こんにちは!こっしーです!いつもご覧いただきありがとうございます。
みなさん、ご自身のブラウザの拡張機能は管理できていますか?
ChatGPTやGemini、ClaudeといったAIの名前を使った偽のChrome拡張機能が30種類以上確認され、26万台以上のパソコンに感染が広がったことが明らかになりました。「Googleおすすめ」バッジまで取得していたものもあり、見分けることがほぼ不可能だったといいます。
AIを装った偽Chrome拡張機能とは何か
主要なAIサービス(ChatGPT・Gemini・Claude)のツールに見せかけた悪意ある拡張機能が、Chrome ウェブストアで公開されていました。中には「Googleのおすすめ」バッジを取得したものもあり、一見では安全な公式ツールと区別がつかない状態でした。
インストール時は無害に見えるのが、この攻撃の厄介なところです。外部iframeという仕組みを悪用することで、攻撃者はChrome ウェブストアへの再申請なしにこっそり機能を追加できます。つまり「インストール時は問題なかった」では、もう安心できないんです。
26万台に感染した手口の全貌
感染の広がりを支えたのが「拡張機能スプレー攻撃」と呼ばれる手口です。同一組織が複数の偽拡張機能を異なるIDで次々と公開し、一つが削除されても別のIDですぐに復活する。削除と再出現を繰り返しながら被害を拡大し続けました。
集められた情報は閲覧しているページのタイトルやテキスト、さらにはマイクを通じた音声データにまで及びます。30種類のうち15種類はGmail統合機能を備えており、メールの本文・スレッド・下書きをそのままサーバーに送信していました。メール関係のツールをうたっていない拡張機能でも同じコードが仕込まれていたという点が、特に恐ろしいところです。
通信先はすべて「tapnetic[.]pro」というドメイン配下のサーバー。調査では所有者の情報も実在するサービスも確認されていません。
今すぐできる3つの対策
まずインストール済みの拡張機能を一度見直してください。Chromeのメニューから「拡張機能」を開き、使っていないもの・追加した記憶がないものは即削除が基本です。
次に、インストール後も定期的に動作を確認する習慣をつけること。「入れた時は問題なかった」を信用しすぎないのが今回の事件の教訓です。
組織で使っている場合は、挙動ベースの監視ツールを導入することが推奨されています。インストール後の継続的なランタイム監視が、今後の対策の柱になりそうです。
まとめ
- ChatGPT・Gemini・Claudeを偽った30種類以上の拡張機能が26万台以上に感染
- 「Googleおすすめ」バッジを持つものもあり、見分けることが困難だった
- インストール後にこっそり機能追加される仕組みで、時間差で被害が広がる
- 15種類がGmailのメール本文・下書きを盗む機能を持っていた
- 対策は「拡張機能の棚卸し」「継続的な動作確認」「挙動ベース監視の導入」
ここまでお読みいただきありがとうございました。また次の記事でお会いしましょう。それじゃまたね、ばいばいっ!
参照記事・ソース
コメント