passtsuku.com
日本語English中文Español

Riesgos de extensiones del navegador: permisos, privacidad y seguridad

Lectura de 9 min aprox.

ブラウザ拡張機能は、広告ブロックやパスワード管理など 便利な機能を提供する一方で、深刻なセキュリティリスクを はらんでいます。拡張機能に付与される権限は非常に強力で、 閲覧中の Web ページの内容を読み取り、入力データを傍受し、 通信を改ざんすることさえ可能です。 これはスパイウェアと同等の能力を持つことを意味します。 Kaspersky の 2024 年調査によると、Chrome ウェブストアで 公開されている拡張機能のうち約 33% が「すべてのサイトのデータを 読み取る」権限を要求しており、その中には悪意ある挙動が 確認されたものも含まれています。 2025 年現在、Manifest V3 への移行が進む一方で、 悪意ある拡張機能の手口も巧妙化しており、正規の拡張機能を 買収して悪意あるコードを注入する「拡張機能サプライチェーン攻撃」が増加しています。 本記事では、ブラウザ拡張機能のリスクを正しく理解し、 パスつく.com を活用した安全な運用方法を解説します。

結局どうすればいいのか

ブラウザ拡張機能のリスク管理は、「必要最小限」が鉄則です。 初心者の方は、インストール済みの拡張機能を確認し、 使っていないものをすべて削除してください。 残った拡張機能の権限を「クリック時のみ」に制限するだけで、リスクは大幅に低減します。 中級者の方は、拡張機能を 10 個以下に絞り、 金融サービスのパスワードはブラウザに保存せずパスワードマネージャーで管理しましょう。 パスつく.com で各サービスに固有のパスワードを生成し、 拡張機能経由での漏洩に備えた多層防御を構築してください。

ブラウザ拡張機能が持つ権限の危険性

Web ページの読み取り権限

多くの拡張機能は「すべてのウェブサイトのデータを読み取る」 権限を要求します。この権限が付与されると、 拡張機能はユーザーが閲覧しているすべてのページの内容、 フォームに入力したパスワード、クレジットカード番号、 個人情報などを自由に読み取ることができます。 技術的には、拡張機能は content script を通じて DOM に 直接アクセスし、`document.querySelectorAll('input[type="password"]')` のようなコードでパスワードフィールドの値を取得できます。 正規の拡張機能であっても、開発者のアカウントが侵害されて 悪意のあるコードが注入される事例が発生しています。

ネットワーク通信の傍受

webRequest API を使用する拡張機能は、ブラウザのネットワーク通信を 傍受・変更する能力を持ちます。HTTPS で暗号化された通信であっても、 ブラウザ内部では復号された状態で拡張機能に渡されるため、 送受信されるデータを読み取ることが可能です。 この権限を悪用すれば、ログイン情報やセッショントークンを 窃取することができます。 なお、Chrome の Manifest V3 では webRequest API の傍受機能が 制限され、declarativeNetRequest API への移行が進んでいますが、 Firefox では依然として Manifest V2 がサポートされており、 ブラウザ間で権限モデルに差異がある点に注意が必要です。

ブラウザ拡張機能の権限モデルや攻撃手法を体系的に学ぶには、ブラウザ拡張機能のセキュリティ解説書 (Amazon)が参考になります。

拡張機能に関する実際の脅威事例

正規拡張機能の乗っ取り

人気のある拡張機能の開発者アカウントがフィッシング攻撃で 侵害され、悪意のあるアップデートが配信された事例があります。 2024 年 12 月には、Cyberhaven 社の Chrome 拡張機能が 開発者アカウントの侵害により悪意あるバージョンに差し替えられ、 約 40 万人のユーザーに影響が及びました。 自動アップデートによって一斉に配布されるため、 ユーザーは正規の拡張機能を使っているつもりでも、 知らないうちにマルウェアに感染していたのです。 よくある誤解として「公式ストアの拡張機能は安全」と考える人がいますが、 ストアの審査は完全ではなく、難読化されたコードや 遅延実行される悪意あるペイロードは検出を回避できます。

偽の拡張機能による情報窃取

Chrome ウェブストアや Firefox Add-ons には、 人気拡張機能に似た名前やアイコンを使った偽の拡張機能が 出回ることがあります。これらの偽拡張機能は、 インストール後にパスワードや閲覧履歴を外部サーバーに送信します。 2023 年の調査では、Chrome ウェブストアから削除された 悪意ある拡張機能は年間 1,500 件以上にのぼり、 累計で 7,500 万回以上ダウンロードされていたと報告されています。 インストール前に開発者の信頼性、レビュー数、 更新頻度を慎重に確認してください。

安全な拡張機能の選び方と運用

インストール前の確認事項

拡張機能をインストールする前に、以下の点を確認してください。 開発者が信頼できる企業や個人であるか、 ソースコードが公開されているか (オープンソースの場合)、 要求される権限が機能に対して妥当か、 レビュー数と評価が十分か、最終更新日が古すぎないか。 特に「すべてのウェブサイトのデータを読み取る」権限を 要求する拡張機能は、本当にその権限が必要か慎重に判断してください。 Chrome では拡張機能の権限を「クリック時のみ」に制限する オプションがあり、常時アクセスを許可するよりも リスクを大幅に低減できます。

拡張機能の定期的な棚卸し

インストール済みの拡張機能を定期的に見直し、 使用していないものは削除してください。 拡張機能の数が多いほど攻撃対象面が広がります。 セキュリティ研究者の推奨では、インストールする拡張機能は 10 個以下に抑えることが望ましいとされています。 Chrome では `chrome://extensions`、Firefox では `about:addons` から インストール済みの拡張機能を一覧で確認できます。 各拡張機能の権限も再確認し、不要な権限は制限してください。 エッジケースとして、長期間更新されていない拡張機能 (1 年以上更新なし) は、開発者がメンテナンスを放棄している 可能性があり、脆弱性が放置されるリスクが高まります。

パスつく.com でパスワードの安全性を高める

ブラウザにパスワードを保存する場合、悪意のある拡張機能によって 窃取されるリスクがあります。パスつく.com で生成した 強力なパスワードをパスワードマネージャーで管理し、 ブラウザの自動入力機能に頼りすぎないことが重要です。 特に金融サービスや重要なアカウントのパスワードは、 ブラウザに保存せず、パスワードマネージャーから 手動でコピー・ペーストする運用を推奨します。 パスワードマネージャー自体もブラウザ拡張機能として動作するため、 信頼性の高い製品を選定し、公式サイトからのみ インストールすることが不可欠です。

拡張機能の権限管理やプライバシー保護の実践手法については、ブラウザプライバシーと拡張機能の権限管理ガイド (Amazon)も参考になります。

拡張機能のリスクを最小化するまとめ

ブラウザ拡張機能は便利ですが、その権限の強力さゆえに セキュリティ上の大きなリスクとなり得ます。 インストールする拡張機能は必要最小限にとどめ、 権限の要求内容を慎重に確認してください。キーロガー対策と同様に、 パスつく.com で各サービスに固有の強力なパスワードを生成し、 拡張機能経由での漏洩に備えた多層防御を構築しましょう。 定期的な棚卸しと権限の見直しを習慣化することが、 拡張機能のリスクを最小化する最も確実な方法です。

拡張機能セキュリティのチェックリスト

  • インストール済みの拡張機能が 10 個以下に収まっているか
  • 各拡張機能の権限が機能に対して妥当か
  • 1 年以上更新されていない拡張機能がないか
  • 「すべてのサイトのデータを読み取る」権限を「クリック時のみ」に制限しているか
  • 開発者が信頼できる企業・個人であるか確認したか
  • ブラウザに保存したパスワードのマルウェアによる窃取リスクを認識しているか

今すぐできること

  1. ブラウザの拡張機能一覧 (Chrome: chrome://extensions) を開き、使っていない拡張機能をすべて削除する
  2. 残った拡張機能の権限を「クリック時のみ」に制限する (Chrome: 拡張機能の詳細 → サイトへのアクセス)
  3. パスつく.com で金融サービスのパスワードを 16 文字以上に更新し、ブラウザではなくパスワードマネージャーに保存する
  4. 1 年以上更新されていない拡張機能がないか確認し、該当するものは削除する

Artículos relacionados

Generar contraseñas →