やじうまの杜

「Google Chrome」拡張機能をより安全に ~アクセスできるWebサイトを制限してみよう

“拡張機能に許す権限はなるべく少なく”が基本

 “やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

「Google Chrome」へ拡張機能をインストールする際に現われる確認ダイアログ

 「Google Chrome」へ拡張機能をインストールする際に現われる確認ダイアログ。よく確認せず、つい[拡張機能を追加]ボタンをクリックして閉じてしまっていませんか? 権限を過剰に要求する拡張機能は、ユーザーの情報を盗み取る詐欺ツールかもしれないので、よくよく注意しなければなりません……が、“アクセスしたウェブサイト上にある自分の全データの読み取りと変更”といった権限は、許可せざるを得ない割りに強力過ぎて困っちゃいますよね。

 “YouTube”や“Gmail”など、特定のWebサイトをちょっと便利にしたい――そんな理由で拡張機能を入れただけなのに、“すべての閲覧サイト”をのぞき見されてしまうのはあまり気分がよいものではありません。実際、オンラインストレージサービス“Mega”の拡張機能が乗っ取られ、“amazon.com”や“github.com”のログイン情報が盗まれたという事例もあります。

 せめて、この拡張機能がアクセスできるサイトを“Mega”に制限できていれば、“amazon.com”や“github.com”のログイン情報まで盗まれることはなかったでしょう。

 そこで、最近の「Google Chrome」にはアクセスできるWebサイトを制限する機能が追加されています。この機能は「Google Chrome 70」に搭載される予定でしたが、リリース当初は編集部で確認できませんでした。「Google Chrome 71」の正式公開を機にもう一度確認したところ、ちゃんと搭載されていたので試してみました。

 それではまず、“アクセスしたウェブサイト上にある自分の全データの読み取りと変更”を要求する拡張機能のボタンを右クリックしてみましょう。すると、[サイトデータの読み取りと変更を行います]というメニューが追加され、その配下に

  • 拡張機能をクリックしたとき
  • (閲覧サイトのドメイン)
  • すべてのサイト

という3つのサブメニューが配置されているはずです。既定では[すべてのサイト]オプションが有効になっていますが、これを変更すると、拡張機能がアクセスできるWebサイトを限定し、セキュリティを強化することができます。

[サイトデータの読み取りと変更を行います]メニュー

 たとえば、[拡張機能をクリックしたとき]オプションへ切り替えると、新しいWebページを読み込んでも拡張機能は機能しなくなります。拡張機能のボタンは丸く浮き上がったような表示になり、カーソルを移動させると“このサイトへのアクセス許可が必要です”というツールチップが表示されます。

[拡張機能をクリックしたとき]オプションへ切り替えたときの拡張機能のボタン

 この状態で拡張機能のボタンをクリックすると、Webサイトを再読み込みするように促されるので、それに従ってリロードしましょう。

拡張機能のボタンをクリックすると、Webサイトを再読み込みするように促される

 すると、拡張機能のボタンが利用できるようになります。ちょっと面倒ですが、無制限にアクセスを許すよりはマシでしょう。

 なお、この設定は拡張機能の管理画面でも調整できます。拡張機能の実行を許可するホワイトリストを編集する場合は、この画面の方が便利です。

拡張機能の管理画面