ChatGPT/Gemini などに Man-in-the-Prompt のリスク:ブラウザ・エクステンションとの組み合わせに問題

ChatGPT, Gemini, GenAI Tools Vulnerable to Man-in-the-Prompt Attacks

2025/07/31 CyberSecurityNews — 一般的な AI ツールに影響を及ぼす深刻な脆弱性により、”Man-in-the-Prompt” と呼ばれる新たな攻撃ベクターが悪用可能となっているが、それらの対象には、ChatGPT や Google Gemini といった GenAI プラットフォームも含まれる。Layer X の調査によると、DOM を悪用するブラウザ・エクステンションであれば、特別な許可を必要とすることなく、プロンプト挿入/機密データの窃取/AI レスポンスの改竄などを可能にするという。この脆弱性は、主要プラットフォームの数十億人のユーザーに影響を及ぼすが、特に50億回/月アクセスを誇る ChatGPT と、約4億人ユーザーを抱える Gemini が危険だとされる。

要点は以下のとおり
  • ブラウザ・エクステンションは、AI ツールを通じてプロンプトを挿入し、情報を窃取できる。
  • この脆弱性は、数十億人のユーザーと、企業の 99% の企業に影響を及ぼす。
  • 企業の AI 関連データが危険に晒されており、現行のセキュリティでは検知が困難。
ブラウザ・エクステンションによる AI プロンプトの悪用

GenAI ツールが DOM を介して、Web ブラウザと統合されているという設計に、この脆弱性は由来する。ユーザーが LLM ベースのアシスタントとインタラクトする際に、プロンプト入力欄は、任意のブラウザ・エクステンションからアクセスできる状態にある。

この設計上の欠陥を悪用する攻撃者は、ユーザー入力の改変や、秘匿された命令を AI インターフェースにダイレクトに注入することで、プロンプト・インジェクション攻撃を仕掛けることが可能となる。

この攻撃技術により攻撃者が実現するのは、”Man-in-the-Prompt” 型のシナリオであり、AI プロンプトの読書を実現するものだが、ユーザー側からは一切検知されないという。

LayerX の研究者たちは、特別な権限を一切必要としないブラウザ・エクステンションが、ChatGPT/Gemini/Copilot/Claude/Deepseek といった、主要な商用 LLM にアクセスできることを実証した。

この調査によると、企業ユーザーの 99% が、少なくとも1つのブラウザ・エクステンションをインストールしており、さらに 53% は、10個以上のエクステンションを利用している。このような状況下において、この攻撃ベクターのリスクは、きわめて高いといえる。

CASB/SWG/DLP といった。従来からのセキュリティ製品は、DOMレベルの動作を可視化できないため、こうした攻撃手法に対して無力である。

この脆弱性の深刻さを浮き彫りにするものとして、2つの PoC シナリオが提示されている。1つ目の PoC は、C2 サーバと連携する不正なエクステンションを使用し、ChatGPT を標的とするものだ。

この悪意のエクステンションは、バックグラウンドでタブを開き、プロンプトを挿入して ChatGPT にクエリを実行させ、得られた結果を外部ログに抽出し、さらにチャット履歴を削除して痕跡を無くしている。この一連の攻撃チェーンは、ユーザーのセッション境界内で完結するため、きわめて検出が困難なものとなる。

2つ目の PoC では、Google Gemini の Workspace 統合機能が悪用されている。Gemini のサイド・バーが閉じられている状態であれば、エクステンションによるプロンプト挿入が可能であるため、それを悪用する攻撃者は、機密性の高い企業データを大量に抽出できる。

この脆弱性について、LayerX から Google に対して、責任のある情報開示が行われているが、Gemini Workspace におけるブラウザ・エクステンションのリスクについて、いまだに Ggoole は有効な対処を講じていないという。

緩和戦略について

社内で運用される LLM は、知的財産/法務関連文書/財務予測/規制対象データなどの重要情報にアクセスするため、特に高いリスクを抱えている。パブリック・モデルとは異なり、社内コパイロットは信頼されたネットワーク内での利用を前提に設計されているため、敵対的入力への防御が甘い傾向にある。

このような誤認に基づく設計は、IP 情報の漏洩/GDPR と HIPAA への法令違反/AI ツールに対する信頼の喪失といったリスクを生み出す。

したがって、ユーザー組織は、アプリケーション・レベルの対策に留まらず、ブラウザ・レイヤーでの動作監視に注力すべきである。

重要な施策としては、以下が挙げられる:

  • DOM レベルの AI 操作の継続的な監視。
  • エクステンションの挙動に対する、動的かつ行動ベースのリスク評価の導入。
  • リアルタイムでのブラウザ保護機構の実装と、不正な変更の迅速な検出/遮断。

従来からの URL ベースの制御では、ホワイトリスト登録されたドメインで動作する、社内ツールを保護できない。そのため、包括的なブラウザ・エクステンションのサンドボックス化と、動的リスク評価機能の導入が不可欠である。

Web ブラウザ のエクステンションが、DOM (Web ページ構造) にアクセスできることを悪用し、AI チャットへのプロンプト挿入などが可能になるという、新しい攻撃手法が紹介されています。特別な権限は不要であり、ユーザーが気づかないうちに、情報が抜き取られてしまうと、この記事は報じています。AI が身近になるにつれて、いろんな問題が浮かび上がってきますね。よろしければ、カテゴリ AI/ML を、ご参照ください。