Webブラウザはもう単なる操作画面ではない 顕在化するリスクとは？：セキュリティニュースアラート

LayerX SecurityはWebブラウザのセキュリティに関する報告書を公開した。企業活動の中心となったWebブラウザが従来のセキュリティ対策の穴となり、深刻な脅威にさらされていると指摘した。

[後藤大地，ITmedia]

　LayerX Securityは最新の調査報告書「The 2025 Browser Security Report」を公開した。

　Webブラウザ環境における新たなリスクが明らかにされており、従来の情報漏えい対策（DLP）やEDR（Endpoint Detection and Response）などのセキュリティ対策が想定していない領域に、深刻な脅威が集中している実態を示している。

Webブラウザは単なる操作画面ではない　顕在化するリスクとは？

　今や、SaaSの利用やAIツールへの入力、拡張機能の導入、認証など多くの業務がWebブラウザで実行される。LayerX Securityによると、これらの行為が従来のセキュリティスタックの監視対象外となっており、結果としてデータ漏えいや認証情報の窃取、AIを介した情報流出が発生しているという。

　生成AIは企業内で急速に拡大し、かつ統制がおよびにくいデータ経路だ。報告書によると、全従業員の約半数が生成AIツールを業務に利用しており、そのうち「ChatGPT」が92％を占める。77％の利用者が業務データをプロンプトに貼り付け、82％が個人アカウントを使用している。アップロードされたファイルの40％に個人情報や決済関連情報が含まれている。生成AI関連の操作は、企業から個人環境へのデータ移動全体の32％を占め、Webブラウザにおける最大の流出経路となっている。

　報告書は「AIWebブラウザ」と呼ばれる新しい種類のWebブラウザの台頭を取り上げている。「Perplexity」「Arc Search」「Brave AI」「OpenAI Atlas」「Edge Copilot」などがその代表例であり、これらは閲覧と生成AIの操作を一体化した仕組みを持つ。

　AIWebブラウザは閲覧ページを読み取り、要約し、内容を解析する機能を持つが、この過程でセッションデータやCookie、SaaSアカウント情報などにアクセスするため、企業の管理下にない「不可視のAIエンドポイント」と化している。従来のWebブラウザ制御ではこれらの動作を監視できず、セッションメモリや自動プロンプト機能が新たな情報流出経路になっているという。

　拡張機能に関するリスクも深刻だ。99％の企業ユーザーが少なくとも1つの拡張機能を利用しており、その過半数が高い権限を持つ。54％の開発者が無料の「Gmail」アカウントで登録しており、26％の拡張機能はサイドロード方式で導入されていた。Webブラウザ内部に未管理のソフトウェア供給網が形成され、悪意ある更新によって組織全体が侵害される可能性がある。

　この他、ID管理に関する課題も浮き彫りとなっている。ログイン操作の約3分の2がシングルサインオン（SSO）を経由しておらず、43％のSaaSアクセスが個人アカウントで実施されている。Webブラウザ内でのセッショントークンやCookieの流用を狙う攻撃が増加しており、正規の認証を経ずにセッション情報を利用して内部移動する事例も確認されている。従来の認証基盤を通じた保護では防ぎきれないリスクがWebブラウザ内部に存在していることが明らかとなった。

　データ流出経路については、従来注目されていたファイルアップロードよりも、コピー＆ペースト操作が新たな弱点になっている。77％の従業員が業務データを生成AIツールなどに貼り付けており、ファイル共有を経由しないデータ移動が増加している。報告書は、こうした「ファイルレス」な情報流出が既存のDLPでは検知できないことを指摘している。

　LayerX Securityはこれらの実態を踏まえ、Webブラウザを単なる操作画面ではなく主要な制御平面として扱う必要があると提言している。同社は対策として、コピー＆ペーストやアップロードといった操作のリアルタイム監視、AIWebブラウザ環境への可視性拡張、セッション単位のID検証、拡張機能の継続的なリスク評価などを挙げている。