サイバーセキュリティ研究者らが、Googleの公式Chrome Web Store で配布されていた悪意あるブラウザ拡張機能を発見しました。これらの拡張機能は、アフィリエイトリンクのハイジャック、ユーザーデータの窃取、そしてOpenAI ChatGPTの認証トークンを収集する機能を備えていることが明らかになりました。AIツールの普及に伴い、新たな攻撃ベクトルが出現していることを示す重要な事例です。
この記事のポイント
- 「Amazon Ads Blocker」を名乗る拡張機能がChatGPTの認証トークンを窃取
- アフィリエイトリンクを密かに書き換えて収益を横取りする手口
- 正規のChrome Web Storeで配布されていたため、多くのユーザーが被害に遭った可能性
発見された悪意ある拡張機能の実態
今回発見された拡張機能の一つ「Amazon Ads Blocker」(ID: pnpchphmplpdimbllknjoiopmfphellj)は、Amazonのスポンサー広告をブロックする便利なツールとして宣伝されていました。しかし実際には、ユーザーの知らないうちに複数の悪意ある動作を行っていたことが判明しています。
この拡張機能は、ユーザーがAmazonで買い物をする際にアフィリエイトリンクを密かに書き換え、本来のアフィリエイト報酬を攻撃者に横流しする機能を持っていました。さらに深刻なのは、OpenAI ChatGPTの認証トークンを収集し、外部サーバーに送信していたことです。これにより攻撃者は、被害者のChatGPTアカウントに不正アクセスできる状態になっていた可能性があります。
ChatGPT認証トークン窃取の危険性
ChatGPTの認証トークンが窃取されることの危険性は計り知れません。攻撃者は被害者のアカウントを使って、有料プラン(ChatGPT Plus)の機能を無断使用したり、過去の会話履歴にアクセスして機密情報を入手したりすることが可能になります。
特に企業ユーザーにとっては、業務上の機密情報がChatGPTとの会話に含まれている可能性があり、情報漏洩のリスクは非常に高くなります。また、ChatGPT APIを利用している開発者の場合、APIキーが露出することで予期せぬ課金が発生する恐れもあります。
認証トークンはブラウザのローカルストレージやCookieに保存されていることが多く、悪意ある拡張機能はこれらの情報に容易にアクセスできる権限を持っています。ユーザーが拡張機能をインストールする際に付与する権限が、実際にはどのように悪用されうるかを改めて認識する必要があります。
Chrome拡張機能のセキュリティリスク
Chrome Web Storeは Googleによる審査プロセスを経て拡張機能が公開されますが、今回のケースのように悪意あるコードが審査をすり抜けることがあります。特に、後からアップデートで悪意ある機能を追加するパターンは検出が難しく、多くの攻撃者がこの手法を利用しています。
拡張機能は非常に強力な権限を持つことができ、「すべてのウェブサイトでデータを読み取り、変更する」権限が付与されている場合、事実上ブラウザで行うすべての操作を監視・改ざんできてしまいます。便利そうに見える拡張機能でも、不必要に広範な権限を要求するものには注意が必要です。
知っておくと便利なTips
- インストール済みの拡張機能を定期的に見直し、使っていないものは削除する習慣をつけましょう。
chrome://extensions/で一覧を確認できます - 拡張機能をインストールする前に、開発者情報やレビューを確認し、不自然に権限が多いものは避けましょう
- ChatGPTやその他の重要なサービスを使う際は、プライベートウィンドウ(シークレットモード)を活用すると、拡張機能が無効化された状態で利用できます
- 定期的にパスワードを変更し、可能であれば二要素認証を有効にしておくことで、万が一認証情報が漏洩しても被害を最小限に抑えられます
まとめ
今回発見された悪意あるChrome拡張機能は、AIツールの普及に伴う新たなセキュリティリスクを浮き彫りにしました。ChatGPTをはじめとするAIサービスの認証情報は、攻撃者にとって非常に価値のある標的となっています。
ブラウザ拡張機能は便利なツールですが、インストール時には権限をよく確認し、信頼できる開発者のものだけを使用することが重要です。また、すでにインストールしている拡張機能についても、この機会に見直してみることをお勧めします。セキュリティ意識を高め、自分のデジタル資産を守る習慣を身につけましょう。
📎 元記事: https://thehackernews.com/2026/01/researchers-uncover-chrome-extensions.html
コメント