投稿者 global-ai-media 
生成AIの活用が進む中、Microsoftのセキュリティチームが「悪意あるブラウザ拡張機能」によるチャット履歴の窃取リスクを警告しています。ChatGPTやDeepSeekなどのプラットフォーム自体が堅牢でも、ユーザーのブラウザ環境から情報が漏洩するリスクについて、日本企業が認識すべき「シャドーAI」の側面と具体的な防御策を解説します。
AIプラットフォームではなく「足元」が狙われている
多くの日本企業が、ChatGPTやCopilot for Microsoft 365などの生成AI導入において、データプライバシー契約や学習へのデータ利用拒否(オプトアウト)設定には細心の注意を払っています。しかし、最新のセキュリティレポートによると、攻撃者は堅牢なAIプラットフォームのサーバーではなく、ユーザーの「ブラウザ環境」を標的にしていることが明らかになりました。
具体的には、「AIアシスタント」や「生産性向上ツール」を装った悪意あるブラウザ拡張機能が、ユーザーのブラウザにインストールされ、そこからLLM(大規模言語モデル)とのチャット履歴やブラウジングデータを密かに収集・外部送信しています。これにより、企業がいくら高価なエンタープライズ契約を結んでいても、エンドポイント(端末)側で機密情報が漏洩する「穴」が開いてしまうのです。
「利便性」を隠れ蓑にしたサプライチェーン攻撃
この攻撃手法の厄介な点は、ユーザーが「業務効率化のために」自ら進んでこれらの拡張機能をインストールしてしまう点にあります。例えば、「Webページを要約する」「ChatGPTの回答を保存・整理する」といった魅力的な機能を謳う拡張機能は、現場の従業員にとって非常に有用に見えます。
日本の組織では、IT部門によるガバナンスが厳しい一方で、現場レベルでは「なんとかして業務を楽にしたい」という動機から、許可されていないツールを利用する「シャドーIT」が発生しやすい土壌があります。今回の事例は、まさにその「シャドーAI」とも呼べる領域を突いたものです。拡張機能はブラウザのDOM(Document Object Model)にアクセス権限を持つことが多く、画面上に表示されている機密データやプロンプトの内容を容易に読み取ることが可能です。
多様化する標的と日本企業のリスク
Microsoftの観測によれば、こうした悪意ある拡張機能はChatGPTだけでなく、DeepSeekのような新興のLLMプラットフォームも標的にしています。開発者がコードのデバッグにAIを使用している場合、ソースコードやAPIキーが漏洩するリスクがありますし、人事や法務担当者が機密文書の要約に利用していれば、個人情報や企業秘密が流出することになります。
特に日本では、ブラウザの設定管理(ポリシー管理)が徹底されていない中小・中堅企業や、BYOD(私物端末の業務利用)を一部認めている組織においてリスクが高まります。ウイルス対策ソフトだけでは、正規のストアで配布されている(あるいは配布されていた)拡張機能の不正な挙動を即座に検知できない場合があるため、多層的な防御が必要です。
日本企業のAI活用への示唆
今回の事例を踏まえ、日本企業の実務担当者や意思決定者は以下の3点に基づいて対策を講じる必要があります。
1. ブラウザ環境のガバナンス強化
AIサービスのURL制限だけでなく、ブラウザの拡張機能に対する管理ポリシーを見直す必要があります。Google ChromeやMicrosoft Edgeの企業向け管理機能(グループポリシーやMDM)を活用し、許可された拡張機能以外はインストールできない「ホワイトリスト方式」への移行、または特定の権限(すべてのWebサイトへのアクセス権など)を要求する拡張機能のブロックを検討してください。
2. 従業員へのセキュリティ教育のアップデート
従来の「怪しいメールを開かない」という教育に加え、「ブラウザ拡張機能もソフトウェアであり、リスクがある」という認識を浸透させる必要があります。「便利なAIツール」であっても、開発元が不明瞭なものはインストールしないよう、ガイドラインを策定し周知徹底することが重要です。
3. エンドポイントの可視化と検知
万が一、不正な拡張機能が動作した場合に備え、EDR(Endpoint Detection and Response)などのソリューションを用いて、ブラウザプロセスからの不審な通信や挙動を検知できる体制を整えることが推奨されます。特に、生成AI活用を推進する部署や開発部門など、機密度の高いデータを扱うセグメントから優先的に監視を強化すべきです。