JetBrainsプラグインを装った「AIキー泥棒」—IDEとブラウザを跨ぐPrompt Poachingの現実

今日の深掘りポイント

• 供給網の最前線はIDEのプラグインとブラウザ拡張です。AI支援を看板にした偽プラグイン／拡張が、平文のAPIキーと会話ログを抜き取る設計になっている可能性が高いです。
• 盗まれるのは「資格情報」ではなく「利用可能枠（=お金）」です。AI APIキーは課金メーターにつながるため、被害は即コストとして表面化し、二次被害の踏み台にもなります。
• 「Prompt Poaching」はIDEとブラウザの両面で成立します。IDE側はキー窃取、ブラウザ側はプロンプト/応答の盗聴という二段構えになりやすいです。
• 発見事例は新しい攻撃ではなく、持続的なキャンペーンの一端です。開発者の信頼を利用する点で再現性が高く、模倣が増える前提でガバナンスを設計すべきです。
• 即応は「棚卸し・除去・鍵ローテーション・出口管理」が基本線です。中長期では「内部ゲートウェイ化」「スコープ付きキー」「プラグイン許可制」に舵を切るべきです。

はじめに

AIコーディングアシスタントの普及が進む一方で、開発者の机上に置かれた新しい攻撃面も静かに拡大しています。今回、JetBrains Marketplaceで少なくとも15の悪性プラグインが見つかり、ユーザーが入力したAIプロバイダーのAPIキーを外部に送信する設計だったと報じられました。Chrome拡張でもAIチャットの盗聴が確認され、この一連の攻撃は「Prompt Poaching」と呼ばれています。開発者体験の向上を装って、信頼という見えない境界を越えてくるタイプのサプライチェーン攻撃です。組織としては「便利さ」と「露出」をどう均衡させるか、原点に立ち返る局面です。

本稿では、公開情報をもとに事実関係を整理しつつ、CISO/SOC/Threat Intelの視点で、構造的リスクと実装レベルの対策を掘り下げます。

深掘り詳細

判明している事実（報道ベース）

• セキュリティ研究者が、JetBrains Marketplaceで少なくとも15の悪性プラグインを確認したと報じられています。これらはDeepSeekなど大規模言語モデルを装ったAIコードアシスタントとして配布され、ユーザーが入力したAPIキーを攻撃者サーバーに送信する機能を持っていたとされています。活動は2025年10月頃から継続し、直近まで新規が投入されているとされています。
• 一部のプラグイン（例：CodeGPT AI Assistant、DeepSeek AI Assist）はそれぞれ2.5万超のダウンロードとされ、露出の広がりがうかがえます。もっとも、実際の有効インストール数や使用率は不明です。
• 悪性のChrome拡張機能も見つかっており、AIチャットの内容を盗聴・送信するケースで9万超のユーザー規模が示されています。
• これらの攻撃は「Prompt Poaching」と呼ばれ、ユーザーの入力（プロンプト）とモデル応答を狙う形で価値のある情報と利用可能なリソースを同時に奪う様相を呈しています。
• 出典は以下の報道です（一次情報の技術詳細・IoCは本稿執筆時点で限定的です）。The Hacker News: Malicious JetBrains Plugins Steal AI API Keys（2026-06-17）

編集部のインサイト（構造的リスク）

• キーは「支払い能力」そのものです
  AI APIキーは利用上限（クォータ）と課金に直結しています。盗難後の悪用は即時かつ目立たない形で進みやすく、モデル推論やファイルアップロード、微調整APIなど高単価の操作に用いられるほど損害は加速します。検知は「認証失敗」ではなく「費用異常」で表面化しやすいのが厄介です。
• プラグインの信頼境界は「UIの一歩内側」にある
  IDEのプラグインやブラウザ拡張は、ユーザーが作業しているUIのすぐ裏側で動作します。ユーザーが手入力したキーや直前の会話テキストに自然アクセスできる位置にあり、アンチウイルスやEDRが重視する「OSレベルの権限昇格」とは異なる静かな窃取が成立します。
• 「AIアシスタント」を名乗ること自体が攻撃の最適化
  AI連携プラグインはキー入力画面やプロンプト転送機能が「仕様」なので、疑念を抱かれにくいです。つまり要求行為（キー入力・外部送信）が攻撃と重なるため、社会工学的ハードルがきわめて低いです。
• ブラウザ×IDEの二面作戦
  IDE側でキーを奪い、ブラウザ側で会話コンテキストを盗み見ると、利用権と文脈が揃います。攻撃者は「ただ使えるキー」から「高価値な情報（プロンプト・出力・機密断片）」へと収益化の幅を広げられます。

なぜAI APIキーが狙われるのか（仮説を明示）

• 直接収益化できるからです（仮説）
  盗難キーを闇市場で再販する、あるいは攻撃者自身が推論リソースとして使うことで、現金化／コスト転嫁が成立します。可用なクレジットが尽きるまで静かに使い潰すパターンが合理的です。
• 横展開の足掛かりになるからです（仮説）
  同一キーがCI/CDや社内ツールでも使い回されていれば、利用履歴やメタデータから社内システムの構成ヒントが得られます。さらにプロンプト中にプロジェクト名・顧客名・内部用語が含まれていれば、偵察価値が上がります。

脅威シナリオと影響

以下はMITRE ATT&CKに沿って整理した仮説シナリオです。実際の個別ケースは公開IoCやベンダー通知に従って評価してください。

• シナリオA：IDEプラグインによるAPIキー窃取と課金リソース悪用（仮説）

  • 初期侵入: T1195.001 Supply Chain Compromise: Compromise Software Dependencies and Development Tools（悪性プラグインの入手）
  • 実行: T1204 User Execution（ユーザーによるプラグイン有効化）
  • 資格情報アクセス/収集: T1552 Unsecured Credentials（設定画面・設定ファイルからのキー取得）、T1005 Data from Local System（IDE設定領域の読み取り）
  • C2/外部送信: T1071.001 Application Layer Protocol: Web Protocols、T1041 Exfiltration Over C2 Channel（HTTP/HTTPSで送信）
  • 影響: 組織のAI利用費の急増、業務停止（Denial-of-Wallet）、監査対応・信用失墜

• シナリオB：ブラウザ拡張によるPrompt Poaching（仮説）

  • 永続化/フック: T1176 Browser Extensions（拡張の常駐）
  • 入力取得: T1056 Input Capture（Web UI上のプロンプト/応答の傍受）
  • 外部送信: T1071.001 / T1041（外部エンドポイントへ送信）
  • 影響: 機密会話（要件、設計断片、顧客情報）の漏えい、攻撃者による知的財産の収集

• シナリオC：盗難キーを用いた横展開の試行（仮説）

  • 偵察: T1592 Gather Victim Host Information / T1591 Gather Victim Org Information（API利用メタデータからの組織推定）
  • 認証回避: キーの流用により正規APIとしての顔で活動（ATT&CK上は複数テクニックの複合）
  • 影響: 追加のコスト被害、組織内ワークフローやデータの推定精度向上

業務上の影響は金銭・運用ともに即時性が高いです。とくに開発ラインは「止めづらい」ため、検知が遅れるほどコストが雪だるま式に膨らみます。新規性は中程度ですが、実行容易性と継続性が高く、当面は同種の模倣が続く前提で備えるべきです。

セキュリティ担当者のアクション

優先度順に、現実的な運用手順へ落とし込みます。

• いま直ちに（48時間以内）

  • IDE/ブラウザの棚卸しと除去
    • 全開発端末のJetBrains系IDEでインストール済みプラグインを一覧化し、不明開発元・最近導入のAI関連プラグインを隔離・除去します。ブラウザ拡張も同様です。
  • AI APIキーの即時ローテーション
    • すべての開発用AI APIキーを再発行し、旧キーを失効します。並行して各プロバイダーの利用ログを遡及確認し、異常呼び出し（深夜帯急増、高単価エンドポイント急増、未知のモデル利用）を棚卸します。
  • 予算と出口のセーフティブレーキ
    • プロバイダー側の利用上限・アラートを最小限まで絞り、社外ドメインへのHTTP(S)送信をプロキシで監視・一時的に厳しめに制限します。IDEプロセス発の外向き通信を可視化対象に含めます。

• 2週間以内

  • プラグインと拡張のエンタープライズ許可制
    • 公式マーケットプレイスからの自動更新を抑制し、許可リスト方式での配布に切り替えます。プラグインID/バージョン固定、拡張の組織ポリシー適用を徹底します。
  • AI接続の「内部ゲートウェイ化」設計
    • 端末から直接クラウドAIに出さず、社内のリバースプロキシ/ゲートウェイで中継するアーキテクチャにします。キーは端末に配布せず、ゲートウェイ側でスコープ・レート制御・ロギング・DLPを実施します。
  • ハンティングと検知ロジック
    • IOCが未充足でも、振る舞いで検知します。例：IDEプロセスからの新規外向きドメイン、IDE設定ディレクトリへの直近アクセス直後のHTTP POST増加、開発端末の急激なAI APIコール増などの相関検知を用意します。

• 30–90日

  • キー管理の近代化
    • スコープ付きキー/短期トークン（プロバイダーが対応している場合）へ移行し、プロジェクト単位・機能単位で最小権限化します。月次の強制ローテーションと利用アノマリの自動遮断を組み込みます。
  • セキュア・バイ・デザインのDevEx
    • 「便利なものはすぐ入れられるが、組織境界は常に通る」道筋を整えます。社内で評価済みAIプラグインのカタログ化、開発用ゴールデンイメージ、端末の拡張/プラグイン導入権限分離を進めます。
  • レッドチーム演習の題材化
    • 悪性プラグイン/拡張を模したシナリオで、EDR・プロキシ・SIEMの連携検証を実施します。APIキー窃取→外送→異常コールの3段階が検出・遮断できるかを評価します。

• 運用の勘所（継続）

  • コストを一次検知の指標にする
    • API利用コストのしきい値アラートを「セキュリティインシデントの早期兆候」としてSOCに流します。費用異常は多くの場合、ログイン異常より早く見えます。
  • 秘密情報の扱い方を再教育
    • 「長期に効くキーはUIに入れない」「不明プラグイン・拡張にキーを渡さない」という原則を開発者にリマインドし、代替手段（ゲートウェイ、短期トークン）を提供します。

最後に、今回の事案は「攻撃が高度だから成功した」という類ではなく、「私たちの業務設計が受け入れてしまった」側面が強いです。AIが業務に溶け込むほど、そこは境界ではなく中枢になります。境界の外周を強化するだけでは足りず、「中枢に近い便利なところ」にも制御と観測点を置く——その発想転換こそが、次の模倣攻撃を未然に防ぐ最短距離だと考えます。

参考情報

• The Hacker News: Malicious JetBrains Plugins Steal AI API Keys（2026-06-17）https://thehackernews.com/2026/06/malicious-jetbrains-plugins-steal-ai.html