約90万人分のChatGPTなどの会話が盗まれた可能性
AIチャットは、仕事の相談やアイデア整理、場合によっては社内情報の下書きなど、非常に幅広い用途で使われています。
しかし、その便利さの裏で、見過ごされがちなリスクが明らかになりました。
2025年12月29日、サイバーセキュリティ研究者により、悪意のある Google Chrome拡張機能が、約90万人のユーザーからAIチャットの会話内容を盗み出していたことが判明しました。
対象となったのは ChatGPT や DeepSeek など、利用者の多いAIサービスです。
正規ツールを装った拡張機能
発見したのはセキュリティ企業OX Security
この不正行為を発見したのは、サイバーセキュリティ企業 OX Security です。
OX Securityは日常的な脅威分析の中で、見た目は無害に見えるChrome拡張機能の挙動に異常があることに気づきました。
調査の結果、これらの拡張機能は、複数のAIチャットボットをまとめて使えるAIサイドバーを提供する正規のChrome拡張機能「AITOPIA」になりすましていたことが分かりました。
悪意のある拡張機能は、
正規版と同じような見た目と機能を持つ
ユーザーに違和感を与えない
という点で、非常に巧妙に作られていました。
30分ごとにデータを外部送信
何が盗まれていたのか
問題の拡張機能は、単にAIを使いやすくするだけではありませんでした。
内部では、次のような情報を約30分ごとに、攻撃者が管理するサーバーへ密かに送信していました。
ChatGPTやDeepSeekとのチャット内容
閲覧していたウェブサイトのURL
ログイン状態を示すセッショントークン
セッショントークンとは、ログイン中であることを証明する情報です。これが漏れると、第三者が本人になりすましてサービスを利用できる可能性があります。
実際に確認された2つの拡張機能
今回のキャンペーンで特定された拡張機能は、次の2つです。
「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」
インストール数は約60万件
「AI Sidebar with Deepseek, ChatGPT, Claude, and more」
インストール数は約30万件
特に深刻なのは、これらのうち1つがChrome ウェブストアで「Featured」バッジを付与されていた点です。
このバッジは、本来、優れた品質やセキュリティ基準を満たしている拡張機能に与えられるものです。
Chromeの権限システムを巧妙に悪用
OX Securityによると、悪意のある拡張機能は、
「匿名で識別不可能な分析データを収集する」
という名目で権限を要求していました。
しかし、実際にはその権限を使って、ユーザーの行動を広範囲に監視していたのです。
Chromeの権限表示を細かく確認しない利用者が多い点を突いた手口と言えます。
チャット内容はどのように盗まれたのか
マルウェアは、ユーザーがChatGPTやDeepSeekにアクセスした際、ブラウザの仕組みである「Document Object Model」から直接チャット内容を読み取っていました。
これは、画面に表示されている文字情報を、そのまま抜き取る方法です。
盗まれたデータには、会話内容だけでなく、業務上の内部情報が含まれていた可能性もあります。
これらのデータは、Base64という形式で一見分かりにくく加工された上で、
deepaichats[.]com
chatsaigpt[.]com
といった外部サーバーに送信されていました。
Googleへの報告とその後の状況
OX Securityは、2025年12月29日にこれらの拡張機能をGoogleへ報告しました。
しかし、12月30日時点でも、両方の拡張機能はChrome ウェブストアで公開されたままでした。
この点については、審査体制や対応のスピードを含め、今後の課題として注目されています。
これは単発の事件ではない
拡大するブラウザ拡張機能の脅威
今回の事件は、12月初旬に明らかになった別の事例に続くものです。
サイバーセキュリティ企業Koi Securityは、800万回以上ダウンロードされた複数の「無料VPN」拡張機能が、2025年7月以降、AIチャットの会話を取得していたと報告しています。
その中には、「注目」バッジが付与されていたUrban VPN Proxyも含まれていました。
この拡張機能は、ChatGPT、Claude、Gemini、Copilot、Perplexity、DeepSeek、Grok、Meta AIなど、非常に多くのAIサービスの会話を傍受していました。
企業にとって見逃せないリスク
セキュリティ研究者たちは、ブラウザ拡張機能が「管理されていないリスク層」になっていると警告しています。
2025年のエンタープライズ向けブラウザ拡張機能セキュリティレポートによると、
企業ユーザーの99パーセントが少なくとも1つの拡張機能をインストール
53パーセントが「高」または「重大」な権限を持つ拡張機能を使用
全体の51パーセントが1年以上更新されていない
という実態が明らかになっています。
「スリーパーエージェント」攻撃という手口
特に厄介なのが、自動更新機能を悪用した攻撃です。
一度安全に見える拡張機能としてインストールされると、その後のアップデートで悪意のあるコードが追加されることがあります。
この手法は「スリーパーエージェント」攻撃と呼ばれています。
ユーザーの再承認なしに挙動が変わるため、検出が非常に困難です。
利用者が今できる対策
今回の事件は、AIチャットの内容が決して安全とは限らないことを示しています。
特に次の点が重要です。
不要な拡張機能は削除する
提供元が不明確な拡張機能は使わない
権限要求の内容を必ず確認する
業務上の機密情報をAIチャットに直接入力しない
便利さと引き換えに、情報が外部に漏れるリスクがあることを、改めて意識する必要があります。
ソース
PCMag
Cyber Insider
Cybernews
The Hacker News
The Register
OX Security 公開情報
サイバーセキュリティ各社の調査報告
