Chrome拡張機能の危険性とWPSNIFFERの乗り換え先

この記事では、Chrome、FireFox、Edgeなどのブラウザ拡張の危険性と、公開停止となった「WPSNIFFER」の乗り換え先をご紹介します。

Chromeウェブストアで入手できるChrome拡張機能は、個人情報漏洩などのプライバシーリスクがあります。

最近公開停止となったWordPressテーマを調べるエクステンション「wpsniffer」を例に、安全な乗り換え先についてもお伝えします。

suya

Chrome拡張では閲覧データや操作データが収集されています。

なるほどくん

なるほど！だからPV数がバレるんですね。

 この記事を書いた人

suya
@suyasite

suya @suyasite

• 「マニュオン」運営者
• 「WP-Search」開発者
• 「ブロググ」開発者
• 「SEOキーワードツール」

• 「マニュオン」運営者
• 「WP-Search」開発者
• 「ブロググ」開発者
• 「SEOキーワードツール」

この記事を最後まで読めば、Chrome拡張の危険性と安全な乗り換え先がわかります。

ぜひ最後まで進めてみてください。

Chrome拡張機能の安全性

Chrome拡張は、ブラウザ機能を拡張して多彩な機能を実現するものです。

ただし、Googleが開発・提供しているわけではなく、第三者がChromeウェブストアで公開しているだけです。

果たしてChrome拡張は安全なのでしょうか。

何度も不正が発覚して拡張機能が削除されている

Chromeウェブストア掲載の際には、Googleによってセキュリティなどを審査されています。

ただし、あくまで最初の掲載時だけで、バージョンアップデート時まですべて審査されているわけではありません。

そのため、マルウェアやウイルスを仕込む事例が起こり、その都度Chromeウェブストアから削除される事態となっています。

suya

急に使えなくなった拡張機能は不正が発覚しています。

「この拡張機能は Chrome ウェブストアのポリシーに違反しています。」

Chromeウェブストアから拡張機能が削除されると、Chrome設定で「この拡張機能は Chrome ウェブストアのポリシーに違反しています。」と表示されます。

以下は、今回削除された拡張機能「WPSNIFFER」の例です。

suya

急に使えなくなって気づく人が多いです。

流出した個人情報の例

どのようなデータが抜かれるのか？については、過去の事例が参考になります。

拡張機能が収集した情報はブラウザの閲覧履歴の他に、GPSの位置情報やクレジットカード情報、オンラインショッピング履歴、クラウドサービスとそのデータ、納税申告書、家系図、遺伝情報、Facebookの写真、自動車の車両識別番号なども含まれていたとのこと。

（中略）

また、個人だけではなく企業も情報流出の被害に遭っていて、従業員の勤怠情報やプライベートLANの構造、クラウドプラットフォーム内の個人情報、監視カメラの映像などもNacho Analyticsで公開されていたとのこと。

引用元：Gigazine（2019年7月22日）

この事例では、GPSによる位置情報、クレジットカード情報、その他詳細な個人情報が収集・販売されていました。

個人だけでなく、法人企業もセキュリティの標的（ターゲット）になっています。

Avastは12月17日に公式ブログを更新し、同社のセキュリティ研究者がChromeとEdge向けの拡張機能配布サイトで、合計28個の悪意ある拡張機能を発見したことを報告しました。これらの拡張機能は、Facebook・Instagram・Vimeo・Spotifyなどのサイトからコンテンツをダウンロードできるようにする機能を装っており、被害を受けた可能性があるユーザーは最大で300万人に達すると推測されています。

（中略）

こうした一連の手口により、攻撃者が被害者から盗み出していた情報には、生年月日・メールアドレス・デバイス名・OS・使用しているブラウザとそのバージョン・IPアドレスなどが含まれていたことが判明しています。

引用元：Gigazine（2020年12月18日）

この事例では、生年月日やメールアドレスなどの個人情報が収集されていました。

よく使われるツールとして普及してから不正機能を追加されることが多く、被害人数が多くなることも特徴でs。

サイト閲覧データを収集・販売することも

ウイルスやマルウェアを仕込むまではいかなくても、サイト閲覧データを収集・販売しているブラウザ拡張は数多く存在するものと思われます。

なぜなら、サイト所有者以外は知り得ないはずのPV数（トラフィック）や滞在時間、リンクのクリック率などを公開しているWebサイトが存在するからです。

ここでは具体的なサービス名称に言及することは避けますが、Chrome拡張が常にサイト閲覧履歴や操作履歴を監視しているのが実態となっています。

なるほどくん

あのマーケティングツールですか？

suya

おそらく合っています。

Chrome拡張を安全に使う方法と移行先

完全に安全になるとは言い切れませんが、Chrome拡張のデータアクセスを制限する方法があります。

どうしてもChrome拡張を使いたい場合は、設定できるか試してみてください。

一番安全なのは、Chrome拡張を使わずに、他の代替ツールを用いることです。

1) サイトデータの読み取りと変更を行う

Chrome拡張では、サイトアクセスを制限してセキュリティ強化できるようになっています。

ただし、Chrome拡張によっては、設定変更できないようになっていたりします。

Chrome拡張機能の権限変更する方法

1. Chrome右上の拡張アイコンを右クリック
2. [サイトデータの読み取りと変更を行います]を選択
3. [拡張機能をクリックしたとき]を選択

suya

使いたいときに拡張アイコンをクリックする必要があります。

このやり方の問題点は、もしデータアクセスを制限できたとしても、ONにしたときはサイト閲覧データや操作データを収集される点です。

また、Chrome拡張によっては、そもそもデータアクセスを制限できないようにしてあるものも多いです。

2) Chrome拡張を使わずブックマークレットを使う

Chrome拡張以外に代替ツールがあるなら、そちらを利用するほうが賢明です。

例えば、ブラウザのブックマーク（お気に入り）機能を使うブックマークレットなら、クリックしたときにしか動作しません。

なぜなら、サイトにアクセスしたときと同様に動作するからです。

WPSNIFFERなどの代替ツール「WP-Search」

ここでは、公開停止になった「WPSNIFFER」の代替ツールをご紹介します。

WPSNIFFERは、WordPress（ワードプレス）の使用テーマを検出するためのものです。

同様のChrome拡張も存在しますが、ブックマークレットで動作するのは「WP-Search」です。

「WP-Search」は、WordPressテーマだけでなく、プラグインやサーバーなども同時に解析できます。

WebサイトにURLを入力して動作しますが、ブックマークからもアクセスできるようになっています。

ブックマークレットの登録方法は、以下をご覧ください。

WP-Search

ブックマークレットの使い方 – WP-Search 「ブックマークレット」とは、閲覧中のページからWP-Searchを呼び出すことができる便利なショートカットです。 ブックマークバー（お気に入りバー）から 1クリックでアクセ…

この記事のまとめ

Chrome拡張のリスクを解説した上で、「WPSNIFFER」の乗り換え先（移行先）について見てきました。

個人情報が漏洩していなくても、サイト閲覧データや操作データが収集されていることがあります。

知らずに使っている人が多いので、リスクを理解した上で判断するようにしましょう。

なるほどくん

今まで知らずに使っていました。