Chrome で「Perplexity」と検索すると、人気の AI 検索サービスを利用できるさまざまなブラウザ拡張機能が表示されます。先週までは、そのうちの 1 つが「Search for perplexity ai」という名称でしたが、この拡張機能には、ユーザーが予想もしなかった「おまけ」――つまり、小さな隠れた監視活動――が含まれていました。
6月29日、マイクロソフトのDefenderセキュリティ研究チームは、この拡張機能が本物のAI検索企業を装い、ユーザーが入力した内容を密かに記録していたことを明らかにした。Googleはこれを削除したが、すでにインストール済みのユーザーは依然としてリスクにさらされている。
この拡張機能は、ユーザーの検索クエリをどのように収集したのか
この拡張機能は、ユーザートラフィックをタイポスクワッティングされたドメインを経由してルーティングしていた perplexity-ai[.]online 正当なものではなく perplexity.ai. 同機関は、次のように要請した chrome_settings_overrides、拡張機能をブラウザのデフォルトの検索エンジンに設定するための標準的な権限。
しかし、同時に、次のような「ルールに基づくネットワーク許可」も要求しました。 declarativeNetRequest (DNR)により、ユーザーの検索クエリを攻撃者が制御するサーバー経由で送信することが可能になっていた。マイクロソフトは、この追加の権限は拡張機能の公表された目的には必要ないとしており、これが警告の兆候であったと指摘した。しかし、Web Storeの審査の際には、いずれも問題として指摘されなかった。
これらの権限を利用することで、Chromeアドレスバーに入力された検索クエリは、まず攻撃者が制御するサーバーを経由するようになり、これにより攻撃者はユーザーの検索内容を把握し、各リクエストをIPアドレス、ブラウザヘッダー、ユーザーエージェント文字列とともに記録することが可能となった。
その後、そのサイトは検索を実際の検索エンジンに転送したため、検索結果は一見すると普通に見えた。
この拡張機能は、単にPerplexityをコードに組み込んだだけではありませんでした。開発者が有効化を選択した場合、トラフィックをGoogleやBingにリダイレクトすることも可能でした。
この拡張機能は、予測オートコンプリート機能をChrome候補フィードにもアクセスできていました。つまり、情報の傍受はリアルタイムで行われていたのです。入力された内容は、Enterキーを押す前に削除された場合でも、すべてオペレーターのサーバーに送信されていました。
これらすべてを踏まえ、マイクロソフトは、この監視こそが本来の目的であり、リダイレクトアーキテクチャの副次的な結果ではないとの結論に達した。操作を行った人物については、公に特定された者はいない。
店から取り出しても、アンインストールされるわけではありません
GoogleはMicrosoftによる公表を受けてこの拡張機能を削除しましたが、すでにインストール済みのユーザーのブラウザからは削除されません。過去に「Search for perplexity ai」を追加したことがある場合、手動でアンインストールするまでは拡張機能リストに残ったままとなります。そのため、直ちにアンインストールすることをお勧めします。
アンインストール方法
開く chrome://extensions/, オンにする 開発者モード、そしてインストール済みのすべての拡張機能の32文字のIDを確認してください。Chrome 、犯罪者はその点を悪用しています。拡張機能を信頼する前に、各IDを開発者の公式サイトに掲載されているIDと照らし合わせて確認してください。
使わない拡張機能はすべてアンインストールしましょう。拡張機能の数が少なければ、攻撃対象となる範囲も狭まります。拡張機能が本来の機能を果たすために必要な権限のみを許可するようにしてください。また、拡張機能の発行元や、その拡張機能が使用するドメインについては、特に注意深く確認するようにしましょう。
これは「Perplexity」だけの問題ではありません
スタンフォード大学とCISPAによる調査によると、悪意のある拡張機能は、Chrome ストアから削除されるまで、平均で約380日間残っていることが判明した。AIを前面に打ち出すことで、その「餌」はより輝きを増し、魅力的に見えるだけだ。
1月、研究者らはChatGPTのセッションを盗聴する悪意のあるChrome を発見した。一方、昨年行われた別の攻撃では、被害者の知らないうちにAIチャットの内容を収集し、データブローカーに送信していた。
「AITOPIA」という拡張機能を利用した別のキャンペーンでは、AI関連のツールを装い、90万人以上のユーザーにリーチしました。このキャンペーンは、検索クエリではなく、ChatGPTやDeepSeekのチャット履歴を標的としていました。




