Chromeの拡張機能(アドオン)は、利用もおすすめも慎重に。リスクを十分に知っておくこと
4月になると、新社会人向けの「おすすめのChrome拡張機能(アドオン)」情報がいろいろ回ってきます。確かに、Google Chromeの拡張機能はとても便利です。私もいくつかの拡張機能を日常的に使っています。
ただ、Chromeの拡張機能は、インストールの手軽さからは感じられないほど、悪用が可能なサービスです。また今は安全でも、時間が経ってから危険なサービスになった事例もあります。
私自身は、自責で使うのはともかく、不特定多数の方にアドオンを紹介するのは控えています。
おすすめする方も利用する方も、十分にリスクとリスクを軽減する方法を理解しておきましょう。
拡張機能の悪用ケース:キーロガー
・拡張機能は、あなたのパスワードやログイン情報を入手する「キーロガー(キーボードの操作を監視して記録するソフトウェア)」として働く可能性があります。実のところキーロガーは、あなたが入力するものすべてをトラッキングできるため、クレジットカード情報や金融関連情報などの機密データが著しく脅かされます。
・悪意のある拡張機能は、あなたの検索トラフィックを別の方向へ変えることができます。
危険な拡張機能は、マルウェアやアドウェア、トロイの木馬などのウイルスをダウンロードしてしまう可能性があります。
拡張機能の中には、過去の閲覧から情報を集めてサードパーティに流したり、広告主に売ったりするものがあるかもしれません。
大多数の拡張機能は、自動的に更新されます。つまり、信頼できる拡張機能であっても、乗っ取られて、あなたが気づかないうちにデバイス上で更新されてしまう危険性があります。
拡張機能の悪用事例:マイニング・広告
実際に悪意あるコードが動作しているのを確認することはできなかったので、開発者が多大な努力を費やして悪意あるコードを難読化した目的は不明ですが、パラント氏は「おそらく広告を仕込むか、仮想通貨のマイニングコードを挿入するなどして、Chromeウェブストアのポリシーで禁止されている『拡張機能の収益化』をするためではないか」と推測しています。しかし、これはあくまで予想で、理論的にはどのようなことでも可能になっていました。
途中で悪質な拡張機能に変貌した事例
ある多くの方が利用していた拡張機能の事例です。別の方がこのアドオンの管理を引き取り、そのアドオンを悪用して、バックドアを仕掛けて、個人情報や通信を抜き取っていた事例が発覚しました。
⚠️⚠️【注意喚起】⚠️⚠️
— Torishima / INTP (@izutorishima) February 28, 2023
今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください!!
ページ遷移すると Cookie からアクセスした URL から何からすべて外部サーバーに送られる凶悪スパイウェアになってます 怖過ぎる…😇😱 🔽https://t.co/BjqyruuU3u pic.twitter.com/rVZJpGKwhc
この拡張機能はもともと無害だったが、バージョンアップにより情報を盗み取る処理が加えられたようだ。「Chrome ウェブストア」のレビューによると、今月の初めからスパイウェアではないかとの報告が投稿されている。「Chrome ウェブストア」では一定の基準を満たした拡張機能に与えられる「おすすめ」バッジが付与されており、巧妙に審査をすり抜けた格好だ。
人気の拡張機能だから安全とは限らない
McAfeeは8月29日(米国時間)、「Malicious Cookie Stuffing Chrome Extensions with 1.4 Million Users|McAfee Blog」において、インストール数の合計が140万回を超える5つの悪意のあるGoogle Chrome拡張機能を発見したと伝えた。これらの拡張機能はNetflixビューア、Webサイトクーポン、Webサイトのスクリーンショットを撮るアプリなどを装っていたという。
一度入れた拡張機能を入れっぱなし・放置していると言うケースはかなり多いです。
またアドオンはインストールするのがとても簡単な反面、悪い面もあります。例えば、インストール型のソフトであれば、ユーザーは警戒して、評判やトラブルを検索して確かめます。
しかし、拡張機能は数回のクリックで利用を始められます。データの面倒なダウンロードやインストールは不要です。「Googleが頒布・審査しているから」と安心もできます。
こうした手軽さもあり、拡張機能のリスク面はあまり意識されません。なんとなく全権限を許可してしまっています。また、一度入れたアドオンを使っていなくても放置することを多いです。
つまり、あなたの閲覧をトラッキングして、パスワード情報を入手できますし、閲覧履歴をもとに、カスタマイズした広告を表示させることも可能なのです。
ただし、拡張機能が自動的にすべてのアクセス権を得ているわけではありません。たいがいは、私たちが故意あるいは無意識に許可を与えているのです。
拡張機能を使うための2つの心構え
信頼性を確かめる
拡張機能の製作者を確認したり、評判を確かめたりすることが大事です。例えば、それが大きい会社のやってるものだったら悪用されるリスクはかなり少なくなるでしょう。詳しい方に事前に聞いておくのもおすすめです。
逆に、個人がやっている拡張機能であれば、一定の警戒が必要です。特に海外製のものは安全性を確認したり、評判をチェックするのが難しいため、あまりオススメはできません。
使うとしても、簡易的な権限に留めたり、利用の制限をかけておくべきでしょう。拡張機能は、ユーザーがその拡張機能をクリックしたときだけ機能を使ったり、特定のウェブサイトだけで実行することも可能です。
拡張機能を管理する
1. パソコンで Chrome を開きます。
2.右上のその他アイコン [拡張機能] [拡張機能を管理] を選択します。
3. 必要な変更を行います。
・オンまたはオフにする: 拡張機能を有効または無効にします。
・シークレット モードでの実行を許可する: 拡張機能の [詳細] を選択し、[シークレット モードでの実行を許可する] をオンにします。
・破損した拡張機能を修復する: 破損した拡張機能を見つけて [修復] を選択し、[拡張機能を修復] を選択して確定します。
・サイトへのアクセスを許可する: 該当の拡張機能の [詳細] を選択し、[アクセスしたウェブサイト上にある自分の全データの読み取りと変更をこの拡張機能に許可します] の横で、この拡張機能のサイト アクセス権を [クリックされた場合のみ]、[特定のサイト]、[すべてのサイト] のいずれかに変更します。
2.定期的に拡張機能の整理・大掃除をする
使っていない拡張機能は、そもそも削除しましょう。使っていないアドオンや放置されているアドオンは製作者が変わったりすると、何に使われるかわかりません。エンジニアではないユーザーには、そういった通信やセキュリティリスクを検知・理解するのは難しいです。
拡張機能は悪用以外にも、通常のブラウザの操作にも不具合をもたらすデメリットもあります。
拡張機能をアンインストールする
アドレスバーの右側で、拡張機能のアイコンを探します。アイコンを右クリックして、[Chrome から削除] を選択します。
拡張機能のアイコンが表示されない場合:
パソコンで Chrome を開きます。
右上のその他アイコン その他 次に [拡張機能] 次に [拡張機能を管理] を選択します。
削除する拡張機能で [削除] を選択します。
[削除] を選択して確定します。
というわけで、あまり語られない拡張機能の危険性の紹介でした。
拡張機能を使うなという意味ではないです。
まず危険性やリスクを理解した上で、「おすすめの拡張機能(アドオン)」を十分に吟味して使うようにしてください。
仕事に支障が出たり、他の人に迷惑をかけてしまっても、おすすめをしてくれた人はその責任をとってくれるとは限りません。
もし、おすすめの拡張機能を見つけたら、その人が「信頼できる人やサービス」か「詳しい人はなんと言っているか」を念のために確認しましょう。
よく知らない人のおすすめだったり、あまり信頼性の高くない人やサービスのおすすめはあまり採用しないほうがいいと思います。
また、おすすめする側も、「このサイトいいよ」位の軽い気持ちでのおすすめすると、思わぬトラブルを招く可能性があるので、十分にご注意ください。
いつもサポートありがとうございます!サウナの後のフルーツ牛乳代か、プロテイン代にします。「まあ頑張れよ」という気持ちで奢ってもらえたら嬉しいです。感謝。