Perplexity AI を偽装する悪意の Chromium エクステンション:ブラウザ検索からユーザー入力を収集

Malicious Chromium Extension Spoofs Perplexity AI to Hijack Browser Searches

2026/06/30 gbhackers — Perplexity AI ブランドを偽装し、ブラウザ検索を傍受してキーストロークを取得した後に正規の検索結果へとユーザーを誘導する、悪意の Chromium エクステンションが確認された。その攻撃チェーンとして、検索クエリおよび関連テレメトリを、攻撃者が制御するインフラへ記録する、ステルス性の高い 2 ホップの傍受パイプラインが構築されていた。悪意のエクステンションを Google に報告したのは Microsoft であり、この記事の執筆時点では Chrome Web Store から削除されている。

Search for perplexity ai (ID: flkebkiofojicogddingbdmcmkpbplcd、バージョン 2.2) として公開されていたエクステンションは、Manifest V3 の機能/declarativeNetRequest (DNR) ルール/タイポスクワッティングされたドメイン “perplexity-ai[.]online” を悪用するものだ。

このエクステンションは、インストール時に chrome_settings_overrides を介して、自身をデフォルトの検索プロバイダに設定し、完了した Omnibox の検索クエリと suggest_url リクエスト (入力されたすべての文字) を、攻撃者のドメインへ転送する。その上で、DNR ルールを悪用して、ブラウザを Perplexity/Google/Bing へ即座にリダイレクトしていた。

そのため、ユーザーには通常どおりの検索結果が表示されるが、最初のホップにおいてクエリ文字列/HTTP ヘッダー/ユーザー・エージェント/送信元 IP アドレスが取得されていた。

Landing page of perplexity-ai[.]online (Source : Microsoft).
Landing page of perplexity-ai[.]online (Source : Microsoft).

このエクステンションのマニフェストと、同梱されるサーバサイド・コード (server.js/nginx.conf) が示すのは、この傍受が意図的なものであることだ。server.js により、リクエストのプロキシと受信したヘッダーが記録され、寛容な CORS 設定が追加される。その後に、nginx.conf により、”/search” エンドポイントに HTTPS とプロキシ機能が提供される。

その結果として、無害に見える AI 検索アドオンが、強力な監視とデータ収集のメカニズムへと変化していた。

Perplexity AI を偽装する Chromium エクステンション

複数の技術的な設計により、このエクステンションのステルス性と機能は強化されている。具体的に言うと、suggest_url フィールドを悪用する攻撃者は、ユーザーが検索クエリを送信する前からリアルタイムでキーストローク単位のデータを取得できる。それにより、単なるリダイレクトではなく、能動的なユーザー監視が実現されていた。

Manifest.json configuration of the analyzed extension (Source : Microsoft).
Manifest.json configuration of the analyzed extension (Source : Microsoft).

要求されていた DNR 権限である、declarativeNetRequest/declarativeNetRequestFeedback/declarativeNetRequestWithHostAccess は、リダイレクト/適用されたルールの監視/ホスト単位での傍受を可能にするものである。この組み合わせは、正規の AI 検索アシスタントが必要とする妥当な範囲を超えている。

また、このエクステンションには Wasm の評価を許可する content_security_policy が含まれているため、将来的な機能の拡張が、マニフェストを再公開することなく可能になる。

信頼される AI ブランドをタイポスクワッティングし、オンボーディング UX を模倣することで、攻撃者はインストールされる可能性を高めていた。この脅威モデルは単純であるが、その影響は大きい。

Onboarding page launched by the extension after installation (Source : Microsoft).
 Onboarding page launched by the extension after installation (Source : Microsoft).

インストール後も、ユーザーには通常どおりの検索動作が表示されるが、攻撃者のインフラは、プロファイリング/ターゲティング広告/広告詐欺などに悪用できる豊富なシグナルを収集し続ける。

Microsoft は、このサンプルから認証情報窃取の決定的な証拠は確認していないが、収集されるテレメトリの広範さと高度に設定された権限が示すのは、深刻なプライバシー/セキュリティのリスクである。

このインシデントが浮き彫りにするのは、2 つの広範な傾向である。1 つ目は、API とユーザー・トラフィックへの特権的なアクセスを取得できるブラウザ・エクステンションが、依然として価値の高い攻撃対象である点だ。2 つ目は、AI ブランドと AI ブームへの関心をソーシャル・エンジニアリングのベクターとして積極的に悪用する攻撃者が、認知度の高い AI サービスを偽装することでユーザーの警戒心を低下させている点だ。

AI を誘引のための材料として、脅威アクターが悪用していることを示す調査結果と、このインシデントを、Microsoft は関連付けている。

防御策は明確である。ユーザー企業にとって必要なことは、エクステンションに対する許可リストの適用と、信頼できないエクステンションをブロックするポリシーを導入することだ。それに加えて、ブラウザ検索設定への未承認の変更/見慣れない中継ドメインへのアウトバウンド・トラフィック/検索設定の上書きや強力なネットワーク操作 API を要求するエクステンションを継続的に監視する必要がある。

Microsoft は、検出と対応を支援するため、詳細な IoC/動的解析結果/高度なハンティング・クエリを公開している。ユーザー組織は、これらのシグナルを取り込み、振る舞いテレメトリをレピュテーション・フィードと関連付けて分析すべきである。

このエクステンションは、すでに Chrome Web Store から削除され、当面のリスクは軽減されているが、信頼される AI ブランドのタイポスクワッティング/MV3 DNR を利用した秘匿性の高い傍受/サーバサイドでのログ記録機能といった戦術は、容易に再利用できるものである。そのため、脅威アクターによる AI ブランドやブラウザ・エクステンション権限の悪用が続く限り、セキュリティ・チームとユーザーは引き続き警戒を維持する必要がある。

Indicators of Compromise
IndicatorTypeDescription
perplexity-ai[.]onlineDomainTyposquatted domain used for search redirection
flkebkiofojicogddingbdmcmkpbplcdExtension IDMalicious Chromium extension
extension.tilda[.]ws/perplexityaiURLInstallation onboarding page

注記:IP アドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため、意図的に無害化されている (例: “[.]”)。MISP/VirusTotal/SIEM などの管理された脅威インテリジェンス・プラットフォーム内でのみ元の表記へ戻すべきである。