B
今週中
セキュリティ企業LayerXは、AIブラウザやアシスタントを騙してユーザーの認証情報を盗み出す「BioShocking」という攻撃手法を発見しました
📌 一言でいうと
セキュリティ企業LayerXは、AIブラウザやアシスタントを騙してユーザーの認証情報を盗み出す「BioShocking」という攻撃手法を発見しました。この攻撃は、Webページ上のコンテンツをゲームのルールや指示に見せかけてAIに読み込ませる「間接的プロンプト注入」を利用します。ChatGPT Atlas、Perplexity Comet、Claudeブラウザ拡張機能などのAIエージェントが、ユーザーに代わって操作を行う権限を悪用され、認証情報を攻撃者に送信させられるリスクがあります。
🔍該当判定
- OpenAIのChatGPT Atlasを利用している
- PerplexityのCometを利用している
- AnthropicのClaudeブラウザ拡張機能を利用している
- AIがWebサイトの操作(クリックや入力)を代行する「エージェントモード」を有効にして利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
AIブラウザの「エージェントモード」や自動操作機能を信頼できないサイトで有効にしないこと。AIがWebページの内容に基づいて機密情報を操作・送信しようとした場合に、必ずユーザーの承認を求める設定を確認してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIブラウザ・AIアシスタント利用時のセキュリティリスクについて
お疲れさまです。情報システム担当です。
AIブラウザやAIアシスタント(ChatGPTやClaudeなどの拡張機能)を悪用し、ログイン情報を盗み出す新しい攻撃手法が報告されました。
悪意のあるWebサイトを閲覧した際、AIがサイト上の指示を誤って実行し、あなたのパスワードや認証情報を外部に送信してしまう可能性があります。
ご協力をお願いしたいこと:
1. AIブラウザの「エージェントモード」や自動操作機能を、信頼できないサイトで利用しない。
2. AIが「情報をコピーする」「外部に送信する」などの動作をしようとした際は、内容を十分に確認し、不審な場合はすぐに中止する。
対応期限: 本日中
お疲れさまです。情報システム担当です。
AIブラウザやAIアシスタント(ChatGPTやClaudeなどの拡張機能)を悪用し、ログイン情報を盗み出す新しい攻撃手法が報告されました。
悪意のあるWebサイトを閲覧した際、AIがサイト上の指示を誤って実行し、あなたのパスワードや認証情報を外部に送信してしまう可能性があります。
ご協力をお願いしたいこと:
1. AIブラウザの「エージェントモード」や自動操作機能を、信頼できないサイトで利用しない。
2. AIが「情報をコピーする」「外部に送信する」などの動作をしようとした際は、内容を十分に確認し、不審な場合はすぐに中止する。
対応期限: 本日中
Subject: [Security Alert] Security Risks When Using AI Browsers and Assistants
Hi everyone,
A new attack method has been reported that exploits AI browsers and assistants (such as extensions for ChatGPT and Claude) to steal login credentials.
When visiting a malicious website, the AI may be tricked into following hidden instructions on the page, potentially copying and sending your passwords or authentication details to an attacker.
What we need you to do:
1. Avoid enabling 'agent mode' or automated features of AI browsers on untrusted websites.
2. Carefully review any AI actions that involve copying or sending information; cancel the operation immediately if it seems suspicious.
Deadline: Immediate
Hi everyone,
A new attack method has been reported that exploits AI browsers and assistants (such as extensions for ChatGPT and Claude) to steal login credentials.
When visiting a malicious website, the AI may be tricked into following hidden instructions on the page, potentially copying and sending your passwords or authentication details to an attacker.
What we need you to do:
1. Avoid enabling 'agent mode' or automated features of AI browsers on untrusted websites.
2. Carefully review any AI actions that involve copying or sending information; cancel the operation immediately if it seems suspicious.
Deadline: Immediate