権限に注意⁉ブラウザのアドオンを使うときに気を付けること

ブログ

2017.11.14 その他

権限に注意⁉ブラウザのアドオンを使うときに気を付けること

サイト閲覧をより便利にしてくれるブラウザの「アドオン」。

私は気軽に取り入れられ、作業の効率化が図れるアドオンが大好きです!

しかし、気を付けなければいけません。

アドオンの中には、悪意をもって個人情報を抜き取るものも多く存在します。

今回は、そんな危険性を手軽にチェックする方法をまとめてみました!

 

 

その1「まずは権限をチェック」

Chromeを例にとると、
Googleはアドオンの権限に関して、どれくらい危険なものかを以下のページでまとめてくれています。

アプリや拡張機能によりリクエストされる権限 – Chrome ウェブストア ヘルプ

しかし、「危険度高」の権限があるからと言って全てが悪いアドオンではありません。

例えば、有名なサービスの「Evernote」や「Pocket」のアドオンは、「危険度高」に分類される「パソコンと閲覧したウェブサイト上のすべてのデータ」を要求します。

「後で読む」系のサービスを動かす際にはどうしても常に閲覧しているページを読み取らせる権限が必要となるためです。

またChromeは「権限」に関してかなり大雑把で、細かい権限要求ができない作りになっています。

結果、とりあえず大きい権限を求めるように設計する人も多くいるようです。

 

 

その2「ストアのレビューをチェック」

悪意のあるアドオンには悪い噂が立つものです。

全部はチェックしていられませんし、多くの人が高評価をつけていたアドオンでも更新時にマルウェアが仕込まれた例もあります。

あくまで参考程度に。

 

 

その3「ブラウザ名+”アドオンの名前”+危険」でGoogle検索してみる

今回の記事の中で最も現実的かつ手軽でオススメなのが、この方法です。

ネット世界には、常に最新かつ大量の情報が追加されていきます。

これを使わない手はありません。

私の場合、「危険」というワード以外でも以下のようなキーワードを使って調べるようにしています。

・セキュリティ
・問題
・ウイルス
・マルウェア
・個人情報
・脆弱性

検索ワードにブラウザ名を入れるのは、同じ名前のアドオンでも、ブラウザによっては作者が違うことがよくあるからです。

単純に、アドオン以外に関する検索結果をを取り除くためでもあります。

実際に引っかかった事例がこちら

ブラウザのアドオン『Stylish』検索結果

Stylish』という、「任意のサイトに任意のCSSをあてられる」ことで有名なアドオンを検索した結果です。

※アドオン名を””で囲っているのは、名前にスペースを含むアドオンの場合でも検索エンジンに1つの単語として認識させるためです。

本当は海外で開発されているアドオンに関しては、英語で検索→英文記事をチェックが望ましいのですが……英語が得意な方はぜひ

 

 

その4「コードをチェック」

これは少しハードルが高いかなと。

なので、コードを公開しているかどうかを判断の基準にしてみると良いと思います。

悪意のあるアドオンを作った人は、まずわざわざ目論見をバラそうとはしないでしょう。

コードを公開している場所は人によってそれぞれですが、Githubで公開している人が多いように思えます。

Github+”アドオン名”」などで検索してみましょう。

 

 

その5「更新時にも注意」

Chromeのアドオンは、導入後に機能改善や修正などの理由で自動更新がされることがしばしばあります。

アドオンが新たな権限付与を求めてきた場合は、その旨がブラウザ上で通知され、
ユーザーが許可を出すまで一時的にアドオンが無効になります。

この際、「改善されるなら……」と安易に有効にしてはいけません。

過去には
「アドオンが買収され、プライバシーポリシーを無告知で変更し閲覧履歴を収集するようになった」
「開発者のChromeアカウントが乗っ取られ、不正なコードが仕込まれた」
などの事件もありました。

前者でいえば、先ほど「その3」で例に挙げた『Stylish』、後者でいえば『Web Developer』(Web開発用アドオン)などがそれにあたります。

※前者は「個人を特定できない形で情報を収集する」とされており、後者はすぐに修正版に自動更新されています

新しい権限を求められた場合は面倒くさがらず、もう一度調べてみましょう。

 

 

おわりに

以上、いかがでしたでしょうか?

ブラウザのアドオンはとても便利ですが、入れれば入れるだけセキュリティリスクが高まったり処理が重くなったりする面もあります。

「会社で先輩が使っていたから」、「エンジニアの人が使っていたから」、などと安心してはいけません。

人によっては、「個人が特定されない範囲での情報収集ならいいんじゃない?」という人や「重要性の高いサイトへのログインはアドオンの入っていない別のブラウザで見ている」なんて人もいます。

ほんの2~3分の作業です。

今回の方法に関しては、フリーソフトを導入する際にも使えるものかと。

みなさん、よいアドオンライフを!

CONTACT
お問い合せ・お見積りはこちらから
  • 03-6279-3013 お問い合わせは 月~金 10:00~19:00

  • メールでのお問い合せはこちら