ブラウザの拡張機能は、多くの人が思っているよりもずっと危険です。これらのガジェットは、多くの場合、あなたがオンラインで行うすべてのことにアクセスできるため、パスワードを取得したり、ウェブ閲覧を追跡したり、あなたが訪れたページに広告を掲載したり**することが可能です。人気のあるブラウザ拡張機能は、怪しい会社に売られたり、乗っ取られたりすることが多く、自動アップデートによってマルウェアに変身することもあります。

過去にブラウザの拡張機能があなたを監視していたことを書きましたが、問題は改善されていません。今でも壊れている拡張機能が絶え間なくあります。

ブラウザの拡張機能が危険な理由

関連：Chrome拡張機能で「閲覧したWebサイトの全データ」を要求されるのはなぜ？

ブラウザ拡張機能はウェブブラウザ上で動作し、通常、閲覧するウェブページのすべての内容を読んだり、変更したりすることができる必要があります。

もし拡張機能が、あなたが訪れるすべてのページにアクセスできるのであれば、ほとんど何でもできるようになります。それはあなたのパスワードやクレジットカードの詳細をキャプチャするためにキーロガーとして動作することができ、**あなたが閲覧するページで広告、他の場所で検索トラフィックをリダイレクト、あなたがオンラインで行うすべてまたはそれらの事を追跡します。拡張機能が領収書やその他の小さなものをスキャンする必要がある場合、非常に危険なすべてのためにあなたの電子メールをスキャンするアクセス権を持っている可能性があります。

すべての拡張機能がこのようなことを行っているというわけではありませんが、非常に慎重になるべきでしょう。

googlechromeやmicrosoftedgeのような最新のウェブブラウザには、拡張機能の許可システムがありますが、多くの拡張機能は、正しく動作するために、すべてにアクセスする必要があります。しかし、1つのウェブサイトにアクセスするだけで済む拡張機能でも危険な場合があります。例えば、Googleのウェブサイトを何らかの方法で修正するには、Gugolにアクセスする必要があり、したがって、あなたの電子メールを含むGoogleアカウントにアクセスする必要があります。

これらは、単にかわいい、無害なガジェットではありません。これらは小さなプログラムで、あなたのウェブブラウザに多くのアクセスを持つため、危険です。あなたが訪れたウェブページにほんの少し手を加えるだけの拡張機能でさえ、あなたがウェブブラウザで行うすべての作業にアクセスすることを要求する場合があります。

セキュリティ拡張機能がマルウェアに変身する仕組み

googlechromeのような最新のウェブブラウザでは、インストールしたブラウザの拡張機能が自動的に更新されます。拡張機能が新たな許可を必要とする場合、お客様が許可するまで一時的に停止されます。しかし、そうでない場合は、新しいバージョンの拡張機能は、以前のバージョンと同じパーミッションで実行されます。という問題が発生することがあります。

2017年8月、非常に人気があり、広く推奨されている拡張機能「Chrome Web Developer」が乗っ取られました。開発者はフィッシング攻撃に巻き込まれ、攻撃者はウェブページに多くの広告を表示する新バージョンの拡張機能をアップロードしていました**。この人気のある拡張機能の開発者を信頼していた100万人以上の人々が、感染した拡張機能に行き着いたのです。これはウェブ開発者向けの拡張機能であったため、感染した拡張機能はキーロガーとして機能しなかったようであるなど、攻撃はより深刻なものになった可能性があります。

また、誰かが開発した拡張機能が多くのユーザーを獲得したが、必ずしも儲かったとは言えないケースも多い。あるデベロッパーに、大金を払って拡張工事をする企業が現れる。開発者が購入を承諾すると、新会社は拡張機能を**宣伝と追跡のために修正し、アップデートとしてChromeウェブストアにアップロードし、既存のすべてのユーザーは何の警告もなく新会社の拡張機能を使用するようになります。

これは、2017年7月にYouTubeをカスタマイズするための人気拡張機能「Particle for YouTube」で起こりました。過去にも多くの拡張機能で同じことが起きており、Chrome拡張機能の開発者は、拡張機能の購入の誘いをよく受けると主張しています。70万人以上のユーザーを持つHoney拡張機能の開発者は、かつてRedditで「何でも聞いてください」という投稿を行い、彼らが定期的に受けているオファーを詳しく紹介したことがあります。

乗っ取りや**拡張機能**と同様に、拡張機能もただ単に悪い知らせで、最初にインストールしたときに忍び寄ることもあります。

Chromeはその人気のために攻撃されていますが、この問題はすべてのブラウザに影響します。 Firefoxは許可システムをまったく使用しておらず、インストールしたすべての拡張機能がすべてのコンテンツにフルアクセスできるため、おそらくよりリスクが高いと思われます。(更新: 2017年にこの記事を書いた時点ではこの記述は正しかったのですが、現在FirefoxはChromeと同様の権限システムを備えています)。

リスクを最小化する方法

関連：ChromeやFirefoxなどのブラウザで拡張機能をアンインストールする方法

ここでは、安全性を確保する方法として、できるだけ少ない数の拡張機能を使用することを挙げます。あまり役に立たない拡張機能は、アンインストールしてください。インストールした拡張機能が壊れる可能性を最小限にするために、インストールした拡張機能のリストを基本的なものだけに減らしてみてください。

また、信頼できる会社の拡張機能のみを使用することも重要です。例えば、聞いたこともないような人が適当に作ったカスタム YouTube 拡張機能は、マルウェアになる素質があります。しかし、Google社が作った公式のGmail通知プログラム、Microsoft社が作ったOneNoteメモ作成拡張機能、LastPass社が作ったパスワード管理拡張機能は、ほぼ間違いなく数千ドルで怪しい会社に売られることはないでしょう。

可能であれば、拡張機能に必要な権限も意識しておくとよいでしょう。例えば、あるWebサイトを変更できるとだけ記述した拡張機能は、そのWebサイトにしかアクセスできません。しかし、多くの拡張機能では、すべてにアクセスする必要があったり、安全性を確保したい非常に機密性の高いサイト（電子メールなど）にアクセスする必要があります。パーミッションは良いアイデアですが、ほとんどのものがすべてへのアクセスを必要とする場合、あまり役に立ちません。

確かに、その路線で行くのは良いことだと思います。以前は、「Webdeveloperの拡張機能は正規のものだから安全だ」と言っていたかもしれません。しかし、開発者がフィッシング攻撃に巻き込まれ、拡張機能が悪意のあるものとなってしまったのです。怪しい会社に内線を＊＊しないようにと信頼できる人でも、その人を頼りにしてセキュリティを確保しているのだということを思い知らされます。もしその人が間違いを犯し、自分のアカウントが乗っ取られるのを許してしまったら、結局はあなたがその結果を処理することになり、それはWeb開発者用の拡張機能に起こったことよりもずっと悪いものになる可能性があるのです。