Chrome拡張のプライバシーリスクを調べる方法|インストール前に確認すべきこと
Chrome拡張の危険性を知っていますか?60万人が被害を受けた2024年の大規模ハッキング事例を紹介。インストール前に個人情報を守るためのチェック方法と、安全な拡張機能の見分け方を解説します。
Chrome拡張機能、どうやって選んでいますか?
「とりあえず試してみよう」でインストールしているChrome拡張機能は、何本ありますか?
Chrome拡張機能は生産性を大きく向上させる一方で、プライバシーとセキュリティの大きなリスクを内包しています。インストールした瞬間から、あなたのブラウジング行動、入力内容、訪問したページの内容が、その拡張機能の開発者に筒抜けになる可能性があります。
2024〜2025年には大規模な拡張機能被害が相次いで報告されており、その手口は年々巧妙になっています。
2024〜2025年の実際の被害事例
事例1: 60万人が影響を受けたChrome拡張ハッキング(2024年12月)
2024年12月24〜26日、複数のChrome拡張機能が同時に侵害される大規模攻撃が発生しました。
ターゲットになったのは主にAI関連やVPN関連の拡張機能。開発者のGoogleアカウントがフィッシング攻撃でハッキングされ、悪意のあるアップデートが既存ユーザー全員に自動配信されました。
ユーザー側は何も操作していないのに、いつもと同じ拡張機能が突然マルウェアに変貌したのです。被害者数は60万人以上と推定されています。
事例2: 「RedOperation」——230万人が被害(2025年7月)
2025年7月、ChromeおよびEdgeで18個の悪意のある拡張機能が確認されました。「RedDirection」と名付けられたこのオペレーションでは、広告詐欺やデータ窃取を目的とした拡張機能が公式ストアに掲載され、少なくとも230万ユーザーが影響を受けました。
公式のChromeウェブストアに掲載されているからといって、安全とは限らない——これが重要な教訓です。
Chrome拡張機能が持てる「権限」とは何か
Chrome拡張機能の危険性の根源は、要求できる権限の広さにあります。
Googleが定めている拡張機能の権限には以下が含まれます。
特に危険な権限
| 権限 | できること | リスク |
|---|---|---|
| 「すべてのWebサイトのデータにアクセス」 | 訪問した全サイトのHTML・テキスト・パスワードフォームの内容を読み取れる | パスワード・クレジットカード番号の盗取が可能 |
| 「クリップボードの読み取り」 | コピーした内容(パスワード・テキスト)を読み取れる | 意識せずコピーした情報が漏洩 |
| 「ブラウザ履歴の読み取り」 | すべての閲覧履歴にアクセスできる | 行動パターンの把握・プロファイリング |
| 「タブの管理」 | 開いているタブを操作できる | 意図しないページへのリダイレクト |
| 「通知の表示」 | 任意のタイミングでブラウザ通知を送れる | スパム広告・フィッシング誘導 |
「すべてのWebサイトのデータにアクセスする」権限を持つ拡張機能は、ネットバンキングの画面に入力したID・パスワード・ワンタイムパスワードを読み取ることが理論上可能です。
インストール前の7つのチェックポイント
チェック1: 要求される権限は機能に見合っているか?
電卓アプリが「全サイトのデータにアクセス」する権限を要求したら明らかに不自然です。機能に必要な権限のみを要求しているかを確認しましょう。
拡張機能のページには権限の一覧が表示されます。「なぜこの権限が必要か」の説明がない場合は注意が必要です。
チェック2: 開発者・発行元は信頼できるか?
- 有名企業(Google、Microsoft、Adobe等)が発行しているか
- 開発者の公式サイトが存在するか
- 開発者情報が「個人名のみ」で詳細不明でないか
チェック3: レビューの質と数
評価数が少なく、低評価が多い拡張機能には注意。逆に、短期間で★5評価だけが大量についている場合は、偽レビューの可能性があります。
チェック4: 最終更新日
長期間更新されていない拡張機能は、セキュリティパッチが当たっていない可能性があります。また、逆に最近突然アップデートされた拡張機能は、ハッキングされたアップデートでないかを確認する価値があります。
チェック5: ユーザー数
大きなユーザーベースを持つ拡張機能は、問題があれば早期発見・報告されやすい傾向があります。ただし、前述の事例のように大規模な拡張機能でも被害にあうことはあります。
チェック6: プライバシーポリシーの存在
プライバシーポリシーが存在しない、または「データを一切収集しない」とだけ書かれている場合は注意。合理的に必要なデータの取り扱いが説明されているかを確認しましょう。
チェック7: 拡張機能の「利用規約」を確認
拡張機能にも利用規約があります。収集するデータの種類、第三者への提供、AIトレーニングへの使用等が記載されている場合があります。
インストール後の安全管理
インストールした後も、定期的な管理が重要です。
- 使っていない拡張機能は削除する: インストールしたまま使わなくなった拡張機能は削除しましょう。開発者が変わってマルウェアになるリスクがあります
- 定期的に権限を見直す:
chrome://extensions/で一覧を確認し、不審な拡張機能がないかチェック - 自動アップデートの変化に注意: ある日突然動作が変わった・速度が遅くなったと感じたら、その拡張機能を疑う
拡張機能を安全に使うためのTOS Analyzer
TOS AnalyzerはChrome拡張として動作しますが、その利用規約・プライバシーポリシーを公開しており、収集するデータは最小限に設計されています。
また、TOS Analyzer自体が行う機能として、インストールを検討している他のChrome拡張機能の利用規約やプライバシーポリシーをAIで分析し、リスクを事前にスコアリングすることが可能です。
「この拡張機能、インストールしても大丈夫?」という疑問に、AIがリアルタイムで答えます。
ウェイトリストに登録して、リリース時にいち早くお試しください。
Sources: Chrome拡張機能ハッキング・60万人被害(sec-mynote.com) / RedDirection:230万人被害(Ops Today) / ブラウザ拡張機能の危険と悪用事例(トレンドマイクロ) / 拡張機能が企業を裏切る日(サイバーセキュリティラボ)