1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ChromeのAI 拡張機能 SiderAI・MaxAIに重大な脆弱性-1,000万台超のブラウザでGmail・カレンダー・Claude/ChatGPTの会話履歴がサイト訪問だけで盗まれる危険性

ChromeのAI 拡張機能 SiderAI・MaxAIに重大な脆弱性-1,000万台超のブラウザでGmail・カレンダー・Claude/ChatGPTの会話履歴がサイト訪問だけで盗まれる危険性

セキュリティニュース

投稿日時: 更新日時:

ChromeのAI 拡張機能 SiderAI・MaxAIに重大な脆弱性-1,000万台超のブラウザでGmail・カレンダー・Claude/ChatGPTの会話履歴がサイト訪問だけで盗まれる危険性

ブラウザエンドポイントセキュリティ企業Rebora Securityは2026年6月10日、公式研究レポートで、AI駆動型のChrome拡張機能「SiderAI」と「MaxAI」に存在する2件の重大な脆弱性を公表しました。

これらは「エージェント型サイドパネル(agentic side panel)」と呼ばれる新しいカテゴリーの拡張機能で、Webサイトにコードを注入し、AIによるページ要約・操作支援を提供します。研究者はSiderAIの脆弱性を「Spyder」、MaxAIの脆弱性を「MaXSS」と命名しました。

両拡張機能を合わせると1,000万台超のデバイスにインストールされており、SiderAI単体でもChrome ウェブストアの人気拡張機能トップ25にランクインする規模です。脆弱性を悪用すると、攻撃者が用意した悪意あるWebサイトを訪問するだけでユーザーの操作を一切必要とせずあらゆるWebサイト上でのブラウザセッションを乗っ取られる可能性があります。

研究チームの実証デモでは、被害者のGmail・Googleカレンダーを隠しタブで開いてスクリーンショットを取得したり、Claude・ChatGPTのアカウントを操作してAIが記憶しているユーザーに関する会話履歴をダンプ(抽出)させ、その応答をスクリーンショットで窃取する様子が示されています。Reboraは責任ある開示プロセスの一環として両ベンダーに連絡を試みましたが、いずれからも応答が得られなかったため、深刻度の高さを踏まえて情報を一般公開する決定をしました。

Chrome ウェブストアの公式運営者であるGoogleのセキュリティチームにも通知済みです。本記事ではRebora Securityの一次研究レポートをもとに、脆弱性の技術的な仕組み・実証された攻撃シナリオ・対応手順を解説します。

サマリー

  • 公表日:2026年6月10日(Rebora Security、執筆者:Gal Weizman・Gal Bashan両氏)
  • 対象拡張機能
    • SiderAI(Chrome・Edgeストア合計1,000万件インストール。Chrome ウェブストア人気拡張機能トップ25にランクイン)
    • MaxAI(Chrome・Edgeストア合計100万件インストール)
  • 脆弱性名:SiderAI=「Spyder」、MaxAI=「MaXSS
  • CVE番号:本記事執筆時点でCVE番号は付与されていません(研究者独自の命名のみ)
  • 脆弱性の種別:いずれもUXSS(Universal Cross-Site Scripting)/UXSG(Universal Cross-Site Gesturing)に分類される、拡張機能のcontent-scriptにおける入力検証不備
  • 悪用条件ユーザー操作不要。悪意あるWebサイトを訪問するだけで攻撃が成立
  • 実証された攻撃内容(MaXSS)
    • 被害者のGoogleカレンダー・Gmailを隠しタブで開きスクリーンショットを取得
    • 被害者のClaude・ChatGPTアカウントを開き、AIに「被害者に関する記憶をダンプせよ」というプロンプトを実行させ、応答をスクリーンショットで窃取
  • 実証された攻撃内容(Spyder)
    • 被害者のGeminiアカウントを隠し埋め込みで開く
    • プロンプトを入力してAIの記憶をダンプさせる
    • 「共有」ボタンをクリックして会話を公開リンク化
    • その共有リンクを埋め込み外(攻撃者の手元)へ漏洩させる
  • 想定される被害:メール・チャット・スプレッドシート・ドライブファイルの閲覧/メール送信・ファイルアップロード・文書改ざん等の操作実行/各種Webサービスの認証トークン窃取によるアカウント乗っ取り/AIシステム(Claude・Gemini・ChatGPT等)へのプロンプト窃取・実行
  • OS侵害の可能性:基盤となるオペレーティングシステムから任意のファイルを読み取れる潜在的リスクも指摘
  • ベンダー対応両社とも開示への応答なし。本記事執筆時点で両脆弱性とも未修正のまま公開版が流通
  • Google対応:Chrome ウェブストアの公式運営者として通知済み
  • 推奨対応:両拡張機能がインストールされている場合は即座に削除

「エージェント型サイドパネル」とは——新しいAI拡張機能カテゴリーの構造的リスク

仕組みの概要

エージェント型サイドパネルは、ユーザーが訪問するあらゆるWebサイトにコードを注入する標準的なChrome拡張機能であり、主に2つのコンポーネントから構成されています。

content-script(コンテンツスクリプト):訪問した各サイトに注入されるコンポーネントで、ユーザーが見ている内容にアクセスでき、要約・編集対象を拡張機能本体に伝える役割を持ちます。

background(バックグラウンドプロセス):拡張機能の「バックエンド」に相当し、各content-scriptとの間でメッセージを送受信して全体を制御します。

content-scriptはページの内容を閲覧・改変できる一方、隔離されたコンテキストで動作するよう設計されています。これによりWebページ自体のJavaScriptが拡張機能のcontent-scriptに直接干渉できないようにする、本来のセキュリティ境界が成立しています。とはいえWebページのJavaScriptとcontent-scriptは安全な方法で通信できる必要があり、この通信の仲介役こそがcontent-scriptです。Reboraは「重大な過ちが起こりうるのはまさにこの仲介の場所だ」と指摘しています。

Claude in Chromeも同種のカテゴリー

Reboraは「700万件超のインストールを持つClaude in Chromeも、多くの人が見覚えのあるエージェント型サイドパネルの一例」と言及しており、このカテゴリー自体が急速に普及していることを示しています。今回脆弱性が発見されたのはClaude in Chromeではなく、より多くのインストール数を持つSiderAI・MaxAIですが、同種のアーキテクチャを採用する拡張機能全般に共通するリスクとして捉える必要があります。

MaXSS(MaxAI)の脆弱性詳細

「入力検証の欠如」が招いた特権コマンドの乗っ取り

MaxAIのcontent-scriptは、新規タブを開く・スクリーンショットを取得するといった操作をbackgroundに依頼できるよう設計されていました。これらの依頼はブラウザ拡張機能の標準的なメッセージング技術を使って行われます。

問題は、MaxAIのcontent-scriptがWebページ側から送られてきたメッセージであっても、それを正当な依頼として受け入れbackgroundへ転送してしまうという致命的なミスを犯していたことです。

これにより、任意の悪意あるWebサイトがcontent-scriptを欺いてbackgroundに何でも依頼させることが可能になります。Reboraの研究チームはさらに、この公開された権限の一部を悪用して任意のサイト上でコードを実行することにも成功しました。

実証された攻撃——Gmail・カレンダー・AIの記憶のダンプ

実証デモでは以下の攻撃が示されています。

  • 被害者のGoogleカレンダー・Gmailを隠しタブで開き、スクリーンショットを取得
  • 被害者のClaude・ChatGPTアカウントを隠しタブで開き、「AIが持つ被害者に関する記憶をダンプせよ」というプロンプトを実行させ、その応答をスクリーンショットで窃取

この「AIの記憶をダンプさせる」という攻撃は、近年のAIチャットサービスが提供するメモリ機能(過去の会話内容を記憶し、ユーザーごとにパーソナライズされた応答を行う機能)を悪用したものであり、AIサービスを日常的に利用しているユーザーほど被害が深刻化する可能性を示しています。

Spyder(SiderAI)の脆弱性詳細

「ユーザー操作の偽装」によるクリック・タイピングの強制実行

SiderAIのcontent-scriptは、ユーザーの要求に応じて任意のWebサイトを埋め込み表示できるよう設計されていました。

これは埋め込まれたサイトの要約提供のほか、クリック・タイピングのジェスチャーを呼び出すことでユーザーの要望に応じた操作を行うためです。

Reboraの研究チームは、正規のWebページの視点から人工的なイベントを合成し、この機能を起動させることに成功しました。これにより、任意のWebサイト上でクリック・タイピングのジェスチャーを強制実行できることが実証されています。

実証された攻撃——Geminiの会話を「共有リンク」として外部に漏洩

実証デモでは以下の攻撃が示されています。

  1. 被害者のGeminiアカウントを隠し埋め込みで開く
  2. プロンプトを入力し、AIが持つ被害者に関する記憶をダンプさせる
  3. 完了後「共有」ボタンをクリックし、会話を公開可能なリンクに変換
  4. その共有可能なリンクを埋め込みの外(攻撃者の手元)へ漏洩させる

この手法は、AIサービス自体が持つ「会話の共有機能」を逆手に取り、本来ユーザー本人の意志で行うべき公開操作を、悪意あるサイトの訪問だけで強制的に実行させてしまう点で巧妙です。

組織が直面するリスク——「拡張機能の権限」が招く全面的な侵害

拡張機能は広範な権限セットを要求するため、これらの脆弱性は以下のような極めて影響力の大きい攻撃を可能にします。

  • 任意のWebサイトのスクリーンショット取得
  • そのサイトのコンテキストでのコード実行
  • 一部のケースでは基盤OSからの任意ファイル読み取りの潜在的リスク

これにより想定される具体的な被害シナリオは多岐にわたります。

  • メール・連絡記録・スプレッドシート・文書・ドライブファイル等の閲覧
  • メール送信・ファイルアップロード・状態変更・文書/スプレッドシートの更新等の操作実行
  • あらゆるWebサービスの認証トークン窃取によるアカウント乗っ取り
  • Claude・Gemini・ChatGPT等のAIシステムに対するプロンプトの窃取・実行

これらはすべて、個人のオンラインアイデンティティ・資産を完全に侵害するだけでなく、組織の重要な資産・知的財産(IP)への侵入・侵害にも十分な能力です。

なぜ「被害範囲が極めて広い」と評価されるのか

Reboraは今回の脆弱性の組み合わせを「致命的なコンボ」と表現し、以下の3点を理由に挙げています。

①広範な普及:1,000万台超のインストール済みデバイス

②容易な悪用可能性:ユーザー操作不要・完全に不可視な攻撃。単に悪意あるWebサイトを訪問するだけで成立

③高い影響力:ブラウザの境界を越えて基盤OS上でコードを実行する可能性すら含め、単純なWebサイト訪問という起点から達成される影響としては「最悪レベル」

Reboraが指摘する構造的な教訓——「エンドポイントがAI時代の最大の脆弱点に」

Reboraの研究チームは、今回の事案を単に「2つの脆弱な拡張機能」の問題としてではなく、ソフトウェア進化全体とエンドポイントへの影響という大きな文脈で捉えています。

従業員がAI駆動型ソフトウェアを積極的に試したいと考えるのは自然なことであり、それ自体は奨励されるべきだとReboraは述べています。しかし、AIはソフトウェアに2つの顕著な形で影響を与えています。

①ほとんどのソフトウェアがAIを使って書かれるようになった ②AIによって駆動される新しい種類の製品群が登場した

これはWebサイト・拡張機能・ブラウザ・アプリケーションを問わず、サプライチェーンからランタイムに至るまで、ソフトウェアが存在するあらゆる場所で起きています。そして、これらすべてがエンドポイントに集約されます。 AIコンポーネントの存在によってソフトウェアの防御がはるかに複雑になっているため、この変化はエンドポイントをAI時代において最も露出した(攻撃にさらされた)コンポーネントへと変えつつあるとReboraは結論づけています。

対応手順

① 自分のブラウザにSiderAI・MaxAIがインストールされていないか確認

以下のリンクにアクセスし、「Remove(削除)」ボタンが表示される場合はインストール済みです。即座に削除してください。

② 組織レベルでの拡張機能ガバナンスの強化

GBHackersが指摘する通り、組織はより厳格な拡張機能ポリシーを施行し、ブラウザベースの脅威を監視し、サードパーティ製ツールに付与する権限を制限することが推奨されます。Google WorkspaceやMicrosoft Intune等の拡張機能管理機能を使い、未承認の高権限拡張機能のインストールをブロックするポリシーの導入を検討してください。

③ AI駆動型ブラウザ拡張機能全般への警戒

今回の脆弱性は特定の2製品に限定されますが、「エージェント型サイドパネル」という設計パターン自体に構造的なリスクが内在している可能性があります。同種の機能(任意サイトへのコード注入・AIとの自動連携・ジェスチャー自動実行)を持つ他の拡張機能についても、ベンダーのセキュリティ対応実績・入力検証の堅牢性を確認した上での利用を検討してください。

④ 修正状況の継続的な確認

本記事執筆時点で両拡張機能は未修正のままです。SiderAI・MaxAIを業務上どうしても使用する必要がある場合は、各社の公式リリースノート・セキュリティアドバイザリを定期的に確認し、修正がリリースされるまでは利用を見合わせることを強く推奨します。

FAQ

Q. CVE番号は付与されていますか? A. 本記事執筆時点でCVE番号は確認されていません。「Spyder」「MaXSS」はRebora Security独自の命名です。

Q. 既に攻撃で悪用された実例は確認されていますか? A. Reboraの研究レポートには実際の野生での悪用事例についての言及はありません。今回の発表は研究チームによる責任ある開示(Responsible Disclosure)の一環として、ベンダーの無応答を受け一般公開されたものです。

Q. Claude in Chromeも同様の脆弱性がありますか? A. Reboraのレポートでは「エージェント型サイドパネル」というカテゴリーの一例としてClaude in Chromeに言及していますが、Claude in Chrome自体に同様の脆弱性が存在するとは明記されていません。今回脆弱性が確認されたのはSiderAIとMaxAIの2製品のみです。

参考情報

関連記事

Claude CodeとClaude SecurityにClaude Mythosを一般公開?-UIに一時的にMythos 1のトグルが出現・消失Claude CodeとClaude SecurityにClaude Mythosを一般公開?-UIに一時的にMythos 1のトグルが出現・消失 WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) Spring SecurityとSpring WSがXSS・SSRF・XXE・BSP検証バイパスを含む複数の脆弱性を修正(CVE-2026-41003,CVE-2026-40999)他Spring SecurityとSpring WSがXSS・SSRF・XXE・BSP検証バイパスを含む複数の脆弱性を修正(CVE-2026-41003,CVE-2026-40999)他 Microsoft、2026年6月定例パッチで史上最多206件の脆弱性を修正-3件のゼロデイや危険な脆弱性含む(CVE-2026-50507,CVE-2026-45586,CVE-2026-47291,CVE-2026-49160)Microsoft、2026年6月定例パッチで史上最多206件の脆弱性を修正-3件のゼロデイや危険な脆弱性含む(CVE-2026-50507,CVE-2026-45586,CVE-2026-47291,CVE-2026-49160) 学習塾運営のCKCネットワーク・学参がランサムウェア 被害で個人情報漏洩の恐れ学習塾運営のCKCネットワーク・学参がランサムウェア 被害で個人情報漏洩の恐れ ビジネスメール詐欺やなりすまし チャットによる不正送金 被害 まとめ-上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】ビジネスメール詐欺やなりすまし チャットによる不正送金 被害 まとめ-はてな など上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】 Anthropicが約150組織・15カ国以上にClaude Mythos Previewを拡張、電力・水道・医療・通信が新対象に、一般向け「Claude Security」も同時発表Anthropicが約150組織・15カ国以上にClaude Mythos Previewを拡張、電力・水道・医療・通信が新対象に、一般向け「Claude Security」も同時発表 ランサムウェア グループ Qilin(キリン)とはランサムウェア グループ Qilin(キリン、キーリン)とは手口・国内被害一覧・対策【随時更新】 GitHubが組織内のコード脆弱性を無料で可視化するCode Security Risk Assessmentを提供開始GitHubが組織内のコード脆弱性を無料で可視化するCode Security Risk Assessmentを提供開始