「無料VPN」が生成AIのプロンプトを盗む? ブラウザ拡張機能に潜む危険性:要注意のWebブラウザ脆弱性
セキュリティ専門家は、さまざまな「Webブラウザの脆弱性」の悪用について警鐘を鳴らしている。具体的にはどのような脆弱性なのか。2つの例を取り上げて説明する。
WebブラウザはさまざまなWebサイトやクラウド型の業務アプリケーション、生成AI(人工知能)ツールにアクセスするために不可欠なので、いかにそのセキュリティを高めて安全利用につなげるかが重要だ。セキュリティ強化のために知っておきたい、企業を危険にさらすWebブラウザの脆弱(ぜいじゃく)性とは。
Safariに影響を与える欠陥も発見
併せて読みたいお薦め記事
ブラウザを安全に利用するには
- 430万人被害の「ブラウザ拡張機能」汚染 情シスの“許可”が仇になる時
- Webブラウザは追跡されている――身バレを防止できる「匿名化」とは?
- 利用中のWebブラウザを高セキュアな「エンタープライズブラウザ」に 日立系が販売
セキュリティベンダーLayerX Securityのレポート「2025 Browser Security Report」(2025年ブラウザセキュリティレポート)は、ブラウザ拡張機能が企業の「管理されていない大きな脆弱性」になると指摘する。特に生成AIツールの普及によって、企業はさまざまな社内データをWebブラウザ経由で生成AIツールに提供するようになっている。Webブラウザの脆弱性が悪用された場合、生成AIツール提供用データが攻撃者の手に入る恐れがあると同社は説明する。
Webブラウザは攻撃の標的になることに加え、攻撃を実行する手段として利用されることもある。セキュリティベンダーのレポート「State of Browser Security Report 2025」(2025年ブラウザセキュリティの現状レポート)によると、マルウェア感染の約7割に、Webブラウザが使われている。
近年、ベンダーはWebブラウザの保護力を強化するために、さまざまなセキュリティ対策を講じている。しかし、攻撃者も常にWebブラウザの「穴」を探しており、Webブラウザに関連するセキュリティ事故が後を絶たない。以下で、最近の2つの具体例を取り上げてみよう。
Urban VPN Proxy
無償のVPN(仮想プライベートネットワーク)サービス「Urban VPN Proxy」のブラウザ拡張機能が、OpenAIの「ChatGPT」やAnthropicの「Claude」を含む8つのAIツールとのやり取りからユーザーデータを収集していることが判明した。
セキュリティベンダーKoi Securityによると、Urban VPN Proxyバージョン5.5.0以降、「Google Chrome」と「Microsoft Edge」用のブラウザ拡張機能が、標的となるAIツールにスクリプトを注入し、プロンプトや回答、メタデータを含むデータを傍受し、流出させている。このデータ収集はUrban VPN Proxy のVPN機能とは独立しており、ブラウザ拡張機能をアンインストールしない限り、無効にすることはできないという。
Safari
Appleは2025年12月、脆弱性「CVE-2025-43529」と「CVE-2025-14174」のパッチ(修正プログラム)を提供した。これらの脆弱性は同社Webブラウザ「Safari」などで使われているソフトウェア「WebKit」に存在し、悪用された場合、不正なWebコンテンツによって任意のコード実行を可能にする恐れがある。Googleの脅威分析部隊Threat Analysis Group(TAG)との協力で発見された。
Appleは、これらの脆弱性が特定の個人を標的としたスパイ目的の攻撃に関連する可能性があると説明している。
Copyright © ITmedia, Inc. All Rights Reserved.