投稿者 global-ai-media 
Chromeウェブストアで配布されていた16の拡張機能が、ChatGPTのセッショントークンを窃取していたことが判明しました。公式ストアの「おすすめ」バッジが付与されていた事例もあり、従業員が業務効率化のために導入したツールが重大なセキュリティホールになるリスクが浮き彫りになっています。
公式ストアの「おすすめ」でも安全とは限らない
生成AIの普及に伴い、ブラウザ上でChatGPTの機能を拡張するプラグインやアドオンが数多く開発されています。しかし、セキュリティ研究者による最新の調査で、Google Chromeの公式ウェブストアで配布されていた16の拡張機能が悪意のあるコードを含んでおり、ユーザーのChatGPTセッショントークンを盗み出していたことが明らかになりました。
特筆すべきは、これらの悪意ある拡張機能の中に、ストア側から「Featured(おすすめ)」バッジを付与されていたものが含まれていた点です。これは、プラットフォーム側の審査や推奨マークが必ずしも絶対的な安全を保証するものではないことを示唆しています。ユーザーは「公式ストアにあるから」「評価が高いから」という理由だけで信頼してインストールしてしまい、結果として組織全体のセキュリティを危険に晒す可能性があります。
セッショントークン窃取のメカニズムと脅威
今回確認された攻撃手法は、ユーザーのログインIDやパスワードを直接盗むのではなく、「セッショントークン」を標的にしたものです。セッショントークンとは、一度ログインした後の通信状態(セッション)を維持するためにサーバーから発行される一時的な鍵のようなものです。
攻撃者がこのトークンを入手すると、パスワードや多要素認証(MFA)を迂回し、正規ユーザーになりすましてChatGPTのアカウントにアクセス可能となります。これにより、過去のチャット履歴(機密情報が含まれる可能性があります)の閲覧や、本人になりすました操作が行われるリスクが生じます。また、盗まれたリソースがボットネットの一部として悪用されるケースも確認されています。
日本企業における「シャドーAI」のリスク
日本企業においても、業務効率化や生産性向上を目的として、現場の従業員が個人の判断で便利なAIツールやブラウザ拡張機能を導入するケースが増えています。いわゆる「シャドーIT」ならぬ「シャドーAI」の問題です。
企業側がChatGPT自体の利用契約(Enterprise版など)を締結し、データ学習を行わない設定にしていたとしても、ブラウザという「利用環境」そのものが侵害されていれば情報漏洩は防げません。特に、翻訳ツールや要約ツールなど、一見無害で有用な拡張機能にマルウェアが仕込まれている場合、従業員は悪意なく組織を危険に晒すことになります。
日本企業のAI活用への示唆
今回の事例は、AI活用におけるセキュリティ境界線が「AIモデル」だけでなく「利用するブラウザやエンドポイント」にまで拡大していることを示しています。日本企業が取るべき対策として、以下の3点が挙げられます。
第一に、ブラウザ拡張機能の管理強化です。Webフィルタリングで怪しいサイトをブロックするだけでなく、業務ブラウザにインストールできる拡張機能をホワイトリスト形式で管理する、あるいはEDR(Endpoint Detection and Response)等のセキュリティツールで不審な挙動を検知する体制が必要です。
第二に、従業員へのセキュリティ教育のアップデートです。「怪しいファイルを開かない」といった従来の教育に加え、「公式ストアの拡張機能であってもリスクがある」という認識を徹底させる必要があります。特に機密情報を扱う業務においては、承認されたツール以外は使用しない文化を醸成することが重要です。
第三に、ゼロトラストの観点を持ったAIガバナンスの構築です。AIベンダーの信頼性(SOC2認証など)を確認するだけでなく、それを利用するクライアントサイドの環境も含めた包括的なリスク評価が求められます。利便性とセキュリティのバランスを取りながら、安全にAIを活用するためのルール作りを急ぐべきでしょう。