ブラウザ拡張機能はどのようなセキュリティリスクがありますか？

拡張機能は閲覧中の全ページの内容を読み取れる権限を持つことがあり、パスワードやクレジットカード情報を盗まれるリスクがあります。また、正規の拡張機能がアップデートでマルウェア化するケースや、開発者アカウントが乗っ取られて悪意あるコードが配布されるケースも報告されています。

安全なブラウザ拡張機能を選ぶポイントは？

公式ストアからのみインストールし、ダウンロード数とレビュー数が多いものを選びましょう。要求される権限が機能に対して過剰でないか確認し、開発元が信頼できる企業や開発者であるかも重要な判断基準です。最終更新日が古すぎるものは避けてください。

インストール済みの拡張機能を安全に管理するにはどうすればよいですか？

定期的に拡張機能の一覧を見直し、使っていないものは削除しましょう。自動更新を有効にしつつ、更新後に権限の変更がないか確認する習慣をつけてください。ネットバンキングなど重要な操作時は、拡張機能を無効にしたプロファイルやシークレットモードを使うのも有効です。

ブラウザ拡張機能のセキュリティリスク

この記事は約 9 分で読めます

ブラウザ拡張機能は、広告ブロックやパスワード管理など便利な機能を提供する一方で、深刻なセキュリティリスクをはらんでいます。拡張機能に付与される権限は非常に強力で、閲覧中の Web ページの内容を読み取り、入力データを傍受し、通信を改ざんすることさえ可能です。これはスパイウェアと同等の能力を持つことを意味します。 Kaspersky の 2024 年調査によると、 Chrome ウェブストアで公開されている拡張機能のうち約 33% が「すべてのサイトのデータを読み取る」権限を要求しており、その中には悪意ある挙動が確認されたものも含まれています。 2025 年現在、 Manifest V3 への移行が進む一方で、悪意ある拡張機能の手口も巧妙化しており、正規の拡張機能を買収して悪意あるコードを注入する「拡張機能サプライチェーン攻撃」が増加しています。本記事では、ブラウザ拡張機能のリスクを正しく理解し、パスつく.com を活用した安全な運用方法を解説します。

結局どうすればいいのか

ブラウザ拡張機能のリスク管理は、「必要最小限」が鉄則です。初心者の方は、インストール済みの拡張機能を確認し、使っていないものをすべて削除してください。残った拡張機能の権限を「クリック時のみ」に制限するだけで、リスクは大幅に低減します。中級者の方は、拡張機能を 10 個以下に絞り、金融サービスのパスワードはブラウザに保存せずパスワードマネージャーで管理しましょう。パスつく.com で各サービスに固有のパスワードを生成し、拡張機能経由での漏洩に備えた多層防御を構築してください。

ブラウザ拡張機能が持つ権限の危険性

Web ページの読み取り権限

多くの拡張機能は「すべてのウェブサイトのデータを読み取る」権限を要求します。この権限が付与されると、拡張機能はユーザーが閲覧しているすべてのページの内容、フォームに入力したパスワード、クレジットカード番号、個人情報などを自由に読み取ることができます。技術的には、拡張機能は content script を通じて DOM に直接アクセスし、document.querySelectorAll('input[type="password"]') のようなコードでパスワードフィールドの値を取得できます。こうした過剰な権限要求は、OAuth 認可時の権限リスクと同様の構造的な問題を抱えています。正規の拡張機能であっても、開発者のアカウントが侵害されて悪意のあるコードが注入される事例が発生しています。

ネットワーク通信の傍受

webRequest API を使用する拡張機能は、ブラウザのネットワーク通信を傍受・変更する能力を持ちます。 HTTPS で暗号化された通信であっても、ブラウザ内部では復号された状態で拡張機能に渡されるため、送受信されるデータを読み取ることが可能です。この権限を悪用すれば、システムへのバックドアとして機能し、ログイン情報やセッショントークンを窃取することができます。なお、 Chrome の Manifest V3 では webRequest API の傍受機能が制限され、 declarativeNetRequest API への移行が進んでいますが、 Firefox では依然として Manifest V2 がサポートされており、ブラウザ間で権限モデルに差異がある点に注意が必要です。

ブラウザ拡張機能の権限モデルや攻撃手法を体系的に学ぶには、ブラウザ拡張機能のセキュリティ解説書 (Amazon)が参考になります。

拡張機能に関する実際の脅威事例

正規拡張機能の乗っ取り

人気のある拡張機能の開発者アカウントがフィッシング攻撃で侵害され、悪意のあるアップデートが配信された事例があります。2024 年 12 月には、 Cyberhaven 社の Chrome 拡張機能が開発者アカウントの侵害により悪意あるバージョンに差し替えられ、約 40 万人のユーザーに影響が及びました。自動アップデートによって一斉に配布されるため、ユーザーは正規の拡張機能を使っているつもりでも、知らないうちにマルウェアに感染していたのです。よくある誤解として「公式ストアの拡張機能は安全」と考える人がいますが、ストアの審査は完全ではなく、難読化されたコードや遅延実行される悪意あるペイロードは検出を回避できます。

偽の拡張機能による情報窃取

Chrome ウェブストアや Firefox Add-ons には、人気拡張機能に似た名前やアイコンを使った偽の拡張機能が出回ることがあります。これらの偽拡張機能は、フィッシングの一種として、インストール後にパスワードや閲覧履歴を外部サーバーに送信します。2023 年の調査では、 Chrome ウェブストアから削除された悪意ある拡張機能は年間 1,500 件以上にのぼり、累計で 7,500 万回以上ダウンロードされていたと報告されています。インストール前に開発者の信頼性、レビュー数、更新頻度を慎重に確認してください。

安全な拡張機能の選び方と運用

インストール前の確認事項

拡張機能をインストールする前に、以下の点を確認してください。開発者が信頼できる企業や個人であるか、ソースコードが公開されているか (オープンソースの場合)、要求される権限が機能に対して妥当か、レビュー数と評価が十分か、最終更新日が古すぎないか。特に「すべてのウェブサイトのデータを読み取る」権限を要求する拡張機能は、本当にその権限が必要か慎重に判断してください。Chrome では拡張機能の権限を「クリック時のみ」に制限するオプションがあり、常時アクセスを許可するよりもリスクを大幅に低減できます。安全なアプリのインストール方法の原則は、拡張機能の導入時にも同様に当てはまります。

拡張機能の定期的な棚卸し

インストール済みの拡張機能を定期的に見直し、使用していないものは削除してください。拡張機能の数が多いほど攻撃対象面が広がります。セキュリティ研究者の推奨では、インストールする拡張機能は 10 個以下に抑えることが望ましいとされています。Chrome では `chrome://extensions`、 Firefox では `about:addons` からインストール済みの拡張機能を一覧で確認できます。各拡張機能の権限も再確認し、不要な権限は制限してください。エッジケースとして、長期間更新されていない拡張機能 (1 年以上更新なし) は、開発者がメンテナンスを放棄している可能性があり、脆弱性が放置されるリスクが高まります。

パスつく.com でパスワードの安全性を高める

ブラウザにパスワードを保存する場合、悪意のある拡張機能によって窃取されるリスクがあります。パスつく.com で生成した強力なパスワードをパスワードマネージャーで管理し、ブラウザの自動入力機能に頼りすぎないことが重要です。特に金融サービスや重要なアカウントのパスワードは、ブラウザに保存せず、パスワードマネージャーから手動でコピー・ペーストする運用を推奨します。パスワードマネージャー自体もブラウザ拡張機能として動作するため、信頼性の高い製品を選定し、公式サイトからのみインストールすることが不可欠です。

拡張機能の権限管理やプライバシー保護の実践手法については、ブラウザプライバシーと拡張機能の権限管理ガイド (Amazon)も参考になります。

拡張機能のリスクを最小化するまとめ

ブラウザ拡張機能は便利ですが、その権限の強力さゆえにセキュリティ上の大きなリスクとなり得ます。インストールする拡張機能は必要最小限にとどめ、権限の要求内容を慎重に確認してください。キーロガー対策と同様に、パスつく.com で各サービスに固有の強力なパスワードを生成し、プライバシー設定の最適化と合わせて拡張機能経由での漏洩に備えた多層防御を構築しましょう。定期的な棚卸しと権限の見直しを習慣化することが、拡張機能のリスクを最小化する最も確実な方法です。

拡張機能セキュリティのチェックリスト

インストール済みの拡張機能が 10 個以下に収まっているか
各拡張機能の権限が機能に対して妥当か
1 年以上更新されていない拡張機能がないか
「すべてのサイトのデータを読み取る」権限を「クリック時のみ」に制限しているか
開発者が信頼できる企業・個人であるか確認したか
ブラウザに保存したパスワードのマルウェアによる窃取リスクを認識しているか

今すぐできること

ブラウザの拡張機能一覧 (Chrome: chrome://extensions) を開き、使っていない拡張機能をすべて削除する
残った拡張機能の権限を「クリック時のみ」に制限する (Chrome: 拡張機能の詳細 → サイトへのアクセス)
パスつく.com で金融サービスのパスワードを 16 文字以上に更新し、ブラウザではなくパスワードマネージャーに保存する
1 年以上更新されていない拡張機能がないか確認し、該当するものは削除する

よくある質問

ブラウザ拡張機能はどのようなセキュリティリスクがありますか？: 拡張機能は閲覧中の全ページの内容を読み取れる権限を持つことがあり、パスワードやクレジットカード情報を盗まれるリスクがあります。また、正規の拡張機能がアップデートでマルウェア化するケースや、開発者アカウントが乗っ取られて悪意あるコードが配布されるケースも報告されています。
安全なブラウザ拡張機能を選ぶポイントは？: 公式ストアからのみインストールし、ダウンロード数とレビュー数が多いものを選びましょう。要求される権限が機能に対して過剰でないか確認し、開発元が信頼できる企業や開発者であるかも重要な判断基準です。最終更新日が古すぎるものは避けてください。
インストール済みの拡張機能を安全に管理するにはどうすればよいですか？: 定期的に拡張機能の一覧を見直し、使っていないものは削除しましょう。自動更新を有効にしつつ、更新後に権限の変更がないか確認する習慣をつけてください。ネットバンキングなど重要な操作時は、拡張機能を無効にしたプロファイルやシークレットモードを使うのも有効です。

この記事は役に立ちましたか？

パスワードを生成する →