ブラウザ拡張機能はプライバシーの悪夢

ブラウザ拡張機能とアドオンは長年存在しており、その間ずっと重大なセキュリティリスクであり続けてきました。1つの悪意のあるブラウザ拡張機能があるだけで、デバイス情報、閲覧履歴、その他の情報がランダムな企業や個人の手に渡る可能性があります。これは理論的なリスクではなく、常に発生しています。

サイバーセキュリティ意識向上週間の記事は、Incogniとの協力でお届けします。

多くのブラウザ拡張機能は、訪問する各ページのコンテンツを変更したり、少なくとも訪問するリンクをチェックして何らかのアクションを実行したりするように設計されています。拡張機能が不正になった場合、ブラウザが損害が発生した後に禁止する以外に、ブラウザが合理的に保護できない高い権限が必要です。まだ行っていない場合は、インストールされているブラウザ拡張機能のリストを整理する時期です。

拡張機能の危険性

AndroidやiPhone用アプリと同様に、最新のブラウザ拡張機能は権限モデルに基づいて構築されています。約束された機能に絶対に必要な権限のみを要求することになっています。たとえば、Keepaブラウザ拡張機能はAmazonの製品ページに価格履歴グラフと追加のボタンを追加するため、Amazonのページと拡張機能自身のWebサイトへのアクセスのみを要求します。YouTube、銀行のWebサイト、Wikipedia、その他何かのデータを見ることはできません。

しかし、多くの拡張機能はより一般化されており、訪問するすべてのページへのアクセスが必要です。Microsoft EditorやGrammarlyのようなライティングおよび文法アシスタントはこのカテゴリに分類されます。訪問するすべての（サポートされている）ページにテキストチェック機能を追加するには、すべてのページへのアクセス許可が必要です。これは理解できますが、訪問するすべてのページへのアクセスは、特にコンピュータアクティビティの多くがWebブラウザ内で行われている場合、依然として非常に高いレベルの信頼です。Windowsアプリケーションに管理者権限を付与することとそれほど変わりません。

Google、Microsoft、Mozillaは、拡張機能の権限を管理し、より安全な代替手段を提供しようとしました。たとえば、一部のブラウザ拡張機能は、すべてのWebサイトをすべての時間（バックグラウンドタブを含む）ではなく、現在のタブのみのアクセス許可を求めることができます。一部のブラウザでは、拡張機能が明示的に許可されるまで、特定のWebサイトで実行されないようにすることもできます。ただし、拡張機能がすべてにアクセスできないとまったく機能しない場合に講じることができる予防策には限度があります。

2019年、AvastとAVGのオンラインセキュリティ拡張機能は、Webサイトの訪問データを記録し、Avastの子会社であるJumpshotを通じてHome Depot、Google、Pepsiなどの企業に販売していることが判明しました。2016年、人気のWeb of Trustブラウザ拡張機能は、匿名であると主張した後、識別可能なユーザーデータを販売していました。Googleは、ユーザーの知らないうちにページ広告をクリックするために使用された後、2018年に合計50万回以上ダウンロードされた4つの拡張機能を削除しました。Grammarly拡張機能は、ライティングを使用して AI モデルをトレーニングします。例を挙げれば、際限なく挙げることができます。

ブラウザ拡張機能が「ハイジャック」されて別の開発者に転送され、拡張機能がマルウェアで更新されるというケースもあります。2017年、人気のWeb Developer for Chrome拡張機能の作成者のGoogleアカウントがフィッシングされ、盗まれたアカウントを使用してページに広告を挿入する更新プログラムがプッシュされました。幸いにも、更新プログラムはすぐに元に戻され、Chromeウェブストアに公開されている拡張機能を持つGoogleアカウントでは、フィッシングやハッキングの悪用を減らすために2要素認証を使用することが義務付けられました。Mozillaにも、Firefox拡張機能を公開する開発者向けの同様のルールがあります。

リスクを軽減する

ブラウザの拡張機能は最低限に抑えるべきです。拡張機能が現在安全であっても、気づかないうちにマルウェアで更新される可能性があります。Google ChromeとMicrosoft Edgeでは、chrome://extensionsページに移動して拡張機能のリストを確認できます。Firefoxでは、アドレスバーにabout:addonsと入力するか、メインツールバーメニューをクリックして「アドオンとテーマ」を選択します。絶対に必要のないものはアンインストールします。

特定の拡張機能を時々必要とするが、ほとんどのブラウジングを安全に保ちたい場合は、そのアプリケーションに限定された拡張機能を使用して2次ブラウザをインストールすることもできます。一部の拡張機能には、代替手段として同様の機能を備えたWebサイトもあります。たとえば、拡張機能をインストールして、訪問するすべてのページを記録する可能性を許可する代わりに、GrammarlyのWebアプリにテキストをコピーして貼り付けて、スペルや文法の間違いをチェックすることができます。これは不便で時間がかかりますが、はるかに安全です。