Cato Networksは、AIブラウザーアシスタントを標的とする新たな攻撃手法「HashJack」を公表した。
HashJackは正規のURL末尾に「#」を付与し、その後ろに悪意あるプロンプトを埋め込むことで、Copilot in Edge、Gemini in Chrome、Perplexity AIのCometといったAIブラウザーアシスタントにのみ命令を届ける間接プロンプトインジェクションである。
URLフラグメントはネットワーク機器やサーバーへ送信されないため、従来のログ監視やURLフィルタリングでは検知しづらいとされる。
Cato CTRLの検証では、エージェント機能を備えるCometがユーザーデータを攻撃者管理のエンドポイントに送信するよう誘導され得ることや、より受動的なアシスタントでも誤誘導や悪意あるリンク表示が可能であることが確認されている。
Catoは2025年7月にPerplexity、8月にGoogleとMicrosoftへ報告し、PerplexityとMicrosoftはAIブラウザー側に対策を適用した一方で、GoogleはChromeについて「won’t fix(intended behavior)」かつ低深刻度と分類した。
From: 
HashJack attack shows AI browsers can be fooled with a simple ‘#’
【編集部解説】
HashJackは、AIブラウザーという「人とWebのあいだ」に新たに生まれたレイヤーそのものを狙う攻撃です。 ポイントは、見えているWebページ自体は正規であるにもかかわらず、URLの「#」以降だけを悪用してCopilotやGemini、CometといったAIアシスタントのコンテキストに命令文を紛れ込ませている点にあります。 ユーザーは「信頼しているサイト」と「いつものAIアシスタント」しか見ていないのに、裏側ではAIだけが攻撃者のシナリオに沿って動いてしまう構造です。
技術的には、これは典型的な間接プロンプトインジェクションの一種ですが、命令を載せる場所がHTMLソースや隠しテキストではなくURLフラグメントであることが特徴的です。 フラグメントは本来サーバーには送信されないため、ゲートウェイのログやWAFのルールからすり抜けやすく、「正規ドメインなのにAIだけが乗っ取られる」という、これまで想定していなかった脅威モデルを生み出しています。 ここでは、AIが追加した「解釈レイヤー」が、結果として新しい攻撃面を1枚増やしているとも言えます。
影響が大きいのは、Cometのようなエージェント型AIブラウザーがフォーム送信や外部APIへのアクセスなど、自律的な操作まで担うようになっているからです。 Cato CTRLの検証では、ユーザーデータを攻撃者のエンドポイントに送信させるシナリオが確認されており、たとえそこまで高度でなくても、フィッシングサイトへの誘導や誤った医療情報の提示など、LLMの「文章生成力」そのものが悪用されるリスクが示されています。 「ブラウザーが賢くなるほど、攻撃者もその賢さを利用する」という構図が、ここではっきりと可視化されたと言えるでしょう。
各社の対応の差も、次世代ブラウザーの難しさを象徴しています。 PerplexityとMicrosoftが修正を入れた一方で、GoogleはChromeに関して「intended behavior」として構造的な変更を行っていませんが、これは単に善し悪しではなく、「ブラウザーがAIアシスタントのコンテキストをどこまで制御すべきか」という設計思想の揺らぎでもあります。 レイヤーの境界が曖昧になりつつある今、ブラウザー側、AI側、ネットワーク側のどこに防御責任を持たせるかという議論は、今後さらに重要性を増していくはずです。
この事案は「AIブラウザーだから危ない」という話にとどまらず、「人とWebのインターフェースがAI前提に変わる」という長期的トレンドの転換点に立っていることを示しています。 組織側は、ネットワークログやサーバーサイドの対策だけに頼らず、クライアントサイドでのAI利用ポリシーや、どのアシスタントを許可するかといったガバナンス設計を見直す必要があります。 個人としても、「正規サイト+AIアシスタント=安全」という直感をアップデートすることが、これからのブラウジングリテラシーの一部になっていくでしょう。
【用語解説】
間接プロンプトインジェクション
AIが参照する外部コンテンツ内に隠された命令文を通じて、ユーザーが意図していない指示をLLMに実行させる攻撃手法の総称である。
URLフラグメント(ハッシュ、#以降)
URLの「#」以降に記述される部分であり、本来はブラウザー側での画面位置指定や状態管理に使われ、サーバーには送信されない領域である。
AIブラウザーアシスタント
EdgeのCopilotやChromeのGemini、Cometなど、閲覧中のWebページ内容をLLMで解析し、要約や操作代行を行う機能や拡張を指す。
エージェント機能(エージェント型AI)
指示に応じて自律的に複数ステップの操作や外部サービスとの連携を実行するAIの機能であり、フォーム送信やAPIアクセスなども含み得る。
【参考リンク】
Cato Networks(外部)
ネットワークセキュリティとSASEを提供する企業で、脅威研究部門Cato CTRLを通じてHashJack攻撃の技術詳細と防御策を公開している。
Microsoft Copilot(外部)
Microsoftが提供するAIアシスタントで、Edgeブラウザーと統合されWebページの要約や操作補助を行い、生産性向上と情報探索を支援するサービスである。
Perplexity AI / Comet(外部)
LLMベースの回答検索を提供する企業で、AIブラウザーCometを通じてWeb閲覧とエージェント機能を組み合わせたインタラクティブなブラウジング体験を提供している。
Google Chrome(外部)
Googleが提供するWebブラウザーで、GeminiなどのAI機能と連携し、ページ要約や検索支援機能をブラウザー内から直接利用できるよう拡張が進められている。
【参考動画】
【参考記事】
New ‘HashJack’ technique lets attackers manipulate AI assistants in Comet, Copilot and Gemini(外部)
URLフラグメントを悪用するHashJackの仕組みと、データ流出やフィッシング、誤った医療情報提供などエージェント型AIブラウザーが抱えるリスクを技術的に解説している。
Use AI browsers? Be careful. This exploit turns trusted sites into weapons – here’s how(外部)
信頼された正規サイトがHashJackによって攻撃ベクターへ変わる構造と、企業が導入すべき多層防御策やAIブラウザー利用ポリシーの考え方を実務的な視点から整理している。
Researchers uncover flaw letting hackers hijack AI browser assistants via legitimate websites(外部)
正規サイトのURLフラグメントからAIブラウザーアシスタントが乗っ取られ得る点に着目し、ユーザーの信頼認知とブラウザー側の制御責任のギャップを指摘する解説を提供している。
【編集部後記】
HashJackの話を追いかけていて強く感じたのは、「ブラウザーはもう単なる閲覧ソフトではない」という現実です。 AIが前提になることで、URLの一文字や画面外のコンテキストが、そのまま私たちの行動や判断に影響を与える時代に入っています。 だからこそ、「どのAIをどの設定で使うか」を、自分なりのポリシーとして持つことがこれからのリテラシーになると考えています。
未来のブラウジング体験は、きっと今よりもっと便利で、もっとパーソナライズされたものになっていきます。 その一方で、「便利さの裏側で何が起きうるのか」を知っておくことは、未来に主体的に関わるための前提条件でもあります。 この記事が、みなさん自身のAIブラウザーとの付き合い方を見直す小さなきっかけになればうれしいです。
