ブラウザ拡張機能からの個人情報流出。悪意をもった拡張機能たち

拡張機能と信頼性

 危険性のある拡張機能だが、便利なので上手く利用したい。しかし何をもって信頼するかの判断が難しい。ウェブストアでの評判がよければ安心というわけにはいかない。  当初は安全だった拡張機能が、バージョンアップによって危険になることもある。また、拡張機能を売却して、開発元が変わってしまうというケースもある(参照:GIGAZINE)。  スマートフォンのアプリのように偽物が出回っているケースもある。有名なソフトの名を冠した拡張機能だと思っていたら開発元が違っているというわけだ。拡張機能の利用は、危険と隣り合わせであることを理解しなければならない。  こうした問題は Google も把握している。そして有害な拡張機能の撲滅に力を入れている。たとえば Chrome 70 では、拡張機能によるWebサイトのデータの読み取りや変更の許可について、ユーザーがその範囲を指定できるようにした。  また、難読化(人間が読めないように加工)されたコードを含む拡張機能は許可されなくなった。悪意を持った開発者を弾くために、開発者アカウントに2段階認証を義務付けるようにもなった(参照:窓の杜)。  だが、こうした対策はイタチごっこである。Google も様々な取り組みをしているが、完全に不正な拡張機能を排除できるわけではない。拡張機能を安易に信頼せず、自分でも対策をおこなった方がよいだろう。

拡張機能への対策

 拡張機能の利用には危険が伴う。しかし、拡張機能自体は便利なものだ。それらを全て排除すると利便性が低下する。ではどうするかという話になる。  個人でできる簡単な対策は、Webページを閲覧したり利用したりする際に、その危険度によってWebブラウザの状態を変えるというものだ。  たとえば Google Chrome には「シークレット モード」というものがある。この状態では、全ての拡張機能が取り除かれる。そのため拡張機能による危険性を排除できる。 「︙」をクリックして「シークレット ウィンドウを開く」を選ぶか「Ctrl+Shift+N」のショートカットで、シークレット モードのウィンドウを開くことができる。
konobubun

矢印で示した「︙」をクリックするとChromeの設定メニューが出てくる

 ただ、この方法では、Webサイトへのログイン情報が維持されず、毎回ログインが必要になり不便だ。もう少し利便性の高い方法も紹介しておく。 「︙」の左横のアイコンをクリックして、メニューから「ユーザーを管理」を選択する。ダイアログが表示されるので「ユーザーを追加」をクリックして、用途別のユーザーを作成する。こうすると、ブックマークや拡張機能、ログイン情報などが別れた状態で、Google Chrome を利用できる。  たとえば「メイン」「銀行」といったユーザーを作っておく。「銀行」のユーザーには、拡張機能を一切入れずに利用する。このユーザーには、お金を扱うWebサイトのブックマークを登録しておく。こうすれば、お金を扱う際に、拡張機能の危険を排除することができる。  拡張機能は便利だが、常時必要なわけではない。こうした対策をすることでリスクを減らせる。これはひとつの方法だが、自分なりの方法を考えて、情報流出のリスクと向き合う必要があるだろう。
やない まさかず。クロノス・クラウン合同会社の代表社員。ゲームやアプリの開発、プログラミング系技術書や記事、マンガの執筆をおこなう。2001年オンラインソフト大賞に入賞した『めもりーくりーなー』は、累計500万ダウンロード以上。2016年、第23回松本清張賞応募作『バックドア』が最終候補となり、改題した『裏切りのプログラム ハッカー探偵 鹿敷堂桂馬』にて文藝春秋から小説家デビュー。近著は新潮社『レトロゲームファクトリー』。2019年12月に Nintendo Switch で、個人で開発した『Little Bit War(リトルビットウォー)』を出した。2021年2月には、SBクリエイティブから『JavaScript[完全]入門』、4月にはエムディエヌコーポレーションから『プロフェッショナルWebプログラミング JavaScript』が出版された。
1
2