【緊急】便利なAIツールや拡張機能を騙るマルウェア・ランサムウェア対策 2025-2026年最新動向と研究で読む「偽AIインストーラ」「悪性拡張機能」「情報窃取から暗号化被害まで」

この記事は、2026年3月20日時点で確認できる公開情報をもとに、便利なAIツールやAI拡張機能を装うマルウェア、情報窃取、ランサムウェアの最新動向を整理し、実務的な対策をまとめたものである。結論を先に述べると、2025年から2026年にかけての脅威は、単なる「怪しい実行ファイルを開かない」にとどまらない。ChromeやEdge向けのAI支援拡張機能、SEOで上位表示された偽AIツール配布サイト、正規ソフト更新を装う偽アップデート、ClickFix型の誘導など、業務現場で日常的に見える導線そのものが攻撃面になっている。

とくに危険なのは、情報窃取とランサムウェアが分離していないことである。まずAIチャット履歴、認証情報、閲覧履歴、内部URLが抜かれ、その後に横展開、権限昇格、データ持ち出し、暗号化へ進む。したがって対策も、「怪しいサイトを避ける」だけでなく、拡張機能統制、ブラウザ権限の最小化、DNS/Webフィルタ、MFA、パッチ、EDR、オフラインバックアップ、復旧演習まで一体で設計しなければならない。

先に要点

• 最新の大きな変化: 2026年3月5日公開の Microsoft Security Blog は、AIアシスタントを装う悪性Chromium拡張機能が 約90万インストールに達し、2万超の企業テナントで活動が確認されたと報告した。
• 何が盗まれるか: ChatGPT や DeepSeek 上の会話履歴、閲覧URL、内部サイト情報、モデル名、ナビゲーション文脈などであり、単なる個人情報流出ではなく社内知識・ソースコード・戦略文書の漏えいにつながる。
• 何が起きるか: 偽AIインストーラは情報窃取だけでなく、Cisco Talos が 2025年5月29日に報告したように、CyberLock、Lucky_Gh0$t、Numero などのランサムウェアや破壊型マルウェアの入口にもなっている。
• 防御の中核: 拡張機能の許可制、正規配布元の固定、未承認拡張機能の棚卸し、MFA、DNS/Web フィルタ、EDR、OS/ブラウザ/拡張機能の迅速な更新、分離保管バックアップ、復元訓練である。
• 経営判断上の要点: これは「AI利用の是非」の話ではない。AI利用が日常業務に入り込んだ結果、ブラウザとプロンプトが新たな高価値資産になったという話である。

なぜ今これが緊急なのか

2026年3月5日に Microsoft Defender Security Research Team が公開した報告は、AIアシスタント拡張機能を装う悪性Chrome/Edge拡張機能が、LLMチャット履歴と閲覧データを継続収集していたと述べている。報告によれば、これらの拡張機能は ChatGPT や DeepSeek などのAIプラットフォームから、プロンプトや応答、訪問URL、前後の遷移情報などを取得し、外部インフラへ定期送信していた。しかも、更新後にユーザーの同意状態を実質的に巻き戻して収集を再有効化する挙動まで確認されている。

この事例が重要なのは、従来の情報窃取型マルウェアと違って、ユーザーが自ら「便利機能」として入れた拡張機能が、長期間にわたりブラウザ常駐型の収集装置になる点である。ブラウザはSaaS、社内Wiki、Git、チケット、顧客情報、そして生成AIを一箇所で横断するため、侵害されると漏れる情報の幅が極端に広い。つまり、ブラウザ拡張機能は軽量に見えて、実際には高権限クライアントである。

最新動向1: AIアシスタント拡張機能を装う情報窃取

Microsoft の 2026年3月5日付報告では、悪性拡張機能は Chrome Web Store で配布され、Edge が Chrome Web Store 拡張を利用できることから、単一の掲載で Chrome と Edge の両方に波及していた。攻撃者は正規AI支援拡張機能に似た名称・説明・権限要求を使い、自然な「AIサイドバー」「チャット補助」体験に見せていた。

技術的には、バックグラウンドスクリプトがほぼすべての訪問URLとAIチャット断片をローカルに蓄積し、後から HTTPS POST で外部へ送る。Microsoft はこれを、エンタープライズ環境におけるプライバシー、コンプライアンス、機密保持リスクとして位置付けている。重要なのは、これが単なる広告トラッキングではなく、社内プロンプト、設計相談、法務メモ、戦略文書の要約、コード断片まで取り得る点である。

企業側の誤解として多いのは、「拡張機能はOSにインストールするアプリより軽いから危険も軽いだろう」という発想である。しかし実際には、ブラウザ拡張機能はページ権限、永続動作、ネットワーク送信、更新後の権限拡張などを通じて、業務データの入口と出口の両方に触れ得る。2026年時点では、AI利用が広がるほど、攻撃者にとっての価値も高くなる。

最新動向2: 偽AIツールのインストーラがランサムウェアの入口になる

2025年5月29日の Cisco Talos の報告は、この問題が単なる情報窃取にとどまらないことを明確に示した。Talos は、AIソリューションのインストーラや配布サイトを偽装して、CyberLock ランサムウェア、Lucky_Gh0$t ランサムウェア、および破壊型マルウェア Numero を配布する事例を報告している。攻撃者は SEO 汚染や偽ドメイン、無料トライアルの文言を使って、業務でAIツールを探す利用者を自然に誘導していた。

Talos によれば、CyberLock は偽サイト novaleadsai[.]com を使い、見た目には正規のAI営業支援ツールに見える形で配布されていた。Lucky_Gh0$t では、「ChatGPT 4.0 full version – Premium.exe」 という露骨なファイル名が実際に使われていた。さらに Numero は AI動画生成ツールのインストーラを装い、被害端末のGUIを壊して使用不能にする。つまり2025年以降の攻撃者は、「AIらしさ」そのものを不正配布の看板として使っている。

ここで重要なのは、攻撃者が「AI人気」という抽象的な潮流ではなく、具体的な導線を踏まえて設計していることだ。無料トライアル、ブラウザサイドバー、動画生成、営業効率化、ChatGPT プレミアム、DeepSeek クライアントなど、利用者が検索しそうな言葉に合わせて偽装される。よって、対策は啓発だけでなく、正規配布元の固定化とダウンロード経路の統制が必要になる。

最新動向3: 情報窃取からランサムウェアへの橋渡しが速い

2025年7月22日の CISA/FBI/HHS/MS-ISAC の Interlock 勧告は、現代のランサムウェア侵入が、ドライブバイダウンロード、ClickFix、偽の Chrome/Edge 更新、さらに Lumma Stealer や Berserk Stealer のような情報窃取系を足場にして進行することを示した。これは「まず盗んでから暗号化する」という現在の現実に合致している。

同じく CISA/FBI/MS-ISAC の 2025年3月12日付 Medusa 勧告では、初期侵入後に PowerShell、RDP、PsExec、Rclone、各種RMMツールを用いて横展開・持ち出し・暗号化が行われる構図が整理されている。2025年2月19日公開の Ghost (Cring) 勧告でも、未パッチ脆弱性の悪用、ログ消去、シャドウコピー削除、暗号化の一連の流れが示されている。

この流れを実務に引き直すと、AI拡張機能や偽AIインストーラは単独の問題ではなく、侵入チェーンの前半として見るべきである。認証情報やブラウザデータが抜かれた時点で、後段の横展開やRaaS参加者への転売が起き得る。したがって「まだ暗号化されていないから軽症」という判断は危険である。

研究・論文が示す「拡張機能は高権限である」という前提

学術面でも、ブラウザ拡張機能が高権限で攻撃に耐えにくいことは以前から指摘されてきた。NDSS 掲載の A Security and Usability Analysis of Local Attacks Against FIDO2 は、悪性ブラウザ拡張機能やXSSが FIDO2 メッセージにアクセスできる実装上の弱点を示し、多くの拡張機能が十分な権限を持ち得ることを指摘している。また NDSS の Latex Gloves: Protecting Browser Extensions from Probing and Revelation Attacks は、拡張機能の存在自体が指紋化やプライバシー侵害に利用され得ることを示した。

これらの研究は、2026年のAI拡張機能リスクを理解するうえで重要である。つまり問題は「AIだから危険」なのではなく、高権限ブラウザ拡張機能に、企業秘密を含む生成AI利用が重なったことで、被害価値が一気に上がった点にある。学術研究で示されてきた拡張機能の構造的リスクが、生成AIの普及によって経営リスクへ転化した、と捉えるのが正確である。

企業が最優先で実施すべき対策

1. 拡張機能を許可制にする
   Chrome/Edge の拡張機能を原則自由インストールにしない。業務利用を認める拡張機能を短い許可リストで管理し、未承認拡張機能を定期棚卸しする。
2. AI利用経路を固定する
   生成AIは、社内で承認したWeb版・デスクトップ版・API利用経路に限定し、「便利そうな無料クライアント」「非公式サイドバー」「プレミアム解除版」を禁止する。
3. 配布元確認を必須化する
   ブックマークやポータルから正規URLに到達させ、検索エンジン経由のダウンロードを減らす。SEO汚染は今後も続く前提で考える。
4. ブラウザ起点の監視を強化する
   既知の悪性ドメイン、拡張機能ID、異常な POST 通信、拡張機能更新後の再有効化挙動、認証情報窃取の兆候を EDR / NDR / Secure Web Gateway 側で監視する。
5. MFA と最小権限を徹底する
   仮にブラウザ側のセッションや資格情報が漏れても被害を限定できるよう、特権ID分離、条件付きアクセス、管理者権限の即時剥奪を行う。
6. パッチとバックアップを地道に続ける
   CISA の Medusa、Ghost、Interlock 勧告はいずれも、パッチ遅延、横展開耐性不足、復旧準備不足が被害拡大に直結すると示している。オフラインまたはイミュータブルなバックアップを維持し、復元演習まで行う。
7. AIに入力してよい情報の境界を決める
   法務、経営、人事、顧客、未公開コード、設計資料などの扱いを明文化し、AIに貼り付けてよい情報と要マスキング情報を定義する。悪性拡張機能は、入力されている時点で価値の高い情報をまとめて取る。

個人・小規模組織でも最低限やるべきこと

• 「公式サイトを検索して見つける」のではなく、公式URLを確認してから開く。
• AI系のデスクトップクライアントや拡張機能は、本当に必要なものだけに絞る。
• 拡張機能の権限表示を読み、全サイトアクセスや広範な閲覧権限を安易に許可しない。
• ブラウザとOSを更新し、パスワード管理ツールとMFAを使う。
• 重要データはクラウド同期だけでなく、別系統のバックアップを持つ。
• 不審な挙動があれば、まずネットワークから切り離し、同一ブラウザに保存された認証情報やセッションを見直す。

2026年時点の現実的な見立て

2026年3月20日現在の公開情報から言えるのは、攻撃者は「AI」という流行語に便乗している段階をすでに超えている、ということだ。今は、AIを日常業務に組み込む人の行動様式そのものが研究され、拡張機能、偽インストーラ、偽アップデート、ClickFix、情報窃取、RaaS へと接続されている。つまり、防御側が守るべき対象は端末だけではなく、ブラウザ、拡張機能、検索経路、AIへの入力内容、復旧体制まで広がっている。

最終的な要点は明快である。「便利だから入れる」は、2026年には通用しない。AIツールや拡張機能は、業務価値が高いからこそ攻撃者の標的でもある。いま必要なのは、AI利用を止めることではなく、許可された経路だけで使い、ブラウザと復旧を含めて統制することである。

参考ソース

• Microsoft Security Blog, Malicious AI Assistant Extensions Harvest LLM Chat Histories, 2026-03-05
• Cisco Talos, Cybercriminals camouflaging threats as AI tool installers, 2025-05-29
• CISA, #StopRansomware: Medusa Ransomware, 2025-03-12
• CISA, #StopRansomware: Ghost (Cring) Ransomware, 2025-02-19
• CISA, #StopRansomware: Interlock, 2025-07-22
• NDSS, A Security and Usability Analysis of Local Attacks Against FIDO2
• NDSS, Latex Gloves: Protecting Browser Extensions from Probing and Revelation Attacks