Microsoft Defender セキュリティリサーチチームは2026年3月5日、正規のAIアシスタントツールを装った悪意のあるChromiumベースのブラウザ拡張機能を調査・報告した。
当該拡張機能のインストール数は約90万件に達し、2万以上のエンタープライズテナントでの活動が確認された。拡張機能は Chrome Web Store を通じて配布され、Google Chrome および Microsoft Edge に対応していた。
ChatGPT や DeepSeek を含むAIプラットフォームから完全なURLとチャット履歴を収集し、deepaichats[.]com および chatsaigpt[.]com へ送信していた。調査はジェフ・マクドナルドおよびダナ・バリルの協力のもと実施された。
From: 
Malicious AI Assistant Extensions Harvest LLM Chat Histories | Microsoft Security Blog
【編集部解説】
今回 Microsoft が報告した悪意のあるブラウザ拡張機能の問題は、実は2026年3月5日の Microsoft の発表以前から進行していた事案です。セキュリティ企業の OX Security がこの2つの拡張機能を発見し、2025年12月29日に Google へ報告していました。Microsoft の発表はいわば、その後の企業環境への影響を詳細に分析した「続報」と位置づけるのが正確です。
この件で注目すべきは、2つの拡張機能の規模の内訳です。「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」が約60万インストール、「AI Sidebar with Deepseek, ChatGPT, Claude and more」が約30万インストールと、合計で約90万件に達していました。そのうち一方は Google が信頼の証として付与する「Featured(おすすめ)」バッジを取得していたという事実は、既存のプラットフォーム審査の限界を如実に示しています。
手口の巧妙さも際立っています。攻撃者は正規の AI サイドバー拡張機能である AITOPIA の UI を完全にコピーしたうえで、「匿名かつ識別不可能な分析データ」という曖昧な言葉で同意を取得していました。実際には、ChatGPT や DeepSeek のチャット内容を完全に傍受するコードが仕込まれており、30分ごとに C2 サーバーへ送信されていました。さらに悪質なことに、一方の拡張機能をアンインストールすると、もう一方のインストールを促すタブが自動で開く仕組みまで備えていました。
また、攻撃インフラの隠蔽にも工夫が凝らされていました。攻撃者は AI 駆動の Web 開発プラットフォームである Lovable を悪用してフェイクのプライバシーポリシーページを構築し、研究者による追跡を意図的に困難にしていました。これは「AI で AI を欺く」という新しい攻撃の形といえます。
この事案はブラウザ拡張機能を通じた AI チャット傍受という攻撃手法が組織的に広がっていることを示す、一例に過ぎません。セキュリティ企業 Secure Annex はこの種の攻撃を「Prompt Poaching(プロンプト窃取)」と名付けており、今後も同様の手口が増加するとみています。実際、Urban VPN Proxy という別の拡張機能(Chrome 版で600万以上のインストール)も、2025年7月のバージョン5.5.0へのアップデートから ChatGPT、Claude、Gemini など8つの AI プラットフォームの会話を傍受していたことが明らかになっています。同一パブリッシャーが提供する関連拡張機能8本の合計では、800万以上のユーザーに影響が及んでいます。
企業にとってのリスクは個人情報の漏洩にとどまりません。社員が業務で AI ツールに入力する内容には、未公開の製品仕様、社内の意思決定プロセス、取引先との交渉内容、ソースコードといった競争優位の核心が含まれている場合があります。それらが継続的かつ自動的に外部へ流出し続けるという状況は、従来のサイバーセキュリティの脅威モデルを根本から更新させるものです。
規制・制度的な観点から見ても、この事案は重要な問いを投げかけています。ブラウザ拡張機能のエコシステムにおける審査基準の強化、AI ツール利用時のデータ保護に関する法整備、そして企業の AI 利用ポリシーの策定が急務となっていることは明らかです。欧州の AI Act をはじめとする規制の枠組みが整備される中、ブラウザレベルでの AI データ保護という問題は、今後の政策議論における重要な論点になるでしょう。
私たちが AI ツールを「考えるための外部脳」として活用する時代において、その「思考の記録」がいかに狙われやすいか。この事案は、AI の利便性とセキュリティのトレードオフという、避けては通れない課題を私たちの目の前に突きつけています。
【用語解説】
LLM(大規模言語モデル)
Large Language Model の略。大量のテキストデータを学習した大規模な AI モデルであり、ChatGPT や DeepSeek など現在の対話型 AI サービスの中核技術である。
テレメトリ
ソフトウェアが自動的に収集・送信する使用状況や動作ログのデータを指す。本来はサービス改善などを目的とするが、今回の事案では悪用され、ユーザーの閲覧データや AI チャット内容が無断で収集・送信された。
C2サーバー(コマンド&コントロールサーバー)
攻撃者が感染したデバイスを遠隔操作するために使用するサーバーのこと。今回の事案では、収集されたチャット履歴や URL が30分ごとにこのサーバーへ送信されていた。
DOM(ドキュメントオブジェクトモデル)
Web ページの構造をプログラムから操作するための仕組み。今回の拡張機能は DOM を直接参照することで、ChatGPT や DeepSeek のページからチャット内容をリアルタイムに抽出していた。ネットワーク通信を傍受する必要がないため、検出が難しい手法である。
Base64
バイナリデータをテキスト形式に変換するエンコード方式。今回は収集データを Base64 形式に変換してローカルに保存し、外部サーバーへ送信する際の偽装に利用された。
エンタープライズテナント
クラウドサービスにおける企業単位の契約・管理単位を指す。Microsoft Defender のテレメトリにより、今回の影響が2万以上の企業テナントに及ぶことが確認された。
Prompt Poaching(プロンプト窃取)
ブラウザ拡張機能などを通じて AI チャットの入力内容(プロンプト)および応答を密かに傍受・収集する攻撃手法。セキュリティ企業 Secure Annex が命名した。今後増加が予測される新たな攻撃カテゴリである。
【参考リンク】
Microsoft Security Blog(外部)
Microsoftセキュリティ研究チームの公式ブログ。脅威分析・脆弱性情報・製品に関する技術的知見を発信。今回の報告記事の一次情報源。
OX Security 公式ブログ ― 悪意ある拡張機能レポート(外部)
今回の拡張機能を最初に発見・報告したセキュリティ企業 OX Security によるオリジナルレポート。2025年12月29日にGoogleへ報告した一次情報を含む。
AITOPIA 公式サイト(外部)
今回の事案で偽装対象となった正規AIサイドバー拡張機能の開発元。Chrome・Edge・Safariに対応し、複数のAIモデルをサイドバーから利用できる。
Chrome Web Store(Google Chrome 拡張機能ストア)(外部)
Googleが運営するChrome向け拡張機能の公式配布プラットフォーム。今回の悪意ある拡張機能もこのストアを通じて配布された。
Lovable 公式サイト(外部)
自然言語でWebアプリやサイトを構築できるAI駆動のノーコード開発プラットフォーム。今回の事案で攻撃インフラ隠蔽に悪用された。
【参考記事】
900K Users Compromised: Chrome Extensions Steal ChatGPT and DeepSeek Conversations(外部)
今回の拡張機能を最初に発見したOX Securityによるオリジナルレポート。60万件+30万件の内訳・Lovable悪用の事実を初めて指摘した。
Two Chrome Extensions Caught Stealing ChatGPT and DeepSeek Chats from 900,000 Users(外部)
The Hacker Newsによる詳細レポート。90万件の内訳・Urban VPN Proxyとの関連・「Prompt Poaching」という攻撃カテゴリの広がりを報じた。
900K Users Hit as Malicious Chrome Extensions Steal ChatGPT, DeepSeek Chats(外部)
TechRepublicによる分析記事。30分ごとのC2送信・固有識別子によるプロファイル構築・パーミッション悪用の手口を詳細に解説。
Chrome Extensions With 900,000 Downloads Caught Stealing AI Chats(外部)
SecurityWeekによる報告。「Featured」バッジ取得済みのマルウェア内包と、報告後も削除されなかった状況を伝えている。
Chrome extension slurps up AI chats after users installed it for privacy(外部)
MalwarebytesによるUrban VPN Proxyのレポート。Chrome版600万超・Edge版130万のインストール数と、8プラットフォーム傍受の経緯を明記。
Browser Extension Harvests 8M Users’ AI Chatbot Data(外部)
Dark Readingによる分析。「800万以上」が関連8拡張機能の合計であることを明確に記載。Urban VPN Proxy単体の数字の根拠となった記事。
【編集部後記】
あなたが今日、AI ツールに打ち込んだ言葉は、誰かに見られていたかもしれません。私たちも同じ状況にいます。「便利さ」と「安全」のバランスをどう取るか、答えはまだ誰も持っていません。ぜひ、ご自身のブラウザにインストールされた拡張機能を一度見直してみてはいかがでしょうか。
