BGM:無重力のオーロラ 作者:アヒル兄貴様

ブラウザ拡張機能を介したAIプロンプト密猟の実態とGeminiにおける日本語文字化け問題の学術的調査報告

拡張機能による情報窃取とGeminiの文字化け 意識の深層
緊急セキュリティ警告

ブラウザ拡張機能を介したAIプロンプト密猟の実態とGemini文字化け問題

90万件超のダウンロードを記録した悪意ある拡張機能によるデータ窃取と、日本語処理における技術的課題の包括的分析

90万+ 被害ユーザー数
2個 特定された拡張機能
100% 会話データ窃取
  1. 序論:生成AIエコシステムにおける新たな攻撃ベクトル
      1. 重要な発見
  2. マルウェアが混入した拡張機能の特定と被害状況の分析
    1. 対象拡張機能の技術的プロファイル
    2. OX Securityによる発見の経緯
  3. 攻撃の技術的メカニズム:ドキュメントオブジェクトモデル(DOM)への介入
    1. データの捕捉と抽出プロセス
      1. 技術的プロセス
    2. C2サーバーへの送信スケジュールとインフラ
  4. 窃取されたデータの種類と潜在的リスク
    1. 漏洩したデータの分類
      1. 特に深刻なリスク
  5. Google Chrome Web Storeの信頼性に対する再評価
    1. 「おすすめ」バッジの取得と維持
  6. 組織及び個人の為の具体的な対策と防御戦略
    1. 1. 拡張機能の即時削除とクリーンアップ
    2. 2. AIプラットフォーム側の認証保護
    3. 3. 企業におけるエンドポイント管理の強化
  7. Geminiの日本語画像生成における文字化け問題の調査報告
    1. 現状と発生状況の技術的背景
      1. 主な技術的要因
    2. ユーザー側での具体的な回避策と解決法
      1. プロンプトの最適化とワークフローの改善
      2. システム環境の調整
  8. AI時代におけるエンドユーザーのセキュリティ意識と倫理
    1. プロンプト密猟から身を守る為の「AIリテラシー」
  9. 結論:技術的対策と継続的監視の重要性
    1. 今後求められる三原則
  10. 緊急警告:Chrome拡張機能によるAI会話の窃取
    1. ● 該当する拡張機能のダウンロード規模
    2. データ窃取のプロセス
      1. 1. 正当なツールを装う
      2. 2. 全タブの監視開始
      3. 3. 外部への自動送信
    3. 流出していた主なデータ項目
    4. 🛡️ 推奨される防御アクション
      1. ${data.title}

序論:生成AIエコシステムにおける新たな攻撃ベクトル

生成AI(人工知能)の急速な普及に伴い、ブラウザ上でChatGPT、Claude、DeepSeek、Gemini等の大規模言語モデル(LLM)と対話する為のインターフェースを提供する拡張機能が爆発的に増加している。しかし、これらのツールが提供する利便性の裏側で、ユーザーの機密情報を標的とした「プロンプト密猟(Prompt Poaching)」と呼ばれる新たなサイバー攻撃の形態が深刻な脅威となっている。

重要な発見

OX Securityの研究報告によれば、合計90万件以上のダウンロードを記録した複数のChrome拡張機能が、ユーザーとAI間の非公開な会話データや詳細なブラウザ閲覧履歴を窃取していた事実が判明した。

本報告では、サイバーセキュリティの専門的見地から、特定されたマルウェア拡張機能の技術的メカニズム、データの漏洩経路、及び被害を最小限に抑える為の対策を包括的に論じる。また、並行してユーザーコミュニティから報告されているGoogle Geminiにおける日本語画像生成時の文字化け(Mojibake)問題についても、その技術的要因と解消策を詳述する。

マルウェアが混入した拡張機能の特定と被害状況の分析

対象拡張機能の技術的プロファイル

今回、OX Securityの調査によって、ChatGPTやDeepSeekとの対話データを意図的に外部へ流出させていたことが特定されたのは、以下の2つのChrome拡張機能で在る。

拡張機能名称 拡張機能ID 推定ユーザー数 特筆すべき属性
Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI fnmihdojmnkclgjpcoonokmkhjpjechg 600,000人超 Google「おすすめ(Featured)」バッジを一時保有
AI Sidebar with Deepseek, ChatGPT, Claude and more inhcgfpbfdjbjogdfjbclgolkmhnooop 300,000人超 上記拡張機能のアンインストール時に誘導される

これらの拡張機能は、合計で90万人以上のユーザーにインストールされており、その規模はこれまでに確認されたAI関連の悪意ある拡張機能の中でも最大級で在る。特に、「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」については、Googleの厳格な審査を通過したことを示す「おすすめ」バッジが付与されていた為、多くのユーザーや企業が疑うことなく導入してしまったという背景が在る。

OX Securityによる発見の経緯

OX Researchチームは、定常的な脅威分析の中で、これらの拡張機能がAITOPIA社という実在する正規のAIツール開発企業の製品を巧妙に模倣していることを発見した。正規のAITOPIA拡張機能は、複数のLLMとサイドバーを通じて対話出来る機能を提供しており、プライバシーポリシーにおいて「会話データはAmazonのUSリージョンに在るサーバーに保存される」ことを明示している。

これに対し、今回特定されたマルウェア拡張機能は、AITOPIAのUI(ユーザーインターフェース)をそのままコピーし、同じ機能をユーザーに提供しつつ、その裏側で正規のプロセスとは無関係なデータ抽出コードを動作させていた。

攻撃の技術的メカニズム:ドキュメントオブジェクトモデル(DOM)への介入

これらの拡張機能が採用した手法は、従来のネットワークパケットを傍受する中間者攻撃(MITM)ではなく、ブラウザの内部で処理される「レンダリング後のデータ」を標的とする極めて巧妙なもので在る。

データの捕捉と抽出プロセス

技術的プロセス

  1. マルウェアは、Chromeが提供する chrome.tabs.onUpdated APIを利用して、ユーザーが現在開いているウェブページのURLを常に監視している
  2. ユーザーがChatGPT(chatgpt.com)やDeepSeek(chat.deepseek.com)等のドメインにアクセスしたことを検知すると、拡張機能は対象のページ内に隠されたスクリプトを注入する
  3. この注入されたスクリプトは、ウェブページの構造(DOM)をリアルタイムで解析し、ユーザーが入力したプロンプト(質問)とAIから返されたレスポンス(回答)を含むHTML要素を特定する

これにより、通信がHTTPSで暗号化されていたとしても、ブラウザ上に表示された「テキストそのもの」をコピーすることが可能となる。取得されたデータは、個々のユーザーを識別する為のユニークID(gptChatId等)と共に、Base64エンコーディングによって隠蔽され、攻撃者が管理するC2(コマンド&コントロール)サーバーへ送信される。

C2サーバーへの送信スケジュールとインフラ

データの送信は、ユーザーの作業を妨げないよう、約30分間隔でバックグラウンドにて実行される。OX Securityが特定した主なデータ送信先ドメインは以下の通りで在る。

役割 特定されたドメイン
C2サーバー chatsaigpt[.]com, deepaichats[.]com
その他の悪意あるエンドポイント chataigpt[.]pro, chatgptsidebar[.]pro, chatgptbuddy[.]com

更に、これらの拡張機能は「Lovable」というAI駆動型のウェブ開発プラットフォームを悪用し、プライバシーポリシーのホストや一部のインフラ構成要素を設置していた。これにより、攻撃者はあたかも新興のAIスタートアップで在るかのような外観を保ち、セキュリティベンダーのドメインフィルタリングを回避していたと考えられる。

窃取されたデータの種類と潜在的リスク

今回の攻撃によって流出した可能性の在る情報は、単なる会話データに留まらず、広範なプライバシー及びビジネス上の機密情報を含んでいる。

漏洩したデータの分類

  • AI会話の完全な記録:企業秘匿のソースコード、将来のビジネス戦略、社内の法的検討事項、個人を特定出来る情報(PII)等が含まれる
  • ブラウザ閲覧の完全なURL:全ての開いているタブのURLが収集されており、これにより企業の内部ポータルのアドレスや、アクセスに使用された一時的な認証トークンが露呈するリスクが在る
  • 検索クエリとパラメータ:ユーザーが検索エンジンに入力したキーワードや、特定のURLに含まれるユーザーID、セッション識別子等が収集されていた

特に深刻なリスク

企業の開発者がAIを使用してコードのデバッグや最適化を行っていた場合、これらの拡張機能を通じて、独自のアルゴリズムやAPIキー、内部システムのアーキテクチャ情報が攻撃者の手に渡った可能性が在る。OX Securityは、これらのデータが企業の産業スパイ活動、高度なフィッシング詐欺、或いはダークウェブでのデータ販売に悪用される可能性が在ると警鐘を鳴らしている。

Google Chrome Web Storeの信頼性に対する再評価

今回の事案は、公式のブラウザ拡張機能ストア、特にGoogleが推奨する「おすすめ(Featured)」バッジの信頼性に大きな疑問を投げ掛けるものとなった。

「おすすめ」バッジの取得と維持

本来、このバッジは「Googleの技術的ベストプラクティスに従い、高いユーザー体験とデザイン基準を満たす」拡張機能に与えられるもので在る。審査プロセスには自動化されたセキュリティスキャンだけでなく、人間によるレビューも含まれるとされるが、攻撃者は以下の手法でこれを潜り抜けたと分析されている。

  • スリーパーエージェント(休眠工作員)戦略:最初はクリーンで有用な機能を備えた拡張機能として公開し、十分なユーザー数と好意的なレビュー、そして「おすすめ」バッジを獲得した後に、アップデートを通じて悪意あるコードを配信する手法
  • コードの難読化:悪意ある動作を司るコードを複雑に難読化し、自動検知システムによる解析を回避する
  • 遅延実行:インストール直後には悪意ある動作を行わず、一定期間が経過してから、或いは特定のAIサイト(ChatGPT等)を訪問した時のみC2サーバーとの通信を開始する

実際、OX SecurityがGoogleに通報した時点(2025年12月29日)でも、これらの拡張機能はストアで公開され続けており、「おすすめ」バッジも付与されたままで在った。Googleが最終的に削除を完了するまでの間、更に多くのユーザーがこのリスクに晒されたことになる。

組織及び個人の為の具体的な対策と防御戦略

侵害が判明した今、ユーザー及びシステム管理者は迅速かつ多層的な対応を講じる必要が在る。

1. 拡張機能の即時削除とクリーンアップ

  1. Chromeの拡張機能管理画面(chrome://extensions)を開き、該当するID(fnmihdojmnkclgjpcoonokmkhjpjechg 及び inhcgfpbfdjbjogdfjbclgolkmhnooop)を探して削除を実行する
  2. ブラウザの同期機能によって他のデバイスに再インストールされるのを防ぐ為、ブラウザの設定をリセットするか、同期された拡張機能リストを確認する
  3. マルウェアによって保存された追跡識別子やセッショントークンを無効化する為に、閲覧履歴、クッキー、キャッシュを完全に消去する必要が在る

2. AIプラットフォーム側の認証保護

流出したデータにセッショントークンが含まれていた場合、パスワードを変更するだけでは不十分な場合が在る。ChatGPTやDeepSeekのアカウントを保護する為に、以下の手順を推奨する。

  • 2要素認証(2FA)の有効化:ChatGPT(OpenAI)において2要素認証を有効にすると、既存の全ての認証セッションが強制的にログアウトされ、新しいトークンが必要となる。これは、盗まれたトークンを無効化する最も確実な方法の一つで在る
  • APIキーの再生成:DeepSeekやOpenAIのAPIを利用している開発者は、使用中の全てのAPIキーを直ちに無効化し、新しいキーを発行すべきで在る
  • 「全てのデバイスからサインアウト」の実行:サービス側に「全てのセッションからログアウト」というオプションが在る場合は、これを選択して不正なアクセス経路を遮断する

3. 企業におけるエンドポイント管理の強化

組織レベルでは、ブラウザ拡張機能を「管理されていないソフトウェア」として放置せず、厳格なガバナンスを適用する必要が在る。

  • 許可リスト(Allowlist)の導入:従業員が自由な拡張機能をインストールすることを制限し、セキュリティチームが承認した拡張機能のみを許可するポリシーを適用する
  • ブラウザ拡張機能の可視化:EDR(Endpoint Detection and Response)やブラウザ管理ツールを使用して、組織内の端末にインストールされている全ての拡張機能とそのパーミッション(権限)を定常的に監視する
  • Manifest V3への移行:Googleが進めている新しい拡張機能プラットフォーム「Manifest V3」は、外部から注入されるリモートコードの実行を厳格に制限しており、今回のような動的なスクリプト注入攻撃に対する耐性を高める効果が在る

Geminiの日本語画像生成における文字化け問題の調査報告

AIの安全な利用に関連して、もう一つの重要な課題がユーザーから指摘されている。Googleが提供する「Gemini」において、日本語のプロンプトを用いて画像を生成したり、画像内のテキストを指定したりする際に、文字化け(Mojibake)や不適切な文字表示が発生するという問題で在る。

現状と発生状況の技術的背景

2025年から2026年に掛けての調査によると、Geminiにおける文字化け問題は、主にCLI(コマンドラインインターフェース)での出力、或いはウェブ版でのマルチモーダル(画像+テキスト)処理の過程で顕在化している。

この問題の根本原因は、単一のバグではなく、複数の技術的要素が複雑に絡み合っていることが判明した。

主な技術的要因

  • 言語間トークンの漏洩(Cross-lingual Token Bleed):最新の「Gemini 3」アーキテクチャでは、複数の言語を単一のトークン空間で処理しているが、内部の推論プロセスにおいて、ソース言語(英語や韓国語)の文法規則や文字セットが日本語の出力に「混入(Leak)」する現象が報告されている。これにより、日本語の文章の中にハングルや不自然な記号が混じることが在る
  • LaTeXレンダリングの誤作動:Geminiは数式や特殊な記号を表示する為にLaTeXというフォーマットを利用することが在るが、日本語学習等のコンテキストにおいて、日本語の文字をLaTeXのコードとして誤認し、そのまま表示してしまうことで、ユーザーには文字化けのように見える事象が発生している
  • モデルの切り替えと品質低下:サーバー側の負荷分散の一環として、思考能力の高い「Pro」モデルから軽量な「Basic」或いは「Flash」モデルへと動的に切り替わることが在り、その際に日本語のエンコーディング処理が不安定になり、画像内テキストの描画品質が著しく低下する例が確認されている

ユーザー側での具体的な回避策と解決法

Google側での根本的な修正が進むまでの間、ユーザーは以下の手法を用いることで、文字化けを最小限に抑え、意図した画像生成結果を得ることが可能で在る。

プロンプトの最適化とワークフローの改善

回避策 具体的な実施内容 期待される効果
言語の分離 1. 日本語で指示
2. 「英語に翻訳して」と指示
3. 英語で画像生成を実行		 画像生成モデルへの指示を明確にし、多言語混在による混乱を防ぐ
フォーマットの明示 プロンプトに「LaTeXを使用せず、標準Unicodeの日本語のみを使用してください」と記述する LaTeXコードによる出力の乱れ(文字化け)を抑制する
セッションのリセット 「新しいチャット」を開始し、過去のコンテキストをクリアする 長い会話による「セッション劣化」やトークン混入をリセットする
モデルの選択 可能であれば API や Google AI Studio を使用し、特定の安定版モデル(gemini-2.5-pro等)を固定して呼び出す 自動切り替えによるエンコーディングの不安定さを解消する

システム環境の調整

ブラウザ側の表示に起因する文字化けを解決する為に、以下の確認が有効で在る。

  • ブラウザの優先言語設定:Chromeの設定メニューから「言語」を選択し、日本語を最優先に設定した上で、ページをUTF-8で再読み込みさせる
  • エンコーディングの再検証:特にAPIを利用して自社ツールに組み込んでいる場合、レスポンスヘッダーに明示的に charset=utf-8 を指定し、Shift-JIS等の古い文字コードとの干渉を防ぐ必要が在る
  • キャッシュのクリアと更新:サーバー側のアップデート内容が古いキャッシュと干渉することが在る為、ブラウザのハードリフレッシュ(Ctrl+F5)やキャッシュの削除を定期的に実行する

AI時代におけるエンドユーザーのセキュリティ意識と倫理

今回報告されたマルウェア拡張機能とGeminiの文字化け問題は、いずれも「AIというブラックボックス」を扱う際に生じる信頼性の脆弱性を突いたもので在る。マルウェア拡張機能は、ユーザーがAIに対して抱く「便利で先進的なツールで在る」という信頼を悪用し、文字化け問題はAIの多言語処理という未成熟な部分を露呈させている。

プロンプト密猟から身を守る為の「AIリテラシー」

ユーザーは今後、ブラウザ拡張機能を導入する際、以下の3つの問いを自らに課すべきで在る。

  1. 「この機能はブラウザの全データへのアクセス権限を必要とするか?」
    単にChatGPTのサイドバーを表示するだけの機能が、全てのウェブサイトのデータを読み取る権限を求めている場合、それは潜在的なリスクで在る
  2. 「開発元の実績と評判は本物か?」
    今回のように正規の「AITOPIA」を名乗る偽物が存在する。レビューの数だけでなく、開発元の公式ウェブサイトや、公式SNSでのアナウンスを確認することが重要で在る
  3. 「AIへの入力データは適切に管理されているか?」
    企業の機密情報をAIに入力する際は、そのデータがどこへ送信され、どのように学習に利用されるかを理解していなければならない。拡張機能を経由させることは、その管理経路を複雑にし、漏洩リスクを高める行為で在る

結論:技術的対策と継続的監視の重要性

本報告書で詳述した90万件超のマルウェア拡張機能の事案は、サイバー攻撃者がAIプラットフォームを直接攻撃するのではなく、その「入り口」で在るブラウザ拡張機能という周辺エコシステムを狙うという戦略的シフトを示している。OX Securityによる迅速な警告と解析は、この「プロンプト密猟」という新たな脅威を可視化したが、これらは氷山の一角に過ぎない可能性が高い。

同時に、Geminiの日本語文字化け問題は、AIのローカライズ技術がまだ発展途上で在ることを示唆している。言語間トークンの漏洩やLaTeXの競合といった事象は、高度なアルゴリズムといえども、文化的・言語的な障壁を完全に克服するには至っていないことを物語っている。

今後求められる三原則

  • 最小権限の原則:ブラウザ拡張機能には必要最小限の権限のみを許可し、不要な拡張機能は速やかに削除する
  • 認証の強化:全てのAIアカウント及び関連サービスにおいて2要素認証(2FA)を必須とし、セッショントークンの盗難に対する耐性を高める
  • 継続的なアップデートと教育:セキュリティベンダーからの最新情報を常にキャッチアップし、従業員やユーザーに対して、AIツール特有のセキュリティリスク(プロンプトインジェクション、プロンプト密猟、データ漏洩)に関する教育を継続的に実施する

AIの利便性を享受しつつ、その影に潜むリスクを管理する為には、技術的な防御策と、人間の直感に基づいた「慎重な不信感」を組み合わせたハイブリッドなセキュリティアプローチが、現代のデジタル社会において不可欠な生存戦略となるで在ろう。本報告が、安全なAI利用環境の構築に向けた一助となることを期待する。

緊急警告:Chrome拡張機能によるAI会話の窃取

合計90万回以上ダウンロードされた2つのChrome拡張機能が、ユーザーとAIのチャット履歴や閲覧情報を盗み出していたことが判明しました。

90万件+
被害ダウンロード数
30分
データ送信頻度
2つ
特定されたマルウェア

● 該当する拡張機能のダウンロード規模

※一方はChromeウェブストアで「おすすめ」バッジを獲得しており、信頼性を悪用していました。

  • Chat GPT for Chrome… (60万件超)
  • AI Sidebar with Deepseek… (30万件超)

データ窃取のプロセス

1. 正当なツールを装う

実在するAI企業の名前や「GPT-5」などのキーワードで検索結果の上位に表示させます。

1

2. 全タブの監視開始

AIとの会話だけでなく、開いているすべてのタブのURLや検索内容を密かに記録します。

2

3. 外部への自動送信

収集されたデータは30分おきに暗号化され、攻撃者の管理するサーバーへ飛ばされます。

3

流出していた主なデータ項目

🛡️ 推奨される防御アクション

即時削除

拡張機能管理画面から疑わしいAI関連ツールをアンインストールしてください。

パスワード変更

特に機密情報を扱ったサイトの認証情報とセッションをリセットしてください。

出典: OX Security / The Hacker News 報告に基づき作成