Guardioは3月22日(現地時間)、「“FakeGPT” #2: Open-Source Turned Malicious in Another Variant of the Facebook Account-Stealer Chrome Extension」において、ChatGPTを利用できると嘘をついて機密情報を盗み出すGoogle Chrome拡張機能の新しい亜種を確認したと伝えた。

この悪意のあるChrome拡張は「ChatGPT for Google」という名称でChromeストアに登場したが、調査の結果、オープンソースで開発されている正規のChrome拡張である「ChatGPT for Google」をフォークし、悪意のあるコードを埋め込んで公開されたことが分かったという。

  • 左が偽のChrome拡張、右が本物の「ChatGPT for Google」 引用:Guardio

    左が偽のChrome拡張、右が本物の「ChatGPT for Google」 引用:Guardio

本物の「ChatGPT For Google」は、Googleの検索ページの右上にチャットウィンドウを挿入し、ChatGPTからの回答を検索結果と共に表示するというもの。配布元のドメインは「chatgpt4google.com」で、2023年3月23日時点で100万人以上のユーザーに利用されている。

一方、悪意のある「ChatGPT for Google」は、本物の「ChatGPT For Google」のGitHubリポジトリをフォークした上で、悪意を持って改変したものと考えられている。UIや動作は本物と同じだが、インストール直後に悪意のあるアクションを1つだけ実行するという。このアクションによってCookie情報にアクセスし、Facebookのセッション情報を探し出してFacebookアカウントの認証情報を盗み出す。

ChatGPTの利用を装ってFacebookアカウントを乗っ取るChrome拡張は以前にも報告されている(参考記事:ChatGPTの利用を誘い水にFacebookアカウントを乗っ取るChrome拡張に注意 | TECH+(テックプラス))。以前発見されたChrome拡張はFacebook広告によって拡散されていたが、今回報告されたものはスポンサー付きのGoogle検索結果を通じて拡散されているという。

  • スポンサー付きのGoogle検索結果、インストール、Facebookアカウントの乗っ取りまでの流れ 引用:Guardio

    スポンサー付きのGoogle検索結果、インストール、Facebookアカウントの乗っ取りまでの流れ 引用:Guardio

Guardioの報告によって、2023年3月22日時点で偽の「ChatGPT For Google」はChromeストアから削除されたとのことだ。ただし、Guardioによれば削除されるまでに既に7000人のユーザーがインストールしたことを確認しているという。

Guardioは、ChatGPTの名前を誘い水にした悪意のある拡張機能を「FakeGPT」と呼んでいる。ChatGPTの人気が高まる中でこのブランドの悪用は増加の一途をたどっており、今後も引き続き警戒が必要だとGuardioの研究者は指摘している。