やじうまの杜

閲覧サイトの信頼性を表示する拡張機能「Web of Trust」がまったく信頼できない件について

悪意ある拡張機能から身を守るには?

 “やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

「WOT」の開発チームによる声明

 先日、ドイツメディア“NDR”の報道をきっかけにWebブラウザー拡張機能「Web of Trust(WOT)」がユーザーの閲覧履歴などを収集・販売していたことが発覚。Firefox向け拡張機能が“Add-ons for Firefox”から削除されました。「WOT」はWebサイトに関する評判を共有し、閲覧中のWebサイトが安全であるか、信頼できるかを教えてくれる拡張機能だったのですが、その拡張機能自体が信頼できないものだったわけで皮肉なことです。

 「WOT」の開発チームは6日に声明を発表し、“Chrome ウェブストア”などの他のライブラリサイトからも自主的に「WOT」を削除したこと、閲覧履歴を提供するかどうかをユーザーが決定できるようにするオプトイン機能を追加すること、プライバシーを確保するための匿名化処理をオーバーホールする方針であることなどを明らかにしましたが、信頼を裏切られたユーザーの怒りは収まる気配がありません。

 これ以外にも、「HTTP Headers」と呼ばれる「Google Chrome」向けの拡張機能が原因で仮想通貨“ビットコイン”が盗まれそうになったという記事も最近話題になりました。

 これは一定数のユーザーを獲得した拡張機能がユーザーの知らないうちに第三者へ譲渡され、自動更新に乗じて悪意ある拡張機能へ差し替えられてしまったらしいというケースですが、これも拡張機能への信頼を悪用した裏切り行為の一種と言えるでしょう。

 こうした問題に対して一般ユーザーができることは限られているのが現実です。しかし、いくつかの点に留意することで被害を最小限に抑えることはできるのではないでしょうか。

 まず、インストール時に拡張機能のレビューに目を通すようにしましょう。もし問題のある拡張機能であれば、それを指摘してくれているユーザーがいるかもしれません。“Chrome ウェブストア”では初期状態で日本語のレビューのみを表示する設定になっているようですが、海外製の拡張機能であれば“すべての言語”へ切り替えたほうがよいこともあるようです。

「Google Chrome」の拡張機能画面

 次に、拡張機能が要求している権限を確認しましょう。「Google Chrome」の場合、拡張機能画面(chrome://extensions/)を開き、それぞれの拡張機能の“詳細”を開くことで確認が可能です。拡張機能の自動更新で権限が新たに追加された場合は、それが警告される場合もあります。必要以上に過剰な権限を要求する拡張機能には用心すべきです。これはモバイルアプリを導入する時にも通じる心構えですね。

 また、利用する拡張機能を最小限にすることも重要です。拡張機能を増やせば増やすほど管理は行き届かなくなり、侵入を許す危険性が高まります。定期的に利用している拡張機能を見直し、普段使わないもの・不要なものは無効化または削除するように心がけたほうがよいでしょう。

 窓の杜でも、拡張機能を紹介する時は誤って悪意ある拡張機能を紹介しないように留意していますが、紹介後に改変されてしまったケースまでカバーするのは現実的に難しいところです。もちろん、万が一このようなケースが発覚した場合は紙面などで告知するようにしますので、役立てていただければ幸いです。