AIブラウザ拡張のマルウェア化事例

ChatGPTの爆発的な普及は、ブラウザ拡張機能のエコシステムにも新しい攻撃面を生んだ。「便利なAIアシスタント」を装ったChrome拡張が、Facebookビジネスアカウントを乗っ取り、SaaSのCookieを根こそぎ抜き、OAuthトークンを攻撃者のサーバへ送出する事件が2023年以降相次いでいる。被害の起点はエンドユーザーのワンクリックだが、実害が及ぶのは企業側の広告アカウント、SSO、SaaSデータである。CISO・情シス部門にとって、ブラウザ拡張は「個人の自由領域」ではなく、エンドポイントセキュリティとSaaSガバナンスの結節点に位置づけ直す必要が生じている。本稿では2023〜2025年の代表事例を整理し、技術メカニズムと検知・統制の打ち手を解説する。

ブラウザ拡張マルウェアという死角

ブラウザ拡張機能は、ユーザーが閲覧するページのDOMにアクセスでき、Cookie・localStorage・リクエストヘッダを読み取る権限を持つ。Manifest V2ではバックグラウンドで永続的なスクリプトを走らせ、外部の任意スクリプトを動的にロードできたため、配布後にコードを差し替えて悪性化させる「サイレント・アップデート攻撃」が常態化してきた^[1]。Googleは2023年からManifest V3への移行を進め、リモートホストコードの実行を原則禁止する方針を打ち出したが、移行猶予と例外の存在から、2024年時点でも依然として旧仕様の拡張が市場に残存していた^[2]。

Spin.AIが2023年に公表したレポートによれば、Chrome Web Storeに公開されている30万以上の拡張のうち、51%が「高リスク」と評価され得る権限を要求しており、SaaSデータ漏えいの主要な経路の一つになっていた^[3]。LayerXもエンタープライズ環境で使われている拡張の約20%が機密データへアクセス可能であり、その大半が情シス部門の可視範囲外にあるという調査結果を示している^[4]。生成AIブームはこの構造的な脆弱性に火を付け、「AI」「ChatGPT」「Copilot」のキーワードを冠した拡張が短期間で大量にインストールされる状況を生んだ。

AI便乗型拡張機能の代表事例

象徴的なのは、Guardio Labsが2023年3月に報告した「Quick access to Chat GPT」事件である。当該拡張はChrome Web Storeで公式承認されており、Facebookの「Sponsored」枠で大々的に広告されていた。インストール後はユーザーに本物のChatGPT APIへの応答を返しつつ、バックグラウンドでFacebookのセッションCookieを盗み出し、ビジネスアカウントを乗っ取って同じ広告を再配信する自己増殖モデルを採っていた。1日あたり約2,000名のインストールが確認され、Googleは通報を受けて削除に動いた^[5]。

同年3月にはCybleが、ChatGPT関連を装った複数のChrome拡張を分析し、ユーザーのブラウジング履歴・認証情報・暗号資産ウォレットを窃取するスティーラー機能を備えていたことを公表した^[6]。さらに2024年6月、ReasonLabsはChatGPTの名を冠した「Rilide」系のスティーラーが、認証ダイアログを偽装して2要素認証コードを横取りし、暗号資産取引所アカウントを侵害するキャンペーンを継続していると報告している^[7]。

2025年にはより高度な攻撃が確認された。Koi Securityは「GhostGPT」「ChatGPT for Search Engines」など、累計で数十万インストールを集めたAI拡張群が、配布から数ヶ月後にサイレント・アップデートで悪性ペイロードを注入する手口を観測している^[8]。Edge Add-onsとFirefox AMOでも同種の便乗事例が報告されており、Mozillaは2024年のセキュリティブログで、AIラッパー型拡張に対する審査強化と既存拡張の再スキャンを実施したことを明らかにした^[9]。

攻撃の技術メカニズム

これらの拡張が共通して利用するのは、(1) cookies 権限を用いた認証Cookieの直接エクスポート、(2) コンテンツスクリプトによるページ内DOMへの注入とOAuth認可フロー横取り、(3) declarativeNetRequest や webRequest を介した通信改ざんである。Guardio事例では、Facebookのc_userとxsを中心としたCookie群を取得し、攻撃者のC2サーバへPOSTした上で、Graph APIを介して広告マネージャ権限を奪う流れだった^[5]。

OAuthトークン奪取はさらに深刻で、Microsoft 365やGoogle Workspaceに対するrefresh_tokenを取得されるとMFAを跨いで永続的アクセスを許す。Talon Cyber Securityの分析によれば、2024年に観測された企業向け攻撃の約3割で、ブラウザ拡張がトークン奪取の踏み台として使われていた^[10]。Manifest V3への移行は外部コード実行を抑える効果を持つ一方、すでに付与済みの権限に基づくCookie・トークン窃取そのものを防ぐものではなく、「V3だから安全」という誤解は禁物である^[2]。

管理者の検知手法

検知の第一歩は資産の可視化である。Chrome EnterpriseとMicrosoft Edge for Businessは、組織内端末で利用中の拡張IDをCloud管理コンソールで一覧化する機能を提供しており、Googleは2023年に「Extension Telemetry」を強化して、拡張が要求する権限と外部通信先のリスクスコアを管理者に提示するようになった^[11]。Spin.AI、LayerX、Island、Talonなどのエンタープライズブラウザ／拡張ガバナンス製品は、これに加えてリスクスコアリング、自動ブロック、ユーザー単位の監査ログを提供する^[3][4][10]。

EDR・SIEM側では、ブラウザプロセスからの想定外の外部通信、特にC2が利用しがちな短命ドメイン・新規TLD・Telegram BotAPIへの通信パターンを検知ルールに加えることが有効である。Microsoft Defender for Endpointは2024年のアップデートでブラウザ拡張IDをデバイスインベントリに含め、Defender for Cloud Apps側のSaaSログと突合できるようにした^[12]。

ブラウザ拡張ガバナンス設計

ガバナンス設計は「全面禁止」と「自由放任」の二項対立ではなく、業務リスクに応じた階層化が現実解となる。標準的なフレームは、(1) 既定はBlocklistでなくAllowlistとし、業務承認済み拡張のみインストール可能にする、(2) 開発者・マーケ・人事といったSaaS集約職種には個別レビュー枠を用意する、(3) BYOD端末はエンタープライズブラウザ（Island、Talon、Chrome Enterprise Premium等）で囲い込み、業務SaaSへのアクセスは管理対象ブラウザに限定する、の3層である^[10][13]。

承認プロセスでは、Chrome Web Storeの公開ID・開発者・要求権限・直近のアップデート履歴・外部通信先を申請フォームに必須化し、Spin.AIやCRXcavatorのような外部スコアリングサービスの結果を添付させる運用が広く採用されている^[3][14]。重要なのは、初回承認だけでなく定期再評価を仕組み化することで、サイレント・アップデートによる事後悪性化を捕まえる体制を持つことだ。

チェックリスト：ブラウザ拡張ガバナンス5項目

• Chrome / Edge管理コンソールで拡張のAllowlist運用が有効化されているか
• 承認済み拡張に対し、3〜6ヶ月ごとの権限・通信先の再評価プロセスがあるか
• SaaS（Microsoft 365 / Google Workspace等）のOAuthアプリ承認とブラウザ拡張承認が同じガバナンス台帳で管理されているか
• EDR・SIEMにブラウザプロセスからのC2候補通信の検知ルールが組み込まれているか
• BYOD端末からの業務SaaSアクセスが、エンタープライズブラウザまたは条件付きアクセスで制御されているか

打ち手

短期施策として、まずChrome Enterprise / Edge for Businessの拡張ポリシーを「Block all、Allowlistで例外承認」に切り替え、現状インストールされている拡張のスナップショットを取得することが最優先である。中期では、Spin.AI・LayerX・CRXcavator等のスコアリングを利用した申請ワークフローをServiceNowやJira Service Managementに組み込み、承認・棚卸し・廃止のライフサイクルを可視化する。長期では、Island・Talonなどエンタープライズブラウザの導入を、Zero TrustとSaaSセキュリティ全体の中で位置付け、IdP（Okta / Entra ID）との条件付きアクセス連携によって「管理対象ブラウザからのみSaaSへ到達できる」状態を作ることが望ましい。

「ブラウザ拡張は最も無防備な特権実行環境である。ユーザーの一クリックで、SaaSに保存された全データへのアクセスがサードパーティに付与される。これに気付いていない情シスはまだ多い」——LayerX Security調査レポートより^[4]

結論

1. AI便乗型ブラウザ拡張は、Cookie窃取・OAuthトークン奪取を経て企業のSaaS資産に直撃する経路として確立しており、エンドポイント単独でなくSaaSガバナンスと一体で扱うべき脅威である。
2. Manifest V3への移行は外部コード実行を抑止するが、付与済み権限による窃取は防げないため、Allowlist運用と定期再評価の組合せが不可欠である。
3. Chrome / Edgeの管理機能、Spin.AI・LayerX等の拡張ガバナンス製品、Island・Talon等のエンタープライズブラウザを階層的に組み合わせ、IdPの条件付きアクセスと統合することが現実的な防御アーキテクチャとなる。

経営者視点

ブラウザ拡張インシデントは、技術的な事故では収まらず、経営に直結する3つのリスクを伴う。第一に、Facebook広告・Google広告アカウント乗っ取りは、不正出稿による直接金銭被害だけでなく、ブランド毀損や広告プラットフォーム側のアカウント永久停止というマーケティング機能停止を招く。第二に、SaaSテナント侵害は個人情報保護法・GDPRの報告義務を発生させ、開示と監督官庁対応のコストが発生する。第三に、SOC2・ISO27001・改正サイバーセキュリティ経営ガイドライン3.0が要求する「サードパーティリスク管理」「資産管理」の観点で、ブラウザ拡張は監査人が確実に問い合わせる項目となりつつある。経営者として問うべき問いは「うちの社員のブラウザに、誰が作った拡張が何個入っているか、即答できる体制があるか」である。答えがNoであれば、それ自体がインシデントの予兆と捉えるべきである。

参考文献

1. Google Chrome Developers, “Manifest V2 support timeline”, 2024
2. Google Chrome Developers, “Manifest V3 overview and migration”, 2023-2024
3. Spin.AI, “SaaS Application Risk Report: Browser Extensions”, 2023
4. LayerX Security, “Browser Extensions Enterprise Security Report”, 2024
5. Guardio Labs, “FakeGPT: New Variant of Fake-ChatGPT Chrome Extension Stealing Facebook Ad Accounts”, 2023年3月
6. Cyble Research and Intelligence Labs, “ChatGPT-Themed Chrome Extensions Distributing Malware”, 2023年3月
7. ReasonLabs, “Rilide Stealer Targets Crypto Users via Fake ChatGPT and AI Browser Extensions”, 2024
8. Koi Security, “Sleeper Agents: How Trusted Chrome Extensions Turn Malicious”, 2025
9. Mozilla Add-ons Blog, “Strengthening Review Processes for AI-related Extensions”, 2024
10. Talon Cyber Security (Palo Alto Networks), “Enterprise Browser Threat Landscape Report”, 2024
11. Google Security Blog, “Scaling Chrome Extension Security with Telemetry”, 2023
12. Microsoft Security Blog, “Defender for Endpoint Browser Extension Inventory”, 2024
13. Island.io, “The Enterprise Browser: Securing the Modern Work Surface”, 2024
14. Duo Security (Cisco), “CRXcavator: Risk Assessment for Chrome Extensions”, 継続更新
15. NIST SP 800-218 / SSDF, “Secure Software Development Framework”, 2022
16. 経済産業省, “サイバーセキュリティ経営ガイドライン Ver3.0”, 2023