eSecurity Planetは11月30日(米国時間)、「Almost Half of All Chrome Extensions Are Potentially High-Risk」において、Google Chromeの拡張機能の約半数が高いリスクを抱えている可能性があると伝えた。

Incogniのセキュリティ研究者が1,000回以上ダウンロードされた1,237のChrome拡張機能を調査した結果、約半数が個人識別情報(PII: Personally Identifiable Information)の収集やマルウェアの配布を行うほか、ユーザーのオンライン操作すべてを記録する可能性のある許可を求めてくることが明らかとなった。

  • Almost Half of All Chrome Extensions Are Potentially High-Risk

    Almost Half of All Chrome Extensions Are Potentially High-Risk

Incogniによると、Chrome拡張機能の約半数である48.66%がインストール時に求められる権限により、ユーザーが悪い影響を受けるリスクがあるとされ、27%がユーザデータを収集しているという。拡張機能の14%以上が個人情報を収集し、6%以上が認証データを、2.51%が個人通信を、1.21%が金融および決済情報を収集することもわかっている。

書き込みを支援するために使用されるChrome拡張機能が最もデータを必要とするとされており、79.5%が少なくとも1種類の機密データにアクセスし、平均2.5種類のデータを収集し、最も多くの許可を求めてくる。56.4%が個人情報を収集し、33.3%が位置情報を収集するとされている。また、ショッピングの拡張機能の65%がユーザーデータを収集し、生産性向上、検索、スポーツ関連の拡張機能も32%から35%がデータ収集を行うという。

これら高リスクのChrome拡張機能から身を守る手段として、インストールする前に対象の拡張機能が本当に必要かどうか、拡張機能の名前・ロゴ・開発者が期待どおりか、拡張機能の許可要件とリスクプロファイルを確認することなどが挙げられている。