ブラウザ拡張機能(プラグインとも呼ばれる)は、ウェブブラウザに能力や機能を追加する小さなソフトウェアアプリケーションです。 Google Chrome は世界で最も広く使われているブラウザであり、インターネットの危険性から自分自身とチームを守るために、安全な習慣を実践することが重要となります。
Chrome の拡張機能をインストールすることで、以下のようなメリットがあります:
- 生産性の向上
- セキュリティの強化
- 仕事の質の向上
Chrome 拡張機能は便利かもしれませんが、オンライン上の脆弱性を高め、あなたやあなたのチームをサイバー攻撃の危険にさらす可能性があるのでしょうか? このブログでは、安全なブラウザ拡張機能のみを確実にダウンロードする方法を提案します。
ブラウザの拡張機能は安全なのか?
ブラウザの拡張機能をインストールする際の一つの危険性は、それらがユーザーの個人情報にアクセスを要求することです。このことは、拡張機能がパスワードを盗む可能性があるかどうかという疑問を生じさせます。基本的に、拡張機能はデフォルトでユーザーの情報を盗む能力を持っていません。しかし、ダウンロード時にさまざまな許可が求められることがあり、これを承諾することで、拡張機能に機密情報へのアクセス権を与えるリスクが生じます。
なので、安全とは言い切れません。
例えば、あなたがブラウザで自動入力してくれる機能を使っているとしましょう。便利な一方、ブラウザに保存している大事な情報にアクセスされてしまう可能性があります。
もしそのアプリケーションの開発者が、悪いことを企んだら、この情報を利用してユーザーデータを盗み出し、攻撃されやすい状態になります。
過去にあった危険なブラウザ拡張機能の事例
ブラウザの拡張機能は便利な反面、危険な場合があります。みなさん、偽物のAdblockが出回った事例をご存知でしょうか。このようにChromeの公式の拡張機能ダウンローダーからダウンロードをしても危険な場合があります。
そこで、過去にあったAdblockを始めとする、危険なブラウザ拡張機能を紹介します。
偽物のAdblock Plusの拡張機能
2017年に発覚したAdblock Plusの事例では、Google Chromeのウェブストアで偽の「Adblock Plus」拡張機能が配布され、多くのユーザーを騙しました。この偽物は、正規のAdblock Plusを真似て作られており、37,000人以上のユーザーにダウンロードされました。しかし、本来広告をブロックする機能を持つはずのこの拡張機能は、実際には追加の広告を表示するという悪意のある行為を行っていました。
Web Developer Chrome拡張機能ハッキング事件
2017年に起こったWeb Developer Chrome Extension Hackでは、広く使用されていた「Web Developer」拡張機能がハッキングされるという事件がありました。この際、バージョン0.4.9に悪意あるコードが挿入され、この改ざんされたバージョンはユーザーのブラウジング情報を外部のサーバーに送信するようになっていました。これにより、ユーザーのプライバシーとセキュリティが大きく脅かされたのです。この事件は、拡張機能がいかに簡単にハックされる可能性があるか、また、そのようなハッキングがユーザーのデータを危険に晒すことを明らかにしました。
Stylishの拡張機能
2018年、ウェブサイトの外観をカスタマイズするための人気の拡張機能「Stylish」について、ユーザーのブラウジング履歴を収集していたことが判明しました。この発見は、ユーザーのプライバシーに対する大きな侵害として捉えられ、結果としてMozillaとGoogleは彼らのプラットフォームからこの拡張機能を削除しました。Stylishのこのような行為は、ブラウザ拡張機能がどのように個人データを収集し、ユーザーのプライバシーを侵害する可能性があるかを示す明確な例です。
安全な Chrome 拡張機能を確保するためのベストプラクティス
偽バージョンの開発者に悪意があったかどうかは不明ですが、ユーザーは自分のデバイスにインストールするアプリケーションについて理解する必要があります。 以下のベストプラクティスに従って、お使いのブラウザが増加するセキュリティリスク直面しないようにしましょう。
Chrome ウェブストアからダウンロードする
Google Chrome の拡張機能を Chrome ウェブストアから直接ダウンロードしましょう。 Chrome ウェブストアにはAdblockなどの偽の拡張機能が出回ってはいますが、Google は拡張機能を一般に公開する前に審査しています。知らない個人のサイトからダウンロードすると、偽物を簡単に掴まされてしまう可能性が高いので、ウェブストアであればより安全性が高まります。
Chrome ウェブストアからダウンロードする場合は、以下を確認してください:
- 最新バージョンをダウンロードする – 古いバージョンはサイバー攻撃に対して脆弱な場合があります。
- 慎重に選ぶ – ダウンロードする拡張機能が多ければ多いほど、攻撃対象が大きくなります。 ダウンロードする数を制限して、利用可能な攻撃のベクトルを減らしましょう。 使わなくなった拡張機能は削除してください。
開発者を調べる
ブラウザに拡張機能をダウンロードする前に、開発者を調べ、その作成者が正当なものであることを確認してください。 以下は、開発者が正当なものであることを確認する上で役立つ兆候です:
- ウェブサイト、ソーシャルメディア、その他のチャンネルを完備している。
- 自社サイトの情報が、Google ウェブストアの謳い文句と一致している。
- 他にも正当で信頼できる拡張機能を作成している。
- 拡張機能の一貫したアップデートを公開している。
説明と許可を読む
偽の AdBlock Plus のスクリーンショットの画像に見られるように、偽の拡張機能は、より多くの聴衆を惹きつけるために、説明文をキーワードで埋めることがあります。 そうではなく、説明文にその拡張機能に関連する情報が含まれているということを確認してください。
ダウンロードされると、拡張機能は特定の許可を付与するよう要求します。 その許可をよく確認し、自分の情報を追跡したり、余分なデータを共有するよう要求するような拡張機能をダウンロードするときには注意してください。
すでにダウンロードした拡張機能で、アップデートされたバージョンが新たに許可を要求する場合、何故なのか考えてみてください。 その要求を正当化できない場合は、ブラウザからその拡張機能を削除して、別のものを探した方がよいかもしれません。
レビューを読む
レビューは、拡張機能がダウンロードする価値があるかどうかを判断するための素晴らしい方法です。 レビューを読むと、その拡張機能をすでにデバイスにインストールした他のユーザーからの情報が得られます。
レビューを読むときは、偽のレビューに注意してください。 偽のレビューはたいてい以下のようになっています:
- 非常に感情的 – レビューがあまりにも肯定的である場合、そのレビュアーが企業と密接な関係を持っているかもしれないということを示唆しています。 レビューが過度に否定的である場合、レビュー者が競合他社と密接な関係にある可能性をがあることを示唆しています。
- 短すぎる – 製品やサービスのレビューをする人の多くは、何か言いたいことがあるはずです。 そうでなければ、レビューを残さないでしょう。
- 確立されていないレビュアーによって書かれている – レビュアーの詳細を確認しましょう。 プロフィール写真、レビューの履歴や名前がない場合、偽のレビューを書くためだけにアカウントを作成した可能性があります。
アンチウイルスソフトのインストール
ウイルス対策ソフトは、拡張子の悪意あるコードを検出することができるため、追加のセキュリティ対策になります。 疑わしいブラウザ拡張機能をダウンロードした場合、ウイルス対策プログラムが通知して、デバイスからすぐに削除するように促してくれます。
Chrome の拡張機能を管理する方法
もしアクセス可能にしている許可が不明であれば、オンライン上で自分の身を守るのに、拡張機能を管理して余分なアクセス権を削除するのが良いでしょう。 Chrome の拡張機能を管理するには、以下の手順を実行してください。
- Chrome を開きます。
- ブラウザの右上にある縦 3 つの点 > その他のツール > 拡張機能をクリックします。
- これで、お使いのデバイスにすでにインストールされているすべての拡張機能が表示されます。
- 特定の拡張機能の詳細情報を表示するには、「詳細」をクリックして、どのようなアクセス権が与えられているかを確認します。
- 拡張機能の中で、許可を取り消すか提供するかのいずれかのスイッチを切り替えることができます。
拡張機能のインストール、管理、アンインストールの方法については、Chrome ウェブストアのヘルプを参照してください。
Chromeの拡張機能に関するよくある質問
Chrome の拡張機能をインストールするには?
Chrome ウェブストアにアクセスして、Chrome 拡張機能を検索してインストールします。 ご希望の拡張機能を選択し、「Chrome に追加」をクリックするだけです。
拡張機能を使用するには、Google アカウントが必要ですか?
いいえ、拡張機能を使用するためには Google アカウントは必要ありません。 Google Chrome ブラウザがコンピュータにインストールされている必要があります。
まとめ:Keeper のChrome拡張機能を使用でパスワードを安全に守ろう
Keeper® パスワードマネージャー & デジタルボルトの Chrome 拡張機能 を使用すれば、安全でセキュアにチームのデバイスにセキュリティのレイヤーを追加できます。 60 万人以上のユーザーと 8,000 件のレビューが寄せられているので、ゼロ知識暗号化でクレデンシャルが保護されていることを確信できます。 ブラウザ拡張機能の使用方法については、当社の資料ポータルをご覧ください。