【危険!?】Chrome拡張機能は安全ですか? | プログラマー月島優 AmbEditorPlus 公開中
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

プログラマー月島優 AmbEditorPlus 公開中

アメブロの標準エディタをカスタマイズする AmbEditorPlus(Chrome 拡張機能)を公開しています。

【危険!?】Chrome拡張機能は安全ですか?

AmbEditorPlus

 

Google Chrome拡張機能を使用するのは危険なのか?

便利な機能に隠された危険性
危険性を確認する方法について解説します。

 

素朴な疑問

そもそも拡張機能ってなに?

 Google Chrome、Edge、Firefox、Safariといったブラウザーに機能を追加することで、インターネットをより快適に使用できるようにする『後付けソフト』(以下、アドオン)のこと。ですので、各ブラウザーごとに、様々な拡張機能が用意されています。

拡張機能は、どこにあるの?

例えば、Google Chrome であれば、 Chrome ウェブストアにあります。

誰が作っているの?

 企業や個人が作っています。Google Chrome の場合は、Google に $5 を支払えば、特別な審査もなしに、誰でもディベロッパー(開発者)登録が出来ます。

個人がアドオンを配布する目的は?

 個人がわざわざ、時間と費用を使って、他の人のために何かをするのって、怪しくないかと思われますよね。有償のアドオンであれば、目的もはっきりしていますが、無料のアドオンは、怪しすぎます。って、AmbEditorPlus を無料配布している僕でも思います滝汗


 有料・無料、企業・個人問わず、中には個人情報収集のためのアドオンも存在します。

 

 でも、多くの開発者(僕も含め)は、ただ純粋に、プログラミングが好きで、自分の持っている技術を人に自慢したい照れっ言うのが本音かなと思います。

 

 特に、現在は Google Chrome 用のアドオンは、『有料配布が出来ない』・『公開済みの有料アドオンのバージョンアップも出来ない』状態ですので、お金儲けは出来ないですね。

隠された危険性

個人情報の収集

  • 閲覧履歴
  • ID・パスワード
  • クレジット情報
  • WEBメールの送受信内容

 上記は、一例です。その他にもブラウザー上で行っていることすべての情報を収集することが出来ます。

どんな被害が予想されるか?

  • 閲覧履歴により、趣味嗜好が分かり、それを利用した脅迫
  • ID・パスワードにより、SNS の乗っ取りや脅迫
  • クレジット情報により、クレジットカードの不正利用
  • WEBメールの送受信内容により、それを利用した脅迫

 ちょっと考えただけでも、ぞっとしますねガーン

すべてのアドオンが危険なのか?

 いいえ、そうではありません。アドオンを作成する際に、どこまでの機能を使用するのかをあらかじめ登録しています。その使用する機能によって、アドオンを公開申請する際の審査の基準が変わり、厳しい審査の場合は、公開が許可されないこともあります。

審査が通っていれば安全なのか?

 いいえ、それも違います。確かに審査は以前よりも厳しくはなっていますが、だからと言って、絶対安全と言う訳ではありません。

 

危険性を確認する

アドオンの詳細を確認する

 Google Chrome を例に手順を記載します。(下の例は、Google 自身が公開しているアドオン)

  1. 拡張機能を管理 ←をクリック
  2. 調べたいアドオンの『詳細』をクリック
  3. 詳細内容を確認

安全性に関わる項目

  • ビューを検証
  • 権限
  • サイトへのアクセス

項目の意味

ビューを検証

 『アクティブ ビューなし』が一番安全


 『バックグラウンドページ』の場合は、下記の『権限』を要確認


 『バックグラウンドページ(無効)』 Chrome のバージョンアップに伴って、安全性を考慮し、機能を無効にされている。

 

権限

 『連携するウェブサイトとの通信』は、個人情報を送信できる可能性がります。


 『コピーして貼り付けるデータの読み取りと修正』は、クリップボードを常に監視している可能性があります。


 『閲覧履歴の読み取り』は、閲覧履歴を読み取る可能性があります。


 『連携するネイティブ アプリケーションと通信』は、パソコンにインストールされているソフトを使って、パソコンそのものに影響を与えることが可能です。


 その他にも権限は沢山ありますが、そのアドオンに不自然な内容の権限があれば、使用を控えた方が無難です。

サイトへのアクセス

 『この拡張機能はサイトへのアクセスが追加されていません』が一番安全


 『以下のサイトで自動的にアクセスを許可する 』の場合は、サイトを限定しているため、そのサイト内のみでアドオンが動くことを意味します。
 ※AmbEditorPlus では、[https://blog.ameba.jp/*]となっていますが、実際には、[https://blog.ameba.jp/ucs/entry/srventryinsertinput.do](新しく記事を書くページ) と [https://blog.ameba.jp/ucs/entry/srventryupdateinput.do?id=xxx](記事を修正するページ)でしか機能しません。


 『アクセスしたウェブサイト上にある自分の全データの読み取りと変更をこの拡張機能に許可します』の場合は、そのアドオンが本当にすべてのサイトで動く必要がなければ、使用をすぐにでもやめることをお勧めします。

 

 

もし、皆さんがすでに拡張機能を使用しているようであれば、一度、確認してみては如何ですか?

 

 

記事を気に入って頂けたら

お願いします m(_ _)m

進研ゼミ 高校講座