ブラウザ拡張機能のセキュリティリスク:あなたのデータが盗まれる仕組み
悪意のあるブラウザ拡張機能がパスワードを盗み、広告を挿入し、閲覧履歴を追跡する手口を解説。Chrome Web Storeでの実際の事例、権限の危険サイン、拡張機能の監査方法を紹介します。
ブラウザ拡張機能のセキュリティリスク:あなたのデータが盗まれる仕組み
広告ブロック、パスワード管理、文法チェック、クーポン検索。ブラウザ拡張機能は日常を便利にしてくれます。多くの人が深く考えずにインストールしていますが、拡張機能はブラウザ内で動作するソフトウェアであり、付与された権限次第で、オンラインでのあらゆる行動にアクセスできます。
すべての拡張機能が善意で作られているわけではありません。最初からデータ収集を目的に作られたものもあれば、正規の拡張機能が第三者に売却され、悪意のあるアップデートが配信されるケースもあります。Chrome Web Storeの審査プロセスも万全ではありません。
拡張機能がデータにアクセスする仕組み
拡張機能をインストールすると、権限を付与することになります。この権限が拡張機能にできることを決定します。
- すべてのウェブサイトのデータの読み取りと変更:訪問するすべてのページ、入力するすべてのフォーム、タイプするすべてのパスワードを閲覧可能
- 閲覧履歴の読み取り:訪問したすべてのURLへのフルアクセス
- ダウンロードの管理:ダウンロードの実行やダウンロード履歴の読み取りが可能
- コピー&ペーストデータの変更:クリップボードにコピーしたパスワードなどを傍受可能
- ネイティブアプリケーションとの通信:ブラウザ外のソフトウェアとのやり取りが可能
ほとんどのユーザーは権限リストを読まずに「Chromeに追加」をクリックします。その1クリックで、見知らぬ開発者にネットバンキング、メールアカウント、すべてのパスワードへのアクセス権を渡してしまう可能性があります。
悪意のある拡張機能の実際の事例
仮定の話ではありません。実際にユーザーデータを窃取していた拡張機能の事例です。
The Great Suspender(2021年)
200万人以上のユーザーを持つ人気Chrome拡張機能が正体不明の主体に売却されました。新しいオーナーは閲覧追跡と広告挿入を行う悪意のあるコードを含むアップデートを配信。最終的にGoogleがChrome Web Storeから削除しました。
DataSpii(2019年)
セキュリティ研究者が、Hover ZoomやSpeakItなどの人気拡張機能がユーザーの訪問URLをすべて収集し、分析会社に販売していたことを発見しました。収集されたデータには確定申告書、患者情報、旅行日程など、URLを通じてアクセスした個人文書が含まれていました。
Web Developer for Chrome(2017年)
開発者アカウントがハイジャックされ、100万人以上のユーザーに悪意のあるアップデートが配信されました。改ざんされたバージョンは、ユーザーが訪問するすべてのウェブページに広告を挿入していました。
Nano AdblockerとNano Defender(2020年)
新しい開発者への売却後、これらの人気広告ブロッカーが閲覧データを収集し、SNSアカウントを操作するコードにアップデートされ、30万人以上のユーザーに被害が及びました。
権限の危険サイン
すべての権限が危険なわけではありませんが、インストール前に立ち止まって考えるべきものがあります。
| 権限 | リスクレベル | 理由 |
|---|---|---|
| すべてのウェブサイトのデータの読み取りと変更 | 高 | ブラウザ内のすべてにアクセス可能 |
| 閲覧履歴の読み取り | 高 | 訪問した全サイトの記録を確認可能 |
| ダウンロードの管理 | 中 | 不要なダウンロードを実行される可能性 |
| コピー&ペーストデータの変更 | 高 | コピーしたパスワードや機密テキストの窃取が可能 |
| ブックマークの読み取りと変更 | 低 | プライバシーへの影響は限定的 |
| 通知の表示 | 低 | 煩わしいが危険ではない |
| アプリ、拡張機能、テーマの管理 | 高 | 他の拡張機能のインストールや改変が可能 |
判断基準:色抽出ツールやスクリーンショットツールのような単純なツールが「すべてのウェブサイトのデータの読み取り」権限を要求した場合、何かおかしいと考えましょう。権限は機能に見合ったものであるべきです。
インストール済み拡張機能の監査方法
Chrome
- アドレスバーに
chrome://extensions/と入力 - 各拡張機能の「詳細」をクリックして権限を確認
- 見覚えがない、または使っていないものは削除
- 残った拡張機能を確認:知名度のある開発者か?最終更新日はいつか?権限は機能に見合っているか?
Firefox
- アドレスバーに
about:addonsと入力 - 各拡張機能をクリックして権限を確認
- addons.mozilla.orgの拡張機能ページで詳細な権限の内訳を確認可能
Edge
- アドレスバーに
edge://extensions/と入力 - Chromeと同じ手順。EdgeはChromeと同じ拡張機能形式を使用しているため、権限システムも同一
Safari
- Safari > 設定 > 機能拡張に移動
- 各拡張機能がどのウェブサイトにアクセスするか確認
- SafariはChromeより拡張機能を厳しく制限していますが、インストール済みのものは必ず確認
この監査を3か月ごとに実施してください。 拡張機能はいつでも所有者が変わり、悪意のあるアップデートが配信される可能性があります。
拡張機能の安全な利用のためのベストプラクティス
- 最小限にとどめる:実際に使っているものだけを残しましょう。すべての拡張機能が攻撃対象になり得ます
- オープンソースの拡張機能を優先:uBlock Originのようにコードが公開されている拡張機能は、セキュリティ研究者が検証できます
- 開発者を確認:ウェブサイトと実績のある企業の方が、匿名の開発者より安全です
- 最近のレビューを確認:急に否定的なレビューが増えた場合、悪意のあるアップデートや所有者変更のサインです
- インストール前に権限を確認:クーポン拡張機能がすべての閲覧データの読み取りを要求するなら、別のものを探しましょう
- ブラウザを更新:ブラウザの更新には拡張機能の動作を制限するセキュリティパッチが含まれることがあります
- 別のブラウザプロファイルを使用:銀行取引など機密性の高い作業は、拡張機能が一切ないプロファイルで行いましょう
- 所有者変更に注意:拡張機能のプライバシーポリシー変更通知を受けたら、すぐに調査しましょう
機密情報にはより安全な手段を
ブラウザ拡張機能はデータが漏洩する経路の一つにすぎません。パスワードやアクセスコード、機密メモをブラウザ経由で頻繁に共有しているなら、リスクはさらに高まります。
LINEにパスワードをそのまま送ると、トーク履歴に永久に残り、悪意のある拡張機能に傍受される可能性もあります。LOCK.PUBを使えば、パスワードで保護されたリンクを作成して機密テキストを伝えることができます。有効期限を設定すれば、時間経過後にアクセスが遮断されます。トーク履歴に原文が残らないので、拡張機能に傍受される心配もありません。
今すぐ拡張機能を見直しましょう
ブラウザは最も機密性の高いアカウントへの入口です。インストールされた拡張機能の一つ一つが潜在的なセキュリティリスクになります。今日、拡張機能を整理し、不要なものは削除し、今後のインストールには慎重になりましょう。機密情報の共有には、LOCK.PUBのような信頼できる専用ツールをご利用ください。
キーワード
こちらもおすすめ
離婚時に機密書類を安全に共有する方法
離婚手続きで必要な財産分与書類、養育権合意書、税務資料を安全に共有する方法。デジタルセキュリティ対策からパスワード保護共有まで実践ガイド。
暗号化チャットルーム ガイド:サーバーすら読めない完全な秘密会話
LOCK.PUBのエンドツーエンド暗号化匿名チャットルームで、第三者に絶対見られない安全な会話をする方法をご紹介します。
動画配信サービスのアカウントを安全に共有する方法
Netflix、Amazon Prime、Spotifyを家族や友人と共有していますか?パスワード共有ポリシー、リスク、安全な共有方法を解説します。