Bleeping Computerは3月5日(米国時間)、「2026 Browser Data Reveals Major Enterprise Security Blind Spots」において、企業において重要ながら保護されていない攻撃領域はWebブラウザだとして、注意を呼びかけた。

これは米国に拠点を置くセキュリティ企業「Keep Aware」が公開したセキュリティレポート「The State of Browser Security Report 2026 | Keep Aware」に基づく分析。現代の企業にとってWebブラウザは業務を遂行する上で欠かせないシステムとなっているが、ここにAI機能が導入されたことで落とし穴が増加したという。

  • MicrosoftのWebブラウザEdgeの画面。Edgeに限らず、WebブラウザにAI機能が導入された始めてリスクが増えた。 出典:Microsoft

    MicrosoftのWebブラウザEdgeの画面。Edgeに限らず、WebブラウザにAI機能が導入された始めてリスクが増えた。 出典:Microsoft

Webブラウザ中心の業務環境が生む新たなセキュリティ課題

近年は業務アプリケーションに組み込まれたAI支援機能や生成AIツールが日常的に使用されているが、2025年ごろからAI機能を備えたWebブラウザ(Edge+Copilotなど)が導入され始めた。検索、要約、文章生成、コーディング、作業の自動化などがWebブラウザ内で行われ、業務の多くがWebブラウザを基点に進む構造が定着しつつある。

この構造の変化によって業務効率が向上し、企業利益に結び付くと期待されているが、一方で企業の防御体制がこの変化に追随していないことが、Keep Awareのレポートから明らかになった。従業員の4割以上は個人アカウントや未承認の業務アカウントを使用して機密情報をアップロードし、企業のガバナンス外でアクセスを行っている実態を明らかにしている。

データの送信先はSharePoint、Googleサービス、Slackなどのコラボレーションツールに集中し、無条件で公開しているわけではないが、AIツールに機密情報を積極的に貼り付け、アップロードする傾向が示されている。

また、Webブラウザ中心の業務フローに移行したことで、未承認アプリの利用を禁止するアプリケーションベースの防護策が効果を失いつつある状況も明らかになった。リスクはアプリの種類ではなく、アカウントの種類に移り変わったと言える。

拡張機能やフィッシング、ブラウザ内部に移る攻撃

攻撃手法の変化も深刻だ。企業がメールやネットワークを中心に対策を強化した結果、攻撃者はWebブラウザ内部に活動領域を移しつつあるという。2025年に観測された攻撃では、フィッシング攻撃(29%)が最多で、これに悪意のあるWebブラウザ拡張機能(19%)、ソーシャルエンジニアリング攻撃(17%)が続いた。

悪意のあるWebブラウザ拡張機能は見過ごされやすく、管理が行き届いていない攻撃領域とされる。ユニークな拡張機能の13%から高いリスクが発見されており、これら機能が企業の監視の目をかいくぐって業務環境に侵入する可能性がある。さらに、アップデートによる脅威の監視も必要であり、見落とされがちな領域だ。

ブラウザ内の行動を可視化する新しい防御モデルが必要

レポートはWebブラウザが業務フローの中心となった現状を明らかにし、新たな監視と防御の枠組みを構築する必要性を強調している。入力した内容、貼り付けたデータ、アップロードファイル、拡張機能の挙動、アカウントの使い分けなど、従来の仕組みでは把握しきれない領域が増加している。

企業はWebブラウザを独立した防御対象として扱い、Webブラウザ内の行動を可視化し、利用実態に即した管理が今後の防御に不可欠になるとみられている。