このChrome「拡張機能」を今すぐ削除せよ

生成AIとの会話を収集し第三者に販売 | Forbes JAPAN 公式サイト（フォーブス ジャパン） (12/17)

『

Chrome ウェブストア（計4製品。すべて公開が継続中）

・Urban VPN Proxy（ID：eppiocemhmnlbhjplcgkofciiegomcon／提供元：Urban VPN／ユーザー数：約600万人）

・1ClickVPN Proxy for Chrome（ID： pphgdbgldlmicfdkhondlafkiomnelnk／提供元：1clickVPN／ユーザー数：約60万人）

・Urban Browser Guard（ID：almalgbpmcfpdaopimbdchdliminoign／提供元：Urban VPN／ユーザー数：約4万人）

・Urban Ad Blocker（ID：feflcgofneboehfdeebcfglbodaceghj／提供元：Urban VPN／ユーザー数：約1万人）

Microsoft Edge アドオン（計4製品。すべて公開が継続中）

・Urban VPN Proxy（ID：nimlmejbmnecnaghgmbahmbaddhjbecg／提供元：Urban VPN／ユーザー数：約132万人）

・1ClickVPN Proxy for Edge（ID：deopfbighgnpgfmhjeccdifdmhcjckoe／提供元：1clickVPN／ユーザー数：約3万6000人）

・Urban Browser Guard（ID：jckkfbfmofganecnnpfndfjifnimpcel／提供元：Urban VPN／ユーザー数：約1万2000人）

・Urban Ad Blocker（ID：gcogpdjkkamgkakkjgeefgpcheonclca／提供元：Urban VPN／ユーザー数：約6000人）

』

AIのみに注目させる文脈だが、アドオンは本来、技術的なセキュリティリスクがありうる点に触れるべきだろう。

そこでAIに訊いてみた　↓

説明と対策

ブラウザのアドオン（拡張機能）は、Webサイトの情報を読み取ったり、表示を書き換えたりする強力な権限を持って動作します。そのため、悪意のあるアドオンやセキュリティ設定が不十分なアドオンを導入すると、ご指摘のような深刻なプライバシー侵害やセキュリティリスクが発生します。

---

1. 取得可能な情報の範囲

アドオンが「アクセスしたすべてのウェブサイト上の全データの読み取りと変更」という権限を求めている場合、以下のようなことが可能になります。

• 入力内容の窃取（キーロギング）
• ログインフォームに入力したIDやパスワード、クレジットカード番号、検索ワードなどをリアルタイムで取得できます。
• 訪問ページの監視
• いつ、どのURLにアクセスしたかというブラウザ履歴をすべて記録・送信できます。
• ページ内容の読み取り
• 銀行の残高画面、SNSのダイレクトメッセージ、社内システムの機密情報など、画面に表示されているあらゆるテキストを取得可能です。

---

2. その他の主なリスク

データの窃取以外にも、以下のようなリスクが存在します。

① セッション・ジャック（アカウント乗っ取り）

ブラウザに保存されているCookie（クッキー）やセッション情報を盗み出し、パスワードを入力することなくあなたのアカウント（Amazon、Google、SNSなど）にログインされる危険があります。

② Webページ内容の改ざん

表示されているリンク先をフィッシングサイトへ書き換えたり、ネットショッピングの振込先口座番号をこっそり書き換えたり、不適切な広告を勝手に挿入したりすることができます。

③ 「スリーパー・エージェント（潜伏型）」化

最初は便利なツールとして動作し、ユーザーを安心させて数万人の利用者を獲得した後に、アップデートを通じて突然悪意のあるコードを追加する手法があります。開発者が変わったり、アカウントがハッキングされたりすることで、信頼していたアドオンが突然「スパイウェア」に変わるリスクです。

④ 踏み台（プロキシ）への悪用

ユーザーのPCを中継地点として利用し、他のWebサイトへ攻撃を仕掛ける「踏み台」にされることがあります。これにより、あなたのIPアドレスが攻撃元として記録されてしまう恐れがあります。

---