インターネットブラウザの拡張機能(アドオン)を使っている人は多いと思います。便利な追加機能ですが、安全性に懸念があることを知っている人は意外と少ないと思います。
本記事では、アドオン使用時の注意事項とリスク回避方法を紹介します。デジタル環境のリスクを回避するために重要な内容ですので、ぜひ最後までご覧ください。
ブラウザ拡張機能とは?
ブラウザ拡張機能(アドオン)とは、ウェブブラウザに機能を追加できる軽量ソフトウェアのことです。ChromeやIE(インターネット・エクスプローラ)などの一般的なウェブブラウザに追加可能で、その種類は多岐に渡ります。
一般的なものを以下にまとめてみました。
- Google翻訳
- Notta(音声の文字起こし機能)
- DeepL(AI搭載の翻訳ソフト)
- Grammarly(英文校正アドオン)
- 各種動画保存ソフト
文字や音声を扱うものが多く、配信動画などを保存可能にするものも人気があります。生産性向上に効果抜群なため、個人用・仕事用を問わず幅広く有用な機能です。
ブラウザ拡張機能の安全性
使いこなせると便利なブラウザ拡張機能ですが、アドオンを介してウイルスに感染してしまうケースも少なくありません。公式ストア以外からダウンロードする場合はなおさらで、最悪の場合は個人情報の流出を招くこともあります。
ハッカーにとって、アドオンはユーザーが見落としやすい「抜け穴」のようなものです。ハッキング被害には様々な種類がありますが、代表的なものは以下のとおりです。
- 機密情報の漏洩
- ウイルスへの感染
- アカウント乗っ取り
- パスワードの盗難・改ざん
- コンピュータシステムの破壊
ブラウザのプロバイダもこうしたリスクを認識しており、アップデートや新規アドオンのチェックなどを通して対策を重ねているようです。しかし、対応が後手に回ることも多く、通常の範囲内でアドオンを使用していたのにハッキングの被害に遭ったというケースも報告されています。
ユーザー数が最も多いとされているChromeブラウザは、拡張機能のほとんどが「高リスク」とされているchrome.webRequest APIを使用しています。ハッカーはこうした侵入経路を利用してパソコンにアクセスし、ログイン情報などの個人情報を盗み出すことが多いようです。
ブラウザ拡張機能のリスク要因
ハッキングという観点から考えてみると、ブラウザ拡張機能には次のリスク要因があると言えます。
- アドオンの開発者が拡張機能にマルウェアを搭載すること
- すでにウイルスに感染しているパソコンにさらなる脆弱性を提供すること
- 拡張機能が侵入経路となりウイルスに感染すること
- ソフトウェアが通常どおり動作せず、意図せぬ形でハッキングを許してしまうこと
このうち、最初の項目は「公式ストア経由でダウンロードする」ことで大方対処できると言えます。大手ストア(Firefox Add-Onsなど)は公開されるアドオンに対して、マルウェアの有無などセキュリティ面のチェックを行っています。
ただし、リスクが完全にゼロになることはありません。監視の目をすり抜けたり、個人が運営するウェブサイトなどからダウンロードすると、有害なウイルスに感染してしまう恐れがあります。
また、2.のようにすでにウイルスに感染しているパソコンにさらなる脆弱性をもたらす危険性もあります。「トロイの木馬」などの潜伏型のウイルスやスパイウェアを抱えている場合、知らずしらずのうちにデータ漏洩の危険性が高まっていることもあり得るでしょう。
「無害」な拡張機能にも注意
3.や4.のように、「アドオン自体は無害だが、ハッカーやウイルスに侵入経路を提供してしまう」というケースもあります。ブラウザの拡張機能はインターネット接続時に使うことが多いため、ウェブサイトと相互作用するような機能(ダウンロード補助機能など)は取り扱いに注意が必要です。
アメリカのSaaS会社「Spin.AI」が30万のアドオンを対象に実施した調査では、有害なJavaScriptを実行したり、個人情報を直接第三者に送信できるアドオンも確認されました。
有害なアドオンが多数存在することは、ブラウザの使用者にとって盲点とも言えるでしょう。上記に挙げた例の他にも、次のような動作を実行するソフトウェアが確認されています。
- ブラウザ履歴の監視
- キーストロークの追跡
- スクリーンショットの取得
- 偽のアップデートの実行
- 企業アカウントの乗っ取り
アドオンが企業にもたらすリスク
企業がブラウザ拡張機能に対する対応を怠っている場合、放置期間に応じて日増しにリスクが高まっていくと言えます。リモートワークが定着する中、従業員が自由にダウンロードできるアドオンは管理の難しい脅威だと言えるでしょう。
ほとんどの企業は、インターネットのセキュリティ対策を従業員一人ひとりの裁量に委ねています。これは雇用市場にサイバーセキュリティ担当者が不足しているためで、手探りで対策している企業が多いのが現実です。
通常の範囲内で仕事をしている場合はまだマシですが、従業員が違法なウェブサイトにアクセスするなどした場合、アドオンを経由して会社全体にウイルスが広まってしまうこともあり得ます。
アドオンによるリスクを避けるためにも、定期的に研修を実施するなどして有効な防御策を定着させることが重要です。インターネットブラウザをよく使う企業は、次の項目でブラウザ拡張機能の安全な使い方もチェックしてみてください。
ブラウザ拡張機能の安全な使用方法
盲点となりがちなブラウザ拡張機能のセキュリティですが、以下のような使い方をすることでリスクを最低限に留めることができます。
公式ストアからダウンロード
アドオン経由でウイルスに感染する場合、最初の感染経路となるのがダウンロードです。拡張機能は必ず公式サイト(Chromeストアなど)からのみダウンロードし、第三者が運営するサイトは使わないようにしましょう。
評価を確認
レビューを確認するのも重要です。レビュー操作がある可能性もありますので、平均点(4.5/5などのスコア)だけでなく実際のレビュー文も確認してみると良いでしょう。また、開発者のウェブサイトをチェックしてみるのも有効です。
アクセス要求をチェック
スマホを使っていて「位置情報」や「ログイン情報の保存」を求められることがあります。拡張機能も同様で、何らかの情報や機能に対するアクセスを要求してくるものが存在します。許可する前に、アクセス範囲を確認するようにするとより安全です。
定期的な更新
ブラウザやOSの定期的にアップデートも有効です。既存の脆弱性を修正できるので、自動アップデートの有無に関わらずアップデート情報をこまめに確認すると良いでしょう。偽のアップデートや、アップデートによる不具合の発生には注意が必要です。更新後に問題が起きたという場合は、プロバイダのウェブサイトに行くと不具合に関するレポートをチェックできます。合わせてファイアウォールの設定を定期的に見直すことも重要です。
ウイルス対策ソフト
ウイルス対策ソフトは「最強のセキュリティ対策」とも言えるツールです。ローカルデータだけでなく、ブラウザやクラウドサービスに対してウイルスチェックできるものも存在します。拡張機能がマルウェアを搭載している場合でも、「ウイルスバスター」などを用いることでパソコンが安全かどうかを確かめることが可能です。
おすすめのウイルス対策ソフトには、以下のようなものがあります。
- ウイルスバスター(トレンドマイクロ社)
- ノートンアンチウイルス(ノートンライフロック社)
- カスペルスキーVPN&セキュリティ(カスペルスキー社)
- マカフィープラス(マカフィー社)
- ソースネクスト「ZERO」(ソースネクスト社)
ブラウザ拡張機能を理解して、アドオンを安全に使いましょう
ブラウザ拡張機能は潜在的なリスクがありますが、適切な対策を講じることで被害を未然に防ぐことができます。サイバーセキュリティを向上させるには、信頼できるプロバイダが提供するツールを正しい方法で利用することが重要です。
企業にとっては死活問題とも言えますので、いますぐウイルス対策ソフトを導入するなどしてセキュリティ強化に努めましょう。