AIブラウザーの普及とともに、新しい攻撃手法「HashJack」が登場している。
HashJackの特徴は、ユーザーが普段から信頼している正規のウェブサイトのURLに、"#"以降の「フラグメント」と呼ばれる領域を悪用して、AIブラウザーに悪意の指示を隠してしまう点にある。
たとえば、SNSで共有されたリンクや、何気なくクリックしたオンライン記事のURLに仕掛けがあり、被害者がそのリンクを開いてAIブラウザーのアシスタント機能で何か質問を送ると、裏で隠された指示がAIに読み込まれてしまう。
すると、気づかないうちにフィッシングサイトや詐欺電話番号の案内など、様々な危険なコンテンツに誘導されることになる。
この手法が厄介なのは、ウェブサイト自体が攻撃者に侵害されていなくても、URLの一部を書き換えるだけで攻撃が成立してしまうところだ。
AIブラウザーがそのフラグメント部分を、スクリプトやプロンプトとして自動的にコンテキストへ取り込む設計になっていることが、攻撃を後押ししている。
実際に、ChromeやEdgeなどの主要AIブラウザーでも脆弱性が発見され、Microsoftは修正を急いだ。
PerplexityやCometといった新興AIブラウザーでも影響が確認され、修正が進められた。
今後も、AIアシスタントが普及するに従って、こうした脆弱性への対応と注意がより重要になってくると感じている。
HashJackを利用すれば、たとえば銀行サイトへの「取引確認」といったユーザーの入力情報を悪意あるURLに送信させたり、偽のカスタマーサポートへの誘導、誤情報の拡散、株価操作まがいの応答まで作り出せてしまう。
AIによる自動処理が人間の目の届かない場所で行われるため、従来より防御が難しい。
個人的に驚いたのは「正規のURLを使った攻撃」が成立してしまうことで、自分も普段、URLフラグメントは特別警戒せずにいたが、AI活用の時代になるとここに新しいリスクが潜んでいる。
AIブラウザーやアシスタントを設計するとき、どんな情報をどこまでコンテキストとして読み込むかを、もっと慎重に精査する必要があると痛感した。
特にAIが自動的にユーザーの信頼を「二重」に肩代わりしてしまう状況は、今後のセキュリティ設計の難しさを物語っている。
