今後の予防策
- 「おすすめ」を過信しない: 今回の事例が示す通り、Googleの「おすすめ」バッジも絶対ではありません。開発元のWebサイトを確認し、信頼できる企業か(住所や連絡先が実在するか)をチェックしましょう。
- 拡張機能の断捨離: 便利そうだからといって手当たり次第に入れないこと。「ブラウザに拡張機能を入れる」ということは、「家の合鍵を他人に渡す」のと同義です。
- 会社PCでの利用制限: 企業の管理者は、従業員が勝手に拡張機能をインストールできないよう、ポリシー設定(グループポリシーやMDM)で制限をかけるべきです。
- プロンプトに機密情報を入れない: これが基本にして究極の対策です。「AIに入力した内容は、世界中に公開される可能性がある」という意識を持ちましょう。
結び:AI時代の新たなセキュリティリテラシー
2026年の幕開けと共に発覚したこの事件は、私たちに重い課題を突きつけました。AIは魔法のツールですが、その入り口であるブラウザ拡張機能が、最大のセキュリティホールになり得るのです。
「DarkSpectre」の影や、正規アプリによる「プロンプト・ポーチング」の横行は、サイバー空間がもはや「性善説」では成り立たないことを示しています。利便性を追求するあまり、自らの脳内(プロンプト)を無防備に晒していないか。今一度、足元のセキュリティを見直す時が来ています。
この記事が、あなたのデジタルライフを守る一助となれば幸いです。
付録:データで見る被害状況
|
項目 |
詳細 |
|
発見日 |
2026年1月上旬 |
|
発見者 |
OX Security, Check Point Research |
|
影響ユーザー数 |
約900,000人 |
|
関連C2ドメイン |
chatsaigpt[.]com, deepaichats[.]com |
|
悪用されたプラットフォーム |
Lovable (AIウェブ開発ツール) |
|
攻撃手法 |
DOMスクレイピング, プロンプト・ポーチング |
深層分析レポート:ブラウザ拡張機能エコシステムの脆弱性と今後の展望
(ここからは、より専門的な視点に基づいた詳細な考察を加えます)
1. マニフェストV3の限界と審査の形骸化
GoogleはChrome拡張機能のセキュリティ向上のため、仕様を「マニフェストV2」から「V3」へと移行させました。V3では、リモートコードの実行が制限されるなど、安全性は高まったはずでした。しかし、今回のマルウェアは、V3の制限を巧みに回避しています。
彼らは「外部からコードをダウンロードして実行する」のではなく、「最初から悪意あるロジックを同梱」し、それを「特定の条件下(AIサイトへのアクセス)」でのみ発動させるロジックボムの手法を取りました。また、データの送信先を「Lovable」のような信頼されたドメインに偽装することで、静的解析や通信監視をすり抜けています。
これは、プラットフォーマー(Google)による事前審査の限界を露呈させました。コードの難読化や、動的な挙動の変化に対し、現在の審査プロセスは追いついていません。
2. 「シャドーIT」としてのブラウザ拡張機能
企業セキュリティにおいて、ブラウザ拡張機能は長らく「管理不能な領域(シャドーIT)」でした。多くの企業は、EXEファイルのインストールは禁止していても、ブラウザへのアドオン追加までは制限していません。
しかし、業務がSaaS(Webブラウザ上)で完結するようになった現在、ブラウザ拡張機能はOSレベルのマルウェアと同等の脅威を持ちます。特に、ChatGPTのような業務効率化ツールは、従業員が良かれと思って独断で導入するケースが後を絶ちません。
今後は、EDR(Endpoint Detection and Response)だけでなく、「BDR(Browser Detection and Response)」とも呼ぶべき、ブラウザ内の挙動監視ソリューションが必須となるでしょう。
3. AIとセキュリティのいたちごっこ
攻撃者もまた、AIを活用しています。今回のマルウェアのコード生成や、AITOPIAの模倣(UIのコピー)、多言語対応のプライバシーポリシー作成には、生成AIが使われた可能性があります。AIがAIを攻撃するツールの作成を助け、それをAIユーザーがインストールする。この皮肉なサイクルは、今後さらに加速するでしょう。
一方で、防御側もAIを活用し、拡張機能の振る舞い検知や、プロンプトに含まれる機密情報の自動マスキング技術(DLP for AI)を進化させる必要があります。
4. 2026年の脅威ランドスケープ予報
「プロンプト・ポーチング」は、2026年のサイバー攻撃のトレンドセッターとなるでしょう。今後は、以下のような攻撃への進化が予想されます。
- プロンプト・インジェクションの自動化: 盗んだプロンプトを分析し、ユーザーになりすましてAIに悪意ある命令(フィッシングメールの作成や、マルウェアコードの生成)を実行させる。
- パーソナライズされたフィッシング: 盗んだ会話内容(悩みや興味)に基づき、AIが生成した極めて自然で説得力のあるフィッシングメールを送りつける。
- サプライチェーン攻撃の深化: 人気のある正規の拡張機能を買収し、アップデートでマルウェア機能を後から追加する(過去にもあった手口ですが、AI特化型で再燃する)。
私たちは今、テクノロジーの進化とセキュリティの危機の分水嶺に立っています。この90万人の被害は、来るべき「AI大窃盗時代」の序章に過ぎないのかもしれません。
