ブラウザの拡張機能に要注意

Chrome, Firefox, Safari, Edgeといったブラウザには多くの拡張機能が用意されており、それらを活用することで、ネットから効率的に情報を引き出すことができます。
一方で、拡張機能はローカルに常駐する軽量マルウェアになり得るというリスクをはらんでいます。
また、サイト側の設計ミスで、パスワードやクレジットカード番号などのプライバシー情報が拡張機能に丸見えになる場合があります。
OSのウイルス対策よりも盲点になりやすく、しかもユーザー自身が「許可」してしまうのが大きな問題です。

拡張機能が情報を盗む主な仕組み

悪意ある（または乗っ取られた）拡張機能は、次のような方法で情報を収集できます。

📌 過剰な権限の悪用

拡張機能は「閲覧中の全ページへのアクセス」「入力内容の取得」などを要求できます。
これにより、

入力したID／パスワード

クレジットカード番号

Webメールの内容

Cookie やセッショントークン

といった機密情報を取得可能です。

📌 DOM監視・キーロギング

表示中のページを書き換えたり、フォーム入力をフックしてリアルタイムで外部サーバへ送信します。

📌 Cookie・セッションの窃取

ログイン状態を示すCookieを盗むことで、パスワードなしにアカウントを乗っ取ることもあります。
Cookie やセッショントークンには、一度ログインしたサイトに対するログイン状態を継続するためのセッションキーが格納されていることがあります。このキーを読み出され、悪意のある第三者のところへ送信されてしまうと、パスワードが漏れていなくても、あなたをなりすましてログインできてしまいます。ECサイトや決済サイトを利用する方は要注意です。

📌 正規拡張の“後乗り型”悪用

最初は無害な拡張として配布され、ユーザーが増えた後のアップデートで悪意あるコードを混入させるケースもあります。悪意のある第三者が、オリジナルの開発者から拡張機能を買い取ることもあるので、拡張機能のバージョンアップの際には作者が同じであることを確認しましょう。

実際に起きた事例

📌 代表的なパターン

人気の広告ブロッカーやPDF系拡張が、途中で開発者交代 → スパイウェア化

数百万ユーザー規模の拡張が、閲覧履歴や検索ワードを収集し広告業者へ転売

セキュリティ系を装った拡張が、銀行サイトの入力フォームを監視

特に Google Chrome 向けの拡張が配布されている Chrome Web Store では、過去に何度も大規模削除が行われています。また、Mozilla Firefox のアドオンストアでも、類似の問題が報告されています。

📌 共通点

便利そう

評価が高い

利用者が多い

という理由だけで導入されていた点です。

サイト側の設計ミスにより機密情報が盗み見される

ブラウザの拡張機能を多数インストールしていると、パスワードやクレジットカード番号などの個人情報が丸見えになるリスクがあります。

これは拡張機能側の問題ではなく、ログインフォームなどのパスワード入力フィールドを暗号化せずにプレーンテキスト（そのままの文字列）でHTML内に保持しているサイトがかなりの数にのぼっているる現実があるためです。
たとえば、拡張機能に「ページのデータ読み取り」権限を与えていると、その権限でユーザーの入力した機密情報が盗まれてしまうリスクが高まります。

多くの拡張機能は悪意があるわけではありませんが、公式ストアに登録されている拡張機能の約12.5％がユーザーデータを見る権限を持っているとも報告されています。実際にデータ窃取可能な拡張機能を作成して、ブラウザベンダの審査を通過させることができたといいます。

この問題は拡張機能だけでなく、サイト側の設計にも原因があります。本来、パスワードはハッシュ処理などで安全に扱うべきですが、プレーンテキストとして残っているサイトが多いこと自体が根本的な脆弱性です。

From ********* to EZacces$! Your browser extension could grab your password and sensitive info, 2023-10-27, University of Wisconsin–Madison

現実的な対策

📌 個人ユーザー向け

拡張は最小限に→入れている数が多いほど攻撃面が広がります。
権限を必ず確認→「全サイトの読み取り」などを要求する理由が妥当かチェック。
開発者と更新履歴を見る→突然の開発者変更・最近の低評価レビュー増加は危険信号。
使っていない拡張は削除→無効化ではなく“削除”しましょう。
パスワード管理はブラウザ任せにしない→専用パスワードマネージャを利用しましょう。

📌 企業・組織向け