概要:AIブラウザの新たな脅威
OpenAIのAtlasブラウザとPerplexityのCometブラウザが、AIサイドバーのなりすまし攻撃に対して脆弱であることが判明しました。この攻撃は、組み込みのAIサイドバーを偽装し、ユーザーを悪意のある指示に従わせることで、仮想通貨の窃盗、GmailやGoogleドライブへの不正アクセス、さらにはデバイスの乗っ取りといった危険な行動に誘導する可能性があります。
AIサイドバーなりすまし攻撃の仕組み
ブラウザセキュリティ企業SquareXの研究者によって考案されたこの攻撃は、悪意のある拡張機能を利用します。この拡張機能は、ユーザーが見ているウェブページにJavaScriptを注入し、本物のAIサイドバーの上に偽のサイドバーを描画します。偽のサイドバーは本物と全く同じように見えるため、ユーザーはそれが正規のインターフェースの一部であると信じ込みます。
この偽装されたサイドバーは、すべてのユーザー操作を傍受するため、ユーザーは詐欺に気づくことなく操作を続けてしまいます。SquareXは、このような拡張機能が「ホスト」と「ストレージ」という、Grammarlyやパスワードマネージャーなどの一般的な生産性ツールでも要求される権限のみで動作することを指摘しています。
具体的な攻撃シナリオ
SquareXは、GoogleのGemini AIをCometブラウザで使用し、以下の3つの現実的な攻撃シナリオを実証しました。
- 仮想通貨関連の質問をしたユーザーをフィッシングページに誘導する。
- 偽のファイル共有アプリを介したOAuth攻撃により、ユーザーのGmail/Googleドライブを乗っ取る。
- ソフトウェアのインストールを求めるユーザーに、リバースシェルインストールコマンドを指示する。
これらの例は、攻撃者がいかに巧妙にユーザーを欺き、危険な行動に誘導できるかを示しています。
企業からの反応とユーザーへの警告
研究者たちはPerplexityとOpenAIの両社にこの問題について連絡を取りましたが、現時点ではどちらからも返答はありません。BleepingComputerも両社に問い合わせましたが、記事公開までに回答は得られていません。
エージェント型AIブラウザのユーザーは、これらのツールがもたらす多くのリスクを認識し、メール、金融情報、その他のプライベートデータに関わるタスクを避け、非機密性の活動に利用を制限するべきです。新しいセキュリティ対策がリリースごとに加えられていますが、これらのブラウザはまだ、カジュアルなブラウジング以外の用途で許容できるレベルまで攻撃対象領域を減らす成熟度には達していません。