現在お使いのPCにインストールされている拡張機能が、
1. 拡張機能の「権限(パーミッション)」を棚卸しする
最も重要なのは「その拡張機能が何を見ることができるか」
- 確認手順 (Chrome/Edge):
- ブラウザのアドレスバーに chrome://extensions (Edgeは edge://extensions) と入力。
- 各拡張機能の [詳細] をクリック。
- 「サイトへのアクセス」 セクションを確認します。
- 注意すべきフラグ:
- 「すべてのサイト」 または 「読み取りおよび変更」 の権限:
メモ帳や時計のような単純なツールがこの権限を持っている場合は 非常に危険です。 - 対策: 信頼しきれないものは「クリックされた場合のみ」
に変更するか、削除を検討してください。
2. 安全性診断ツールを利用する
手動での確認が難しい場合、
- ExtensionSentry:インストールされている拡張機能のIDを照合し、
既知のマルウェアやリスクをスキャンできるツールです。 - Chrome Stats:特定の拡張機能の名前やIDで検索すると、
その拡張機能のリスクスコア、過去の警告、 ソースコードの大幅な変更履歴(乗っ取りの予兆) を確認できます。
3. 「デベロッパーモード」と「ストア外導入」のチェック
DarkSpectreなどは、
- チェックポイント:
- chrome://extensions の右上にある 「デベロッパーモード」 がオンになっていないか確認。
- 「ソース:ストア以外(Unpacked)」
と表示されている拡張機能があれば、 それは公式の保護を受けていないため、 すぐに削除することを強く推奨します。
4. 「最終更新日」と「開発者名」の確認
ストアの各拡張機能ページ(Chromeウェブストアなど)
- 最終更新日が1年以上前: 脆弱性が放置されているか、
メンテナンスが止まっており、 攻撃者にドメインを買い取られて悪用されるリスクが高いです。 - 開発者の公式リンクがない:
連絡先がGmailのみであったり、 公式サイトがない場合は信頼性が低いです。
今すぐできるクイックアクション
もし「これ、怪しいかも?」と思うものがあれば、
- 一度無効化する: 無効化しても業務に支障がないなら、
それは不要な拡張機能です。 - シークレットモードでの実行をオフにする:
デフォルトではオフですが、 重要なパスワードを入力する際はシークレットモードを使い、 拡張機能が動かない環境を徹底してください。
No comments:
Post a Comment