Googleのウェブブラウザ「Chrome」には、安全チェックという優秀なセキュリティ機能が内蔵されていますが、Chrome ウェブストアで手に入る無数の拡張機能をインストールするときには用心しましょう。

安全なものが大半を占めているとはえ、これらの拡張機能が実は「小さなマルウェアのミサイル」であり、拡張機能のフリをしてブラウザに潜り込み、攻撃をしないとも限らないからです。

Chrome拡張機能で特に要注意なことが、デベロッパー(開発事業者)の変更です。デベロッパーが変わると必ず悪いことが起きるわけではありませんが、以前のデベロッパーがユーザーデータの扱いに気をつけていたとしても、新たなデベロッパーが同様である保証もありません。

そこで活用したいのが、拡張機能「Under New Management」です。

拡張機能「Under New Management」の仕組み

Under New Managementは、シンプルなオープンソースの拡張機能で、Chrome版およびFirefox版が用意されています。

その機能は、使っているブラウザにインストールされている拡張機能のデベロッパーが変わったときに警告してくれるというもの。

自分で拡張機能をひとつひとつチェックする手間を省けるだけでなく、拡張機能を用いた偽装攻撃からも守ってもらえます。これは、多くのユーザーが無視(あるいは忘れて)しまいがちですが、現実に差し迫ったリスクです。

ユーザーがすべきことはインストール作業だけ。あとはUnder New Managementが、インストールされている拡張機能すべてについて、Chromeウェブストアに掲載されているデベロッパー情報が変わっていないか、定期的にチェックしてくれます。

Image: Saikat Basu

そのあとも、インストール済みの拡張機能のデベロッパーが変わった場合に警告してくれます。

さらに、これまでと違う点が見つかった場合には、ツールバーのUnder New Managementアイコンに警告の印として「赤いバッジ」が表示されます。

実は恐ろしい「拡張機能のデベロッパー変更」

この拡張機能を開発したMatt Frisbie氏は、Under New Managementのソースコードを置いているGitHubのページで、以下のように書いています。

拡張機能の開発者には、「人気のある拡張機能を売ってもらえませんか?」というオファーがひっきりなしに舞い込みます。こうした拡張機能が譲渡され、その結果、知らない間に潜在的リスクに晒されているとしても、多くの場合、ユーザーはそのことに気づきません。

デスクトップ版とAndroidデバイス版のChromeユーザーベースの規模を考えると、これは大きな問題になりかねません(2024年には、ユーザー数が34億5000万人になるとの推計もあります)。

この点についても、Frisbie氏は、The Registerの記事で次のように警告しています。

多くのユーザーを抱える拡張機能には、買い取りたいというオファーが大量に届きます。こうしたオファーを送ってくるのは、身元の特定が難しく、なおかつ買い取りの意図を明かさない個人がほとんどです。デベロッパーが変わったことをユーザーに通知する仕組みがあれば、デベロッパー変更にまつわるトラブルを避けられるはずです。

そのため、Under New Managementの目的はたった1つ。デベロッパー交代が起きたときにユーザーにそれを知らせ、「この拡張機能を使い続けるかどうか」について、ユーザーが情報に基づいた判断ができるよう手助けをすることです。

Chrome拡張機能を「インストールして放置」がダメな理由

こうした問題が起きることは稀ですが、現実に発生しているのも事実です。

Chrome拡張機能が悪意ある挙動を見せたケースは非常に多いので、インストール済みの拡張機能を定期的に見直すと良いでしょう。特に、インストールから時間が経っているものは要注意です。

アップデートの頻度についても、チェックする習慣をつけましょう。開発者がアップデートをあまりせず、放置状態になっている拡張機能は、セキュリティ侵害やデータ漏洩につながりかねません。

何よりも、信頼できる拡張機能を選ぶようにしましょう。

Chrome拡張機能の「おすすめ(Featured)バッジ」の事例
Screenshot: ライフハッカー編集部

具体的にいうと、「おすすめ(Featured)」バッジがついているものが安全です。なぜなら、このバッジはChromeのベストプラクティスにしたがっている拡張機能から、ChromeエディターがすすめるものにGoogleが付与しているバッジだからです。

さらに、念には念を入れて、安全に使える拡張機能であるかをチェックすると良いでしょう。

ほかにも、「Chrome extension source viewer」を使って、拡張機能のソースコードを見ることもできます。しかし、インストールした拡張機能について、いちいちソースコードをチェックするのは大変です。コードの内容をよく理解できない人ならなおさらでしょう。

私が知る限り、拡張機能のデベロッパー変更について自動で通知してくれるChrome拡張機能は、Under New Managementだけ。だからこそ、この拡張機能をChromeのセキュリティ確保のためにツールキットに加えておくことをおすすめします。

ノーコードでブラウザ上の作業を自動化!スプシの読み書きもお任せできるChrome拡張機能【今日のライフハックツール】 | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2402-lht-axiom-no-code/

Googleカレンダーの予定を最短で新規作成するChromeショートカット【今日のワークハック】 | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2303-create-google-calendar-events-with-these-new-chrome-shortcuts/

「Gmail時短術」3選|メール整理の負担を減らし、使いやすくなる設定は? | ライフハッカー・ジャパン https://www.lifehacker.jp/article/2404-gmail-management/

Source: Chrome ウェブストア(1, 2), Firefox Add-ons, GitHub, Backlinko, The Register