2026年1月の事件
2026年1月、セキュリティ研究者たちは90万人以上のユーザーを危険にさらした2つの悪意のあるChrome拡張機能を発見しました。
拡張機能の名前は、正当なAI強化ツールのように見えるように意図的に選ばれました:
- 「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」 — 60万人以上のユーザー
- 「AI Sidebar with Deepseek, ChatGPT, Claude and more」 — 30万人以上のユーザー
両方の拡張機能は同じことを行っていました:30分ごとに完全なChatGPTとDeepSeekの会話を遠隔のコマンド・アンド・コントロールサーバーに流出させることです。
流出したデータには、ソースコード、個人を特定できる情報、議論中の法的事項、ビジネス戦略、財務データが含まれていました。ユーザーがAIチャットセッションに入力したすべての内容 — 彼らがプライベートだと考えていたすべてのもの — が不明な第三者に送信されていました。
拡張機能が信頼信号を回避した方法
拡張機能は「匿名の非識別分析データを収集する」ための許可を求めました — 許可のレビュー中に無害に見えるように計算された言葉です。
実際には、彼らはAI会話の完全な内容をキャプチャしていました。分析の許可は手段であり、AI会話の流出はペイロードでした。
この手法 — 無害に聞こえる許可を使用して有害なデータ収集を可能にする — は、Chrome拡張機能の脅威カテゴリを持続させる運用プレイブックを表しています。フィッシングリンクをクリックしないユーザーが、AIの生産性向上の利益を提供するように見えるため、Chromeウェブストアから意図的にこれらの拡張機能をインストールしました。
より広いパターン:AI拡張機能の67%があなたのデータを収集
2026年1月の事件は例外ではありませんでした。Incogniの調査によると、AI Chrome拡張機能の67%がユーザーデータを積極的に収集していることが分かりました — この数字は拡張機能エコシステムの複数の独立した分析で確認されています。
これはAIプライバシー拡張機能市場の核心的な逆説です:ユーザーがAIプライバシーを保護するために特にインストールする拡張機能の大多数が、その同じデータを収集しています。
市場はカテゴリを作成しました — ブラウザ用のAIプライバシーツール — しかし、特定の拡張機能が実際にプライバシーを提供するか、単に主張しているかを確認するための信頼できるメカニズムは作成されませんでした。その結果、保護のためにインストールされたツールが、実際には攻撃ベクトルとなる市場が生まれました。
安全なものと危険なものを区別するアーキテクチャ
2026年1月の事件は、ユーザーがAI関連のChrome拡張機能を評価する際に理解すべき特定の技術的区別を示しています。
危険なアーキテクチャ — 拡張機能のサーバーを経由する:
- ユーザーがChatGPTに入力
- 拡張機能がテキストを傍受
- 拡張機能が「処理」のために自分のバックエンドサーバーにテキストを送信
- バックエンドサーバーが処理されたテキストを返す
- 拡張機能がChatGPTに送信
このアーキテクチャでは、すべてのプロンプトが拡張機能開発者のインフラストラクチャを通過します。拡張機能開発者は会話内容に完全にアクセスできます。拡張機能が悪意のあるものである場合(または後に悪意のあるアクターに買収される場合、または侵害される場合)、すべての内容が露出します。
安全なアーキテクチャ — ローカル処理のみ:
- ユーザーがChatGPTに入力
- 拡張機能がテキストを傍受
- 拡張機能がテキストをブラウザ内でローカルに処理(拡張機能を動かす同じJavaScriptランタイムを使用)
- 処理されたテキストがChatGPTに直接送信される
このアーキテクチャでは、最終的にAIサービスに送信される処理されたテキスト以外は、ユーザーのブラウザから何も出ません。拡張機能開発者のインフラストラクチャはデータパスに存在しません。
AIプライバシー拡張機能に対して尋ねるべき質問:処理はどこで行われますか? 答えが拡張機能のサーバーを含む場合、あなたのデータは第三者を通過しています。
AIプライバシー拡張機能をインストールする前に尋ねるべき5つの質問
AI Chrome拡張機能の67%がユーザーデータを収集している(Incogniの調査)こと、そして悪意のある拡張機能が数十万人のユーザーを持ってChromeウェブストアに現れる可能性があることを考えると、評価フレームワークは重要です。
1. PII検出はどこで処理されますか? 直接尋ねるかプライバシーポリシーで確認してください:PII検出はブラウザ内でローカルに行われますか、それともテキストが拡張機能のバックエンドサーバーに送信されて分析されますか?ローカル処理は、拡張機能開発者があなたのテキストを見ないことを意味します。
2. 会話内容はどうなりますか? 自分のプロキシサーバーを経由して「保護」する拡張機能は、あなたが入力したすべてに完全にアクセスできます。ローカルでテキストを修正し、AIサービスに直接送信する拡張機能はそうではありません。
3. 認証された出版社は誰ですか? Chromeウェブストアの出版社認証システムは完璧ではありません — 2026年1月の拡張機能も通過しました — しかし、データ収集に依存しない確立されたアイデンティティとビジネスモデルを持つ認証された出版社は、無料の拡張機能と明らかな収益モデルを持たない匿名の出版社よりも信頼できます。
4. 独立したセキュリティ認証はありますか? ISO 27001認証は、ベンダーの情報セキュリティ管理システムをカバーし、拡張機能の開発および配布の実践を含みます。独立したセキュリティ監査は、主張されている内容の外部検証を提供します。
5. ビジネスモデルは何ですか? 最も持続可能な信号:この無料の拡張機能開発者はどのようにお金を稼ぎますか?明らかな収益モデルがない場合、ユーザーデータはおそらく製品です。検証可能なビジネスモデルを持つ有料SaaS製品の一部である拡張機能は、ユーザーデータを秘密裏に収益化するインセンティブが少なくなります。
2026年1月の事件がAIセキュリティについて明らかにすること
2026年1月に危険にさらされた90万人以上のユーザーは、未熟ではありませんでした。彼らはAI生産性ツールを求めていた専門家であり、AIインタラクションのためのプライバシー保護を望んでおり、Chromeウェブストアから正当なツールのように見えるものをインストールしていました。
攻撃が成功した理由は:
拡張機能は実際の機能を提供した:彼らは純粋に悪意のあるものではなく、流出とともにAI関連の機能を提供しました。これにより、カジュアルな使用中に正当なツールと機能的に区別がつかなくなりました。
信頼信号が作られた:数十万人のユーザーが社会的証明を生み出します。60万人のインストールを見たユーザーは、インストールする可能性が高くなりました。
許可リクエストは懸念を引き起こさないように設計された:「匿名の非識別分析」は、ユーザーが精査なしに承認する許可言語の典型です。
流出は検出を最小限に抑えるようにスケジュールされていた:30分ごとの間隔は、すべての会話をキャプチャするには十分に頻繁ですが、異常ベースのセキュリティ監視を引き起こさないには十分に不頻繁です。
事件後の信頼フレームワーク
2026年1月の事件を受けて、従業員に展開するためのAIプライバシー拡張機能を評価する企業のITチームは、以前よりも厳格な信頼フレームワークを適用する必要があります。
必要な最低限の要素:
- ローカル処理アーキテクチャ — 技術レビューまたは独立した監査で確認されたもので、マーケティングで主張されるだけのものではない
- 出版社のアイデンティティ確認 — 確立された会社で、検証可能なビジネスモデルと歴史を持つ
- 独立したセキュリティ認証 — ISO 27001または同等
- 拡張機能のデータフローに特に対処したプライバシーポリシー — 収集されるもの、送信先、条件を含む
- コアプライバシー機能のために拡張機能開発者のサーバーを経由しない
数百人または数千人の従業員にAI拡張機能を展開する組織は、次のことも考慮すべきです:
- データ流出行動のためにインストールされた拡張機能の定期的な監査
- ブラウザプロセスからの予期しない外部接続を検出するためのネットワーク監視
- Chrome Enterpriseポリシーを介して展開された承認された拡張機能のホワイトリスト
2026年1月の事件は警告でした。AI拡張機能全体での67%のデータ収集率は、警告が正当であったことを示唆しています。
anonym.legalのChrome拡張機能は、PII検出をローカルで処理します — PII検出中に会話内容はanonym.legalのサーバーに送信されません。匿名化は、修正されたプロンプトがAIサービスに送信される前にブラウザ内で行われます。anonym.legalによって公開され、ISO 27001認証を取得しています。
出典: