CYBER NEWS CYBER NEWS
2025.8.4 /
生成AIツール「顧客データ・社内機密を窃取する」企業の環境は99%
生成AIツールの普及により、日本の中小企業でも業務効率化や顧客対応の自動化が進んでいる。
しかし、ブラウザーセキュリティに特化した日本のスタートアップ企業である「LayerX(レイヤーエックス)が2025年に発表した「Enterprise Browser Extension Security Report 2025」によると、生成AIツールを利用する際の情報流出リスクが浮き彫りになっている。
特に、ブラウザー拡張機能が大規模言語モデル(LLM)のプロンプトにアクセスし、機密情報を窃取する可能性が指摘されており、中小企業にとって重大な脅威とされている。
生成AIとブラウザー拡張機能のリスク
LayerXのレポートによれば、企業環境の99%がブラウザー拡張機能を利用しており、その53%が機密データにアクセス可能な高リスクの権限を持つ拡張機能をインストールしているという。
生成AIツールは、ウェブページのDOM(Document Object Model、ウェブページの構造を操作するためのAPI)にプロンプトが組み込まれる仕組みで動作する。
このDOMにアクセス可能な拡張機能は、特別な権限を必要とせずにプロンプトの内容を読み取り、書き換え、または悪意のある指示を注入できる。
これにより、顧客データや社内機密情報が外部に流出する危険性が高まる。
GlobeNewswireによると、企業ユーザーの17%が非公式ストアから、26%がサイドロード(別のプロセスやアプリケーションを通じて直接インストール)された拡張機能を使用しており、これらが悪用されるケースが増加している。
特に中小企業では、セキュリティリソースが限られているため、こうしたリスクへの対応が後手に回りがちとされている。
中小企業が直面する具体的な脅威
日本の中小企業では、生成AIツールを活用して顧客対応の自動化やデータ分析を行うケースが増えているが、セキュリティ対策が不十分な場合、以下のようなリスクが顕在化する。
・機密情報の流出
顧客情報や取引データが含まれたプロンプトが、悪意のある拡張機能によって窃取される可能性。
・プロンプトインジェクション
攻撃者がプロンプトに不正な指示を挿入し、AIの動作を操作することで、誤った情報生成やシステムの悪用を誘発。
・内部脅威の増大
従業員が意図せずインストールした拡張機能が、社内ネットワーク全体に影響を及ぼすリスク。
CSO Onlineは、LLMの脆弱性としてプロンプトインジェクションやデータ流出を挙げ、ブラウザー上で動作する生成AIツールが特に標的になりやすいと警告。
中小企業では、専任のITセキュリティ担当者が不在の場合が多く、こうした脅威への対応が遅れることが懸念される。
推奨されるセキュリティ対策
中小企業が取り組むべき具体的な対策をまとめると以下のとおり。
・拡張機能の監査と制限
従業員が使用するブラウザー拡張機能を定期的に監査し、非公式ストアやサイドロードされた拡張機能を禁止する。
必要最低限の権限を持つ拡張機能のみを許可するポリシーを導入する。
・生成AIツールの安全な利用
生成AIツールのプロンプトに機密情報を入力しない運用ルールを徹底する。
クラウドベースのセキュリティソリューションを活用し、プロンプトインジェクションを検知・防止。
・社員教育の強化
従業員に対し、ブラウザー拡張機能のリスクや安全なインストール方法についてのトレーニングを実施する。
フィッシングや悪意のある拡張機能の見分け方を教育する。
・セキュリティツールの導入
ブラウザーセキュリティツールを導入し、リアルタイムで拡張機能の挙動を監視する。
リスクベースのアクセス制御を採用し、機密データへのアクセスを制限する。
中小企業にとっての緊急性
日本の中小企業は、限られたリソースの中でデジタル化を進める一方で、サイバーセキュリティの重要性が見過ごされがちになっている。
LayerXのレポートは、99%の企業が拡張機能を利用している現状を指摘し、セキュリティ対策の遅れが情報流出に直結するリスクを強調している。
特に、生成AIの普及に伴い、攻撃者は新たな攻撃手法を開発しており、中小企業がその標的となる可能性は高い。
Cloudflareの報告では、OWASP(オープンウェブアプリケーションセキュリティプロジェクト、ウェブアプリケーションセキュリティの向上を目指す非営利団体)が定義したLLMのトップ10リスクに、プロンプトインジェクションやデータ流出が含まれている。
これらのリスクは、適切なセキュリティ対策を講じない限り、中小企業の事業継続性や信頼性に深刻な影響を及ぼす。
生成AIツールの利便性は中小企業にとって大きな魅力だが、ブラウザー拡張機能を介した情報流出リスクは無視できない。
LayerXの最新レポートや関連するサイバーセキュリティ情報は、こうした脅威への対策の緊急性を訴えている。
中小企業は、拡張機能の管理強化、社員教育、セキュリティツールの導入を通じて、情報セキュリティを確保する必要があり、デジタル化の恩恵を安全に享受するため、プロアクティブな対策を講じるべき時なのかもしれない。
【参考記事】
LayerX公式ウェブサイト
https://www.layerxsecurity.com
The Hacker News
https://thehackernews.com
GlobeNewswire
https://www.globenewswire.com
-
2025.8.1
約140万名分、大規模な情報流出被害発生か アメリカ大手保険会社に不正アクセス
-
2025.8.4
ガストやバーミヤンの運営、約2,270名分のクレジットカード情報流出か 不正アクセス