概要
LayerX社は、悪意のあるChrome拡張機能がAIアシスタントとして装い、30万人以上のユーザーから資格情報、メールの内容、およびブラウジング情報を盗んでいると発表しました。これらの拡張機能は「AiFrame」と名付けられ、一部は依然としてGoogle Chromeウェブストアに存在しています。
詳細
LayerX社が発見した30の悪意のあるChrome拡張機能は、ユーザーから資格情報やメールを盗むためにAIアシスタントとして偽装しています。これらの拡張機能は、tapnetic[.]proというドメインを使用して通信し、共通の内部構造とJavaScriptロジックを持っています。
主要な被害者
- AiFrameキャンペーンで最も人気のある拡張機能:「Gemini AI Sidebar」(80,000ユーザー)が、現在はChrome Web Storeから削除されています。
- 他の被害者:
- AI Sidebar (70,000ユーザー)
- AI Assistant (60,000ユーザー)
- ChatGPT Translate (30,000ユーザー)
- AI GPT (20,000ユーザー)
- ChatGPT (20,000ユーザー)
- AiFrameの他の拡張機能(10,000ユーザー)
悪意のある拡張機能の仕組み
これらの拡張機能は、ローカルでAI機能を実装する代わりに、フルスクリーンのiframeを使用してリモートドメインからコンテンツを読み込みます。これにより、パブリッシャーがいつでも拡張機能のロジックを変更でき、新しいレビューを避けることができます。
メールデータへの攻撃
LayerX社は、15の拡張機能がGmailデータに特に標的を絞っていると報告しています。これらの拡張機能は、「document_start」で「mail.google.com」上で実行される専用のコンテンツスクリプトを使用してUI要素を挿入し、メールの内容を直接DOMから読み取ります。
対策
LayerX社は、これらの悪意のある拡張機能の一覧を公開しており、被害が確認された場合、すべてのアカウントのパスワードをリセットすることを推奨しています。