Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users
2026/01/06 TheHackerNews — Chrome Web Store で配布されている2つの悪意あるエクステンションを、サイバー・セキュリティ研究者が発見した。これらのエクステンションは、OpenAI ChatGPT および DeepSeek の会話データに加え、閲覧データを窃取し、攻撃者が管理するサーバに送信するよう設計されている。これらのエクステンションは、合計で 90 万人以上のユーザーに拡散している。
確認されたエクステンションの名称は、以下の通りである。
- Chat GPT for Chrome with GPT-5/Claude Sonnet & DeepSeek AI
(ID: fnmihdojmnkclgjpcoonokmkhjpjechg /ユーザー数 約 60 万人) - AI Sidebar with Deepseek/ChatGPT/Claude
(ID: inhcgfpbfdjbjogdfjbclgolkmhnooop /ユーザー数 約 30 万人)
Google Chrome および Microsoft Edge 上で、数百万回インストールされていた Urban VPN Proxy が、AI チャットボットを介してユーザーのチャット内容を盗聴していたインシデントが、数週間前に判明している。今回の発見は、このインシデントに続く新たな事例である。
ブラウザエクステンションを用いて AI 会話を密かに傍受するこの手法は、Secure Annex により Prompt Poaching (プロンプト・ポアチング) と命名されている。
OX Security の研究員 Moshe Siman Tov Bustan は、「新たに特定された2件のエクステンションは 30 分ごとに、ユーザーの会話内容と Chrome タブの URL をリモートの C2 サーバへ送信していた。匿名分析データへの同意を求める形で悪意の機能を追加しながら、セッションの会話内容の全体を流出させていた」と指摘している。
これらの悪意のブラウザ・アドオンは、約 100 万人のユーザーを抱える AITOPIA の正規エクステンション “Chat with all AI models (Gemini/Claude/DeepSeek…) & AI Agents” を偽装していたことが確認されている。この記事の執筆時点でも、Chrome Web Store から引き続きダウンロード可能である。その一方で、”Chat GPT for Chrome with GPT-5/Claude Sonnet & DeepSeek AI” については、”注目” バッジが削除されている。
この不正なエクステンションはインストール後に、サイドバー・エクスペリエンス向上を名目として、匿名化されたブラウザ行動の収集許可をユーザーに求める。ユーザーが同意すると、埋め込まれたマルウェアが起動し、開いているブラウザ・タブの情報およびチャットボットの会話データを収集し始める。
会話データの収集にあたっては、Web ページ内の特定の DOM 要素を探索し、チャットメッセージを抽出してローカルに保存した後に、”chatsaigpt[.]com” または “deepaichats[.]com” といったリモートサーバへ送信する仕組みが用いられている。
さらに、脅威アクターは、AI 搭載 Web 開発プラットフォームである Lovable を悪用して、プライバシー・ポリシーなどに関連するインフラ・コンポーネントを “chataigpt[.]pro” や “chatgptsidebar[.]pro” といったドメインにホストすることで、自身の活動を隠蔽していたことが判明している。
このようなエクステンションをインストールしてしまうと、ChatGPT や DeepSeek と共有される会話内容に加えて、検索クエリや社内 URL を含む Web 閲覧アクティビティなどの、広範な機密情報が窃取される可能性があるため、その影響は深刻である。
OX Security は、「これらのデータは、企業スパイ活動/個人情報窃盗/標的型フィッシング攻撃に利用される恐れがある。つまり、それらをインストールした組織は知らないうちに、知的財産/顧客データなどの機密性の高いビジネス情報を漏洩させていた可能性がある」と警告している。
正規エクステンションもプロンプト盗用に関与
その一方で Secure Annex が発表したのは、Similarweb および Sensor Tower の Stayfocusd などの正規のブラウザ・エクステンション (それぞれ約 100 万人/約 60 万人のユーザーを抱える) が、プロンプト盗用に関与していることである。
Similarweb は、2025年5月に会話監視機能を導入したとされる。2026年1月1日のアップデートでは、トラフィックおよびエンゲージメント指標の詳細な分析を提供するという目的のために、入力されたデータが AI ツールに収集されることを明示する、利用規約の全文を表示するポップアップが追加された。
2025年12月30日付けのプライバシー・ポリシー更新には、「この情報には、プロンプト/クエリ/コンテンツ/アップロードまたは添付ファイル (画像/動画/テキスト/CSV ファイルなど) に加えて、特定の AI ツールに入力/送信されるその他の入力情報、ならびに、当該 AI ツールから受信する結果や出力 (当該出力に含まれる添付ファイルを含む) が含まれる」という内容が明記されている。
AI ツール固有の入力/出力と、AI メタデータの性質と一般的な範囲を考慮すると、一部の機密データが意図せず収集または処理される可能性がある。ただし、この処理の目的は利用者を特定するための個人データ収集ではない。すべての個人データが削除されることを保証するものではないが、AI ツールに入力/送信される識別子を、可能な限り削除/フィルタリングするための措置を講じると、同社は述べている。
追加の分析により明らかになったのは、Similarweb が DOM スクレイピングを用いて会話データを収集していることだ。また、fetch()/XMLHttpRequest() といったネイティブ・ブラウザ API をハイジャックし、ChatGPT/Anthropic Claude/Google Gemini/Perplexity 向けのカスタム解析ロジックを含むリモート・コンフィグ・ファイルを読み込むことで、会話データを収集していることも判明している。
Secure Annex の John Tuckner は、「この挙動は、Similarweb エクステンションの Chrome 版および Edge 版の双方に共通している。その一方で、Similarweb の Firefox アドオンは、2019 年を最後に更新されていない。プロンプト盗用は、ユーザーにとって最も機密性の高い会話を取得する目的で登場しており、その攻撃ベクターとしてブラウザ・エクステンションが浮上している。本来、エクステンションは単一目的で構築されるべきであり、動的にコードをロードすべきではない。ただし、それらのエクステンションが、Google のポリシーに違反しているかどうかは不明である」と説明している。
さらに同氏は、「これはトレンドの始まりに過ぎず、今後より多くの企業が、こうしたデータに収益性を見出すだろう。収益化の手段を求めるエクステンション開発者は、マーケティング企業が提供する、この種の高度なライブラリをアプリケーションに組み込むようになる」と指摘している。
すでに、これらのアドオンをインストール済みのユーザーに推奨されるのは、ブラウザからの削除である。プライバシーに懸念を持つユーザーに対して推奨されるのは、”おすすめ” タグが付与されているエクステンションであっても、不明なソースからの導入を控えることだ。
便利なブラウザ・エクステンションが、実は私たちの会話を盗み見ていたという驚きの展開です。この問題の原因は、ブラウザ・エクステンションが持つ、Webページの内容を自由に読み取れる権限を悪用して、AI チャットにおける入力や応答が書かれた場所 (DOM要素) からデータを抜き出していたことにあります。たとえ正規のアプリを装っていても、インストールしてデータの収集に同意してしまうと、拡張機能はブラウザの中で動く小さなプログラムとして、30分ごとに会話内容を外部のサーバへ送信していたと説明されています。”おすすめ” バッジが付いているものであっても、必要以上のデータ収集を求めてくる場合は注意が必要です。よろしければ、Chrome Extension での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.