悪性Chrome拡張が生成AIチャットを30分ごとに外部送信――LLM業務利用の“盲点”がデータ流出経路になる危機です

今日の深掘りポイント

• 90万超インストール規模の悪性拡張がChatGPT/DeepSeekの会話とタブURLを定期的にC2へ送信する事例が報告され、生成AIの業務利用に直結する「実害ベクトル」が顕在化しました。
• Manifest V3でも、拡張が付与権限の範囲でDOMやネットワークを操作できる構造的リスクは残り、ブラウザ経由DLP破りの検知は難しいままです。
• 企業は「拡張の最小権限・厳格な許可制」「LLM専用プロファイル・無拡張コンテナ」「トークン/セッションの即時失効・キー回転」「30分周期の外向き通信ハンティング」をセットで実装すべき局面です。
• 脅威はサプライチェーン（拡張の乗っ取り・開発者アカウント侵害）として再現性が高く、短期に同種キャンペーンの再登場が高確度で見込まれます。

はじめに

広く使われている2つのChrome拡張が、ユーザーのブラウジングデータに加えてChatGPTおよびDeepSeekの会話内容を30分ごとに外部のC2に送信していたと報じられています。インストール規模は合計90万超に達し、名称として「Chat GPT for Chrome（60万+）」「AI Sidebar（30万+）」が挙げられています。調査元として報道はOX Securityを引用しており、送信対象は会話テキストとChromeタブのURLで、企業の知財や個人情報の流出に直結する性質です。Security Boulevardの報道が一次情報の起点になっています。

編集部の総合評価としては、現実の被害発生可能性と即応性が高く、業務現場での生成AI活用の広がりに比例して影響半径が大きくなるタイプの脅威だと見ます。一方で手口自体の新規性は限定的で、拡張エコシステムのガバナンスと企業側の拡張許可制運用が追いついていないことが被害拡大の主因です。よって、技術的・組織的コントロールの双方を「生成AI前提」に再設計することが最優先課題になります。

深掘り詳細

事実関係（確認できる点）

• 報道によれば、2つのChrome拡張が合計90万回超インストールされ、ユーザーの会話（ChatGPT/DeepSeek）とタブURLを30分ごとに外部C2へ送信していました。送信は自動・定期であり、ユーザー操作なしに継続していたとされます。報道はOX Securityの研究者を情報源に挙げています。
• 拡張名として「Chat GPT for Chrome（60万+インストール）」「AI Sidebar（30万+）」が言及され、LLM支援をうたう“便利系”拡張がデータ収集のフロントとなった構図です。同上の報道に基づく情報です。
• Chrome拡張はManifest V3でも、付与権限の範囲でDOMアクセスやネットワーク送信（fetch/XHR）を行えます。設計上、ユーザーデータの取り扱いは権限とホスト許可に依存し、拡張の信頼性が崩れるとデータの無断送信が発生し得ます。Chrome Extensions Manifest V3のドキュメントが前提仕様を示しています。

注：C2ドメインや拡張の詳細なIoCは報道段階では限定的で、企業防御の現場では「拡張の振る舞い（周期通信・送信ボリューム・送信先）」の逸脱検知に軸足を置くのが現実的です。

編集部のインサイト（なぜ今、なぜ効く）

• 生成AIの業務常態化が「会話＝生情報の集合体」という新しい資産クラスを生みました。設計図、コード断片、APIキーや長期トークン、未公開URL、顧客情報のサマリなど、濃縮された“使える”情報が一箇所（チャットUI）に集約されます。拡張はDOMからこれを平文で取得でき、DLPやCASBの網をすり抜けやすいです。
• Manifest V3移行で背景ページがService Worker化し、webRequestのブロック機能が制限されるなど挙動は変わりましたが、権限の少なさ＝安全とは限らず、「最小限のhost_permissions＋content_scripts＋定期タスク（chrome.alarms）」だけで実用的な流出オペレーションが成立します。MV3は“悪さしづらくする”方向の進化ですが、ユーザーが許可した範囲の情報は依然として取得可能です。
• 企業は「ChatGPT Enterpriseだから安全」「社内向けLLMゲートウェイを使っているから大丈夫」という安心バイアスに陥りがちですが、ブラウザ拡張から見ればUI上のテキストは同じ平文です。サービス側のデータ保持ポリシーが堅牢でも、エンドポイント側の拡張に抜かれれば意味をなしません。
• サプライチェーンの再現性も高いです。人気拡張の開発者アカウントが乗っ取られれば、正規ユーザー基盤に対する“静かなアップデート”で流出が始められます。Chrome Web Storeの審査や通報は有効ですが、ゼロデイで完全には防げません。結果として、企業は「許可制と最小権限」「検知と隔離」「業務プロファイル分離」の三位一体を常態化させる必要があります。

脅威シナリオと影響

想定されるシナリオ（仮説）です。事実と異なる可能性があるため、守りの観点で広めに設計しています。

• シナリオA：R&D情報の逐次流出

  • エンジニアがLLMに貼り付けたコード断片や内部リポジトリのURL、APIキーが拡張により収集・送信されます。攻撃者は取得したURLから追加偵察を行い、ソースやCI/CDへの横展開を狙います。
  • ATT&CK参照（仮説）：T1176 Browser Extensions（拡張による永続化/回避）、T1071.001 Web Protocols（HTTPSでのC2/送信）、T1041 Exfiltration Over C2 Channel（会話等の継続送信）
  • 影響：知財流出、コード署名鍵やクラウド資格情報の漏えい、サプライチェーン侵害の起点化。

• シナリオB：顧客データ・法令リスク

  • サポート部門が顧客の個別情報やログをLLMで要約し、その内容が第三者C2へ転送されます。DLPは正規のTLS通信に偽装されるため検知が遅延します。
  • ATT&CK参照（仮説）：T1567 Exfiltration Over Web Service（Webサービス様式での送出）、T1056（Input/Content Capture的文脈でのUIデータ収集に相当）
  • 影響：個人情報保護法・契約違反の懸念、報告義務・罰則リスク、ブランド毀損。

• シナリオC：標的型の会話インテリジェンス収集

  • 経営層・法務・M&Aチームのチャットから機密ワードを正規表現で抽出し、選別送信します。30分周期の小容量送信はプロキシのベースラインに溶け込みやすいです。
  • ATT&CK参照（仮説）：T1176、T1071.001、T1041
  • 影響：インサイダー並みの意思決定インテリジェンスが外部に渡り、競争優位・交渉力に打撃。

MITRE ATT&CKの正式な技術IDとしては「Browser Extensions（T1176）」「Application Layer Protocol: Web Protocols（T1071.001）」「Exfiltration Over C2 Channel（T1041）」「Exfiltration Over Web Service（T1567）」が該当し得ると考えます。いずれも一般的なHTTPSに埋没でき、ネットワーク境界での特定は容易ではありません。MITRE ATT&CKの各技術ページ / T1071.001 / T1041 / T1567を参照ください。

セキュリティ担当者のアクション

優先度順に整理します。生成AI利用の実態がある組織では、段階的ではなく並行実施を推奨します。

• 即時（0–24時間）

  • 拡張の資産棚卸：Chrome/Edgeの拡張インベントリを収集し、LLM関連や生産性向上系を全面確認します。名称が類似する偽装拡張が多いため、発行者・許可権限・更新履歴を必ず確認します。
  • 強制アンインストールとブロックリスト登録：問題の拡張が残っていれば強制削除し、全社ブロックに入れます。Chrome Enterpriseのポリシー「ExtensionInstallBlocklist」「ExtensionInstallAllowlist」「ExtensionInstallForcelist」を活用します。ポリシー参照: Blocklist / Allowlist / Forcelist
  • セッション・トークン失効：ChatGPT/DeepSeekのWebセッションを全ユーザーでサインアウトし、保存トークン/APIキーを回転します。機密システムのパスワード・PAT・クラウド資格情報もローテーションを検討します。
  • ネットワークハンティング：Chromeプロセス由来の外向きHTTPSで、同一宛先へ30±5分周期のPOST/PUTが継続するフローを抽出します。送信ボディに“history”“messages”“conversation”等のキーが見える場合（TLS終端位置で観測可能な環境）は要注意です。

• 短期（1–2週間）

  • 許可制と最小権限の制度化：拡張は原則禁止、審査通過のホワイトリストのみ許可に切り替えます。審査は①発行者の実在確認、②ホスト権限（<all_urls>は原則不可）、③ソース公開/監査可否、④収益化手段（広告/トラッキングSDK混入）、⑤自動更新の配布元（Chrome Web Store以外を原則禁止）を基準にします。
  • LLM専用ブラウジングの分離：Chromeのプロファイル分離やVDI/仮想ブラウザを用い、LLM専用プロファイルは「無拡張・クリップボード/ダウンロード制御・履歴/キャッシュ自動消去」を標準にします。
  • 可視化の常設：Chrome Browser Cloud Management（CBCM）等を導入し、拡張の展開状況・権限・バージョン偏差をダッシュボード化します。CBCMの管理ガイド（概要）
  • エグレス制御の粒度向上：不明評判ドメインへの長期持続通信をZTA/プロキシ側で減速・遮断し、ユーザー単位のレート異常検知を有効化します。

• 中期（1–3か月）

  • LLM運用ガードレールの明文化と教育：貼り付け禁止情報（鍵・認証ヘッダー・個人識別子・未公開URL）、プロンプトの分割・マスキング手順、機密会話の保管方法をドキュメント化し、定着させます。
  • データ分類とDLPの再設計：ブラウザ内テキストの分類タグ付けと送信時ガード（エージェントDLP・OSレベルの保護）を、LLMの実運用に合わせて再マッピングします。
  • 監査とレッドチーム：意図的に“便利系LLM拡張”を社内検証環境に導入し、どこまで抜けるかを定点観測します。Chromeのmanifest解析と通信計測を標準手順化します。

• 運用の要点

  • 「MV3だから安全」は誤りです。付与権限と配布・更新のガバナンスがすべてです。
  • LLMの“会話”は高密度な機微情報です。DLP対象データとして最も厳格に扱うべきです。
  • 供給側（拡張エコシステム）の審査強化だけでは被害は止まりません。企業のエンドポイント・ネットワーク・人の三層で抑え込む設計が必要です。

参考情報（一次・公式を優先）

• 報道（OX Securityの研究を引用）: Widely Used Malicious Extensions Steal ChatGPT, DeepSeek Conversations（Security Boulevard）: https://securityboulevard.com/2025/12/widely-used-malicious-extensions-steal-chatgpt-deepseek-conversations/
• Manifest V3 概要（Chrome公式）: https://developer.chrome.com/docs/extensions/mv3/intro/
• Chrome Enterprise 拡張ポリシー（公式）: Allowlist https://chromeenterprise.google/policies/?policy=ExtensionInstallAllowlist / Blocklist https://chromeenterprise.google/policies/?policy=ExtensionInstallBlocklist / Forcelist https://chromeenterprise.google/policies/?policy=ExtensionInstallForcelist
• MITRE ATT&CK: Browser Extensions（T1176）: https://attack.mitre.org/techniques/T1176/ / Web Protocols（T1071.001）: https://attack.mitre.org/techniques/T1071/001/ / Exfiltration Over C2 Channel（T1041）: https://attack.mitre.org/techniques/T1041/ / Exfiltration Over Web Service（T1567）: https://attack.mitre.org/techniques/T1567/

本件のメトリクスからは、実行可能性と緊急度の高さ、横展開の確度が読み取れます。新規性よりも「運用の穴」を突かれている点が核心で、拡張許可とLLM運用の再設計を先送りするほど、日々のチャットがそのまま“攻撃者のナレッジベース”へと流れ続ける構図になります。ブラウザは今や最重要のエンドポイントです。生成AI時代の前提に合わせ、エコシステムと自社統制を同時に強化していくべきタイミングです。