ブラウザ拡張機能のセキュリティリスク
この記事は約 5 分で読めます
ブラウザ拡張機能は、広告ブロックやパスワード管理など 便利な機能を提供する一方で、深刻なセキュリティリスクを はらんでいます。拡張機能に付与される権限は非常に強力で、 閲覧中の Web ページの内容を読み取り、入力データを傍受し、 通信を改ざんすることさえ可能です。 Kaspersky の 2024 年調査によると、Chrome ウェブストアで 公開されている拡張機能のうち約 33% が「すべてのサイトのデータを 読み取る」権限を要求しており、その中には悪意ある挙動が 確認されたものも含まれています。 本記事では、ブラウザ拡張機能のリスクを正しく理解し、 パスつく.com を活用した安全な運用方法を解説します。
ブラウザ拡張機能が持つ権限の危険性
Web ページの読み取り権限
多くの拡張機能は「すべてのウェブサイトのデータを読み取る」 権限を要求します。この権限が付与されると、 拡張機能はユーザーが閲覧しているすべてのページの内容、 フォームに入力したパスワード、クレジットカード番号、 個人情報などを自由に読み取ることができます。 技術的には、拡張機能は content script を通じて DOM に 直接アクセスし、`document.querySelectorAll('input[type="password"]')` のようなコードでパスワードフィールドの値を取得できます。 正規の拡張機能であっても、開発者のアカウントが侵害されて 悪意のあるコードが注入される事例が発生しています。
ネットワーク通信の傍受
webRequest API を使用する拡張機能は、ブラウザのネットワーク通信を 傍受・変更する能力を持ちます。HTTPS で暗号化された通信であっても、 ブラウザ内部では復号された状態で拡張機能に渡されるため、 送受信されるデータを読み取ることが可能です。 この権限を悪用すれば、ログイン情報やセッショントークンを 窃取することができます。 なお、Chrome の Manifest V3 では webRequest API の傍受機能が 制限され、declarativeNetRequest API への移行が進んでいますが、 Firefox では依然として Manifest V2 がサポートされており、 ブラウザ間で権限モデルに差異がある点に注意が必要です。
ブラウザ拡張機能の権限モデルや攻撃手法を体系的に学ぶには、ブラウザ拡張機能のセキュリティ解説書 (Amazon)が参考になります。
拡張機能に関する実際の脅威事例
正規拡張機能の乗っ取り
人気のある拡張機能の開発者アカウントがフィッシング攻撃で 侵害され、悪意のあるアップデートが配信された事例があります。 2024 年 12 月には、Cyberhaven 社の Chrome 拡張機能が 開発者アカウントの侵害により悪意あるバージョンに差し替えられ、 約 40 万人のユーザーに影響が及びました。 自動アップデートによって一斉に配布されるため、 ユーザーは正規の拡張機能を使っているつもりでも、 知らないうちにマルウェアに感染していたのです。 よくある誤解として「公式ストアの拡張機能は安全」と考える人がいますが、 ストアの審査は完全ではなく、難読化されたコードや 遅延実行される悪意あるペイロードは検出を回避できます。
偽の拡張機能による情報窃取
Chrome ウェブストアや Firefox Add-ons には、 人気拡張機能に似た名前やアイコンを使った偽の拡張機能が 出回ることがあります。これらの偽拡張機能は、 インストール後にパスワードや閲覧履歴を外部サーバーに送信します。 2023 年の調査では、Chrome ウェブストアから削除された 悪意ある拡張機能は年間 1,500 件以上にのぼり、 累計で 7,500 万回以上ダウンロードされていたと報告されています。 インストール前に開発者の信頼性、レビュー数、 更新頻度を慎重に確認してください。
安全な拡張機能の選び方と運用
インストール前の確認事項
拡張機能をインストールする前に、以下の点を確認してください。 開発者が信頼できる企業や個人であるか、 ソースコードが公開されているか (オープンソースの場合)、 要求される権限が機能に対して妥当か、 レビュー数と評価が十分か、最終更新日が古すぎないか。 特に「すべてのウェブサイトのデータを読み取る」権限を 要求する拡張機能は、本当にその権限が必要か慎重に判断してください。 Chrome では拡張機能の権限を「クリック時のみ」に制限する オプションがあり、常時アクセスを許可するよりも リスクを大幅に低減できます。
拡張機能の定期的な棚卸し
インストール済みの拡張機能を定期的に見直し、 使用していないものは削除してください。 拡張機能の数が多いほど攻撃対象面が広がります。 セキュリティ研究者の推奨では、インストールする拡張機能は 10 個以下に抑えることが望ましいとされています。 Chrome では `chrome://extensions`、Firefox では `about:addons` から インストール済みの拡張機能を一覧で確認できます。 各拡張機能の権限も再確認し、不要な権限は制限してください。 エッジケースとして、長期間更新されていない拡張機能 (1 年以上更新なし) は、開発者がメンテナンスを放棄している 可能性があり、脆弱性が放置されるリスクが高まります。
パスつく.com でパスワードの安全性を高める
ブラウザにパスワードを保存する場合、悪意のある拡張機能によって 窃取されるリスクがあります。パスつく.com で生成した 強力なパスワードをパスワードマネージャーで管理し、 ブラウザの自動入力機能に頼りすぎないことが重要です。 特に金融サービスや重要なアカウントのパスワードは、 ブラウザに保存せず、パスワードマネージャーから 手動でコピー・ペーストする運用を推奨します。 パスワードマネージャー自体もブラウザ拡張機能として動作するため、 信頼性の高い製品を選定し、公式サイトからのみ インストールすることが不可欠です。
拡張機能の権限管理やプライバシー保護の実践手法については、ブラウザプライバシーと拡張機能の権限管理ガイド (Amazon)も参考になります。
拡張機能のリスクを最小化するまとめ
ブラウザ拡張機能は便利ですが、その権限の強力さゆえに セキュリティ上の大きなリスクとなり得ます。 インストールする拡張機能は必要最小限にとどめ、 権限の要求内容を慎重に確認してください。 パスつく.com で各サービスに固有の強力なパスワードを生成し、 拡張機能経由での漏洩に備えた多層防御を構築しましょう。 定期的な棚卸しと権限の見直しを習慣化することが、 拡張機能のリスクを最小化する最も確実な方法です。