「ChatGPTとの会話」が外から丸見えに？悪質拡張機能が暴く生成AI時代の情報漏洩リスク

●この記事のポイント
・ChatGPTなど生成AIを装った悪質Chrome拡張機能により、AIとの会話内容や認証情報が外部に流出する事例が判明。便利さの裏に潜む新たな情報漏洩リスクが浮き彫りになった。
・生成AIへの入力は「安全な独り言」ではない。履歴書や社内資料など機密情報を無防備に入力する行為が、企業・個人双方に深刻なリスクをもたらしている。
・米国ではAIとプライバシーを巡る規制強化が進むが、法整備は途上だ。今求められるのは拡張機能の見直しと、AIに入力しない情報を見極めるリテラシーである。

　ビジネスの現場で、生成AIを使わない日はもはや存在しない。ChatGPT、Gemini、Claude、DeepSeek――。企画立案、文章作成、要約、コード生成に至るまで、生成AIは「仕事のスピード」を劇的に引き上げてきた。

　その利便性をさらに高める存在として、多くのビジネスパーソンが導入しているのがChrome拡張機能だ。ブラウザのサイドバーから即座にAIを呼び出せる、ページ内容を自動要約してくれる――一見すると、効率化の理想形に見える。

　しかし今、その「便利さへの最短距離」が、企業機密や個人情報を外部へ垂れ流す“裏口”になっているという、看過できない事実が浮上した。

●目次

• 正規ツールを装い「会話」を盗み出す巧妙な手口
• 「AIへの入力」が、そのままリスクになる時代
• 専門家が警鐘「AIは“秘密保持契約”を結ばない」
• 米政府も本腰、「AIプライバシー」規制の最前線
• 今すぐできる「現実的な防御策」

正規ツールを装い「会話」を盗み出す巧妙な手口

　発端となったのは、米国のセキュリティ企業OX Securityが公表した調査結果だ。同社によると、Google Chrome向けの拡張機能であるChat GPT for Chrome with GPT-5、Claude Sonnet ＆ DeepSeek AI、AI Sidebar with Deepseek、ChatGPT、Claude and moreに、悪意あるマルウェアが仕込まれていたことが判明した。

　これらの拡張機能は、公式ツールや正規サービスを想起させる名称とUIを備え、ユーザーに対しては「サービス改善のための匿名データ収集」への同意を求める。多くのユーザーは疑いなく許可を与えただろう。

　だが実際には、
　・AIとの会話内容そのもの
　・ブラウザの閲覧履歴
　・IPアドレスやユーザーID
　・認証情報（ログイン情報）
といった極めて機微な情報が、外部のサーバーへ送信されていた。

　盗まれたデータは、ハッカー組織が管理するサーバーへ集約され、フィッシング詐欺、なりすまし、不正ログイン、ダークウェブでの売買などに悪用されるリスクが指摘されている。

「AIへの入力」が、そのままリスクになる時代

　今回の事件が突きつけた本質は、「怪しい拡張機能を入れなければよい」という単純な話ではない。問題の核心は、生成AIに入力する行為そのものが、新たな情報リスクになっているという構造にある。

　多くの利用者は、AIを「自分専用の秘書」「安全な相談相手」のように錯覚し、驚くほど無防備に情報を入力している。しかし現実には、チャット欄に入力された情報は、原則として事業者のクラウド環境に送信・保存される。

　設定によっては学習に使われない場合もあるが、一度送信されたデータを完全に消去できる保証は極めて限定的だ。

　そして今回のように、AIとユーザーの間に“悪意ある中間者”が存在すれば、入力内容はAIに届く前に盗み取られる。つまり「AIに話しただけ」のつもりが、第三者に筒抜けになっていた、という事態が現実に起きている。

専門家が警鐘「AIは“秘密保持契約”を結ばない」

　この点について、情報セキュリティ分野の専門家は次のように指摘する。

「生成AIは、どれほど自然に会話ができても“契約主体”ではありません。人間の秘書や弁護士のように守秘義務を負う存在ではない。それにもかかわらず、ユーザー側が過度な信頼を置いてしまっていることが、最大のリスクです」（サイバーセキュリティコンサルタントの新實傑氏）

「AIは便利だが、沈黙は守らない」――この認識が、いまだ十分に共有されているとは言い難い。

【生成AIに「絶対に入れてはいけない」情報】

　では、具体的に何が危険なのか。専門家の知見を踏まえ、生成AIに入力すべきでない情報を整理すると、以下のようになる。

① 個人を特定できる情報（PII）
　・氏名、住所、電話番号
　・個人のメールアドレス
　・生年月日、顔写真と紐づく情報

② 認証・金融情報
　・ID・パスワード
　・銀行口座番号
　・クレジットカード情報
　・二要素認証コード

③ 詳細なキャリア・人事情報
　・履歴書・職務経歴書の全文
　・評価シートや人事考課コメント
　・社内の異動・処遇情報

④ 未発表・機密性の高いビジネス情報
　・未公開プロジェクト名
　・顧客名簿
　・契約条件
　・独自ソースコード
　・財務・資産情報

　特に注意が必要なのが、「履歴書の添削」や「社内資料の要約」だ。業務効率化のために安易に行われがちだが、情報漏洩リスクは極めて高い。

米政府も本腰、「AIプライバシー」規制の最前線

　こうした事態を受け、米国ではすでに政府主導でAIとプライバシーを巡る規制強化の議論が進んでいる。

・包括的な連邦プライバシー法の整備
・AI学習への明示的同意の義務化
・入力データから個人情報を自動除外する技術要件
などが検討対象だ。

　ただし、法整備には時間がかかる。その間、ユーザーと企業が自衛策を講じなければ、被害は拡大しかねない。

今すぐできる「現実的な防御策」

専門家が口を揃えて勧める対策は、極めてシンプルだ。

① 拡張機能の“断捨離”
　・開発元が不明
　・更新が止まっている
　・権限要求が過剰
こうした拡張機能は、即座に削除すべきだ。

② プロンプト・リテラシーを持つ
　送信前に、こう自問してほしい。
「この内容は、駅前の掲示板に貼り出されても問題ないか？」
　答えが「NO」なら、それは入力すべき情報ではない。

　生成AIは、確かに革命的なツールだ。しかしその裏側で、情報は静かに、しかし確実に流出し得る。

　今回の事件は、利便性とセキュリティが常にトレードオフの関係にあることを、改めて突きつけた。「AIは便利だが、万能でも安全でもない」。この現実を直視できるかどうかが、生成AI時代を生き抜く企業と個人の分水嶺になるだろう。

（文＝BUSINESS JOURNAL編集部）