ハクソク

世界を動かす技術を、日本語で。

37百万ユーザーのブラウジングデータを監視するChrome拡張機能

103日前原文(qcontinuum.substack.com)

概要

  • Chrome拡張機能による 閲覧履歴の漏洩 を自動検知する仕組みを開発
  • 287個 の拡張機能が履歴を外部送信、 3,740万ユーザー が影響
  • データブローカー SimilarwebCurly Doggo など多様な関係者が存在
  • 調査手法や検知基準、漏洩例を詳細に解説
  • 無償・非公開ソフトは 利用者が商品 となるリスクに警鐘

Chrome拡張機能による閲覧履歴漏洩の自動検知と実態

  • Chromeを Dockerコンテナ 上で自動実行し、 MITMプロキシ 経由で全通信を監視

  • URL長と送信データ量の相関 を基準に漏洩を検知する独自指標を導入

  • 287個の拡張機能が ブラウジング履歴 を外部送信していることを確認

  • 対象拡張機能のインストール数は 約3,740万件、全Chromeユーザーの1%規模

  • 関与する事業者は SimilarwebCurly DoggoOffidocs、中国系業者、 Big Star Labs 等多岐にわたる

    • SimilarwebBig Star Labs の関連性も示唆
    • Kontera などのスクレイパーも履歴収集に関与

  • 履歴漏洩の歴史的経緯

    • 2017年 Weissbacherらによる最初の研究
    • 2018年「Stylish」拡張機能による無断送信が問題化
    • 2025年現在、 Chromeウェブストア には24万個以上の拡張機能が存在

  • 検知手法の詳細

    • Docker + Chromium + MITMプロキシ の研究基盤を構築
    • 合成ブラウジングワークロードを用意し、 URL長増加 による送信量の変化を計測
    • 漏洩比率R を「bytes_out = R * payload_size + b」で算出
      • R ≥ 1.0:確実な漏洩
      • 0.1 ≤ R < 1.0:疑わしいケースは手動で再検査
    • 合計 930CPU日 を投入し全自動スキャンを実施

  • 履歴データの流通とリスク

    • データブローカー が収集・再販、広告ターゲティングや企業スパイ行為に悪用
    • 個人情報社内URL が漏洩し、標的型攻撃やセッションハイジャックの温床となる
    • 無料・非公開ソフト利用時は 「自分が商品」 であるリスクを常に意識

  • 代表的な漏洩拡張機能と送信例

    • Poper Blocker (extension_id: bkkbcggnhapdmkeljlodobbkopceiche)
      • ROT47で難読化されたデータを外部送信
      • URLやセッション情報等が含まれる
    • Stylish (extension_id: fjnbnpbmkenffdnngjfgmeleoegfcffe)
      • AES-256およびRSA-OAEPで暗号化し、サーバーへ送信
      • ペイロードサイズがURL長に比例し漏洩が確定
    • その他、 Avast Online Security & Privacy など正当な理由で履歴収集するケースも存在

  • OSINT調査 による関係者マッピング

    • 開発者メール、プライバシーポリシー、証明書情報等を精査
    • SimilarwebKonteraCurly Doggo/Offidocs の連鎖を確認

  • 漏洩IPアドレス の例

    • 54.92.107.92(HashDit)
    • 34.29.32.249(Blocksi AI Web Filter)
    • 複数のAWS IP(Kontera)

  • 人口規模 で例えると、影響ユーザー数はポーランドの人口に匹敵

Chrome拡張機能による閲覧履歴漏洩の社会的・倫理的問題

  • 倫理的課題

    • 無償で提供される拡張機能が 利用者のデータを商品化 し、表向きの機能とは別目的で収益化
    • 透明性の欠如利用者の無自覚なデータ提供

  • 実害リスク

    • アドテク企業によるプロファイリング・ターゲティング広告
    • 企業スパイ活動 (社内利用時の機密情報漏洩)
    • クレデンシャルハーベスティング (Cookieやセッション情報の漏洩)

  • 対策と提言

    • 拡張機能の プライバシーポリシー権限要求 を必ず確認
    • オープンソース または信頼できる開発元の拡張機能を選択
    • 不要な拡張機能は即削除、定期的な見直しを推奨

まとめ

  • Chrome拡張機能の 閲覧履歴漏洩問題 は現在も深刻
  • 自動検知基盤 による大規模調査で実態を可視化
  • 利用者は「 無料の代償」として 個人データの搾取 リスクを常に意識する必要
  • プライバシー保護 のため、情報リテラシー向上と拡張機能の適切な管理が不可欠

Hackerたちの意見

そうじゃないやつは、いつか買収されてマルウェアになる可能性が高いよね。俺がどのブラウザにもインストールするのを信頼してる拡張機能はuBlock Originだけだわ。

俺は100,000人以上のユーザーがいる拡張機能を公開してるんだけど、何年も前から売ってくれっていうメールが何百通も来てる。ほんとにしつこいよ。だから、uBlock Origin、Bitwarden、そして自分の拡張機能しか信頼してない。あと、これらのスパムはGoogleが拡張機能のリストに強制的に追加させる公開メールアドレスから来てるんだけど、まともなメールが一通も来たことない気がする。ありがとう、Google。

それ、私もインストールしてる唯一の拡張機能だよ!前はtree-style tabを使ってたけど、今はFirefoxが縦タブをネイティブでサポートしてるから、特に追加のものは必要ないんだ。新しい拡張機能をインストールするのは魅力的だけど、リスクが高すぎるよね。

どのブラウザにもインストールするのを信頼できる唯一の拡張機能はuBlock Originだよ。ただし、uBlock Originの開発者レイモンド・ヒルが元のuBlockプロジェクトの管理権を信頼できない誰かに移譲したため、後にヒルがフォークしなければならなかったことには注意してね。

だから、俺は実際に監査できるオープンソースの拡張機能しか使わない。uBlock OriginやSponsorBlockみたいな、コードが公開されてて開発者が匿名じゃないツールね。Chromeウェブストアは基本的に無規制で、Googleは自分たちが利益を得られれば気にしない。オープンソースなら、データを知らない国のサーバーに送信する前に、何をインストールしてるか確認するチャンスがあるからね。

オープンソースのコードが、拡張機能のリポジトリからインストールして実行しているものと同じかどうか、どうやって確認するの?

信頼できる非匿名の開発者からリリースされたオープンソースの拡張機能は、信頼できるサインだね。でも、ブラウザ拡張機能の配布チャネルは、他のオープンソースパッケージ(pip、npm、rpmなど)の配布チャネルと同様に、インストールして実行するパッケージが実際にオープンソースのコードからそのままビルドされている保証はないことを覚えておいて。

だからこそ、実際に監査できるオープンソースの拡張機能しか使わないんだ。君の原則はどこまで及ぶの?ウェブブラウザにも?Google Chrome自体は部分的にオープンソースだけど、完全ではないよね。君のOSは?Linuxだけ?MacやWindowsはクローズドソースが含まれてるし。

これが最も安全な方法だよ。自動更新を無効にしてバージョンを固定するのも大事で、FirefoxやSafariを使うか、Chromeを使うならアンパックした状態で読み込む必要があるね。

君は買う車や服用する薬のすべての部分を監査してるの?それとも大きな信頼できる機関に頼ってるの?「Googleを信じるな」っていうのは、俺の意見ではここでの正しい反応じゃないよ。俺たちは機関の思い通りになってるし、もし彼らが俺たちを裏切ってるなら、彼らを監視する仕組みが必要だよ。

これが、俺がSafariを使ってる理由の一つなんだ。これには拡張機能ができることを厳しく制限する理由があるからね。

15年以上前に、特定のことをする人気のChrome拡張機能を持ってたんだ。それを数千ドルで売って次に進んだ。売る時はちょっと変な感じがしたし、慎重に進めたけど、結局売ったんだ。今思うと、悪い奴らが正当なChrome拡張機能を買って、その機能を追加してユーザーのデータで金を稼ごうとしてるのが明らかだよ(もっと悪いこともあるかもしれない)。このパターンについての報告を何件も見たことがある。

これは典型的なサプライチェーン攻撃だね。同じ手口がゲーマーによって高レベルのキャラクターを売るために使われてるし、SNSでも投稿やページ、グループで「スイッチeroo」みたいなことが日常的に起こってる。消費者向けのサイバーセキュリティはマルウェアやブラウザのセキュリティ、LANサービスに集中してるけど、俺は新しい侵害のフロンティアはブラウザ拡張や「クラウド統合」、アカウントからの「アプリアクセス」に関わってると思う。もし俺がJoe Random DeveloperのアプリにGmailやGoogle Driveのすべてを読み書き削除する権限を与えたら、それはランサムウェアやそれ以上の危険に繋がるかもしれない。ローカルOSには痕跡が残らないし、ウイルススキャナーではこういう攻撃は絶対に見つけられない。セキュリティチェックアップのプロセスは遅くて面倒だし、俺はしょっちゅうアクセスを取り消したり、古いセッションからサインアウトしたりしてる。もっといい方法があるはずだよ。

当時はちょっと変だなと思ったけど、売って次に進んだよ。なんていい人なんだ!君の給料日で他の人がどれだけ傷ついたのか気になるな。

これらのほとんどがクエリパラメータをキャプチャしている事実、「u": "https://www.google.com/search?q=target"」は、たくさんの認証トークンをキャプチャしていることを示してる。だから、これは単にブラウザの履歴を覗くだけじゃないんだよ。

サービスが認証トークンをURLパラメータとして送信しているなら、もう使わない方がいいよ。あれは常に公開されてるから。

それに、世界で最も裕福な企業の一つが、なんで自分たちでこれをキャプチャしなかったの? 広告ブロッカーを防ぐために作ってる障壁を考えると、あんまり良い印象はないよね。

そして、世界で最も裕福な企業の一つが自分たちでこれをキャッチしなかったのはなぜ?仮に彼らがキャッチしてたとしたら、「なぜ彼らは真実を話さなかったのか?」という質問になる…それはずっと答えやすいよね。

コードは通常ミニファイされてて、かなり難読化されてるけど、どんな拡張機能のソースコードも見ることができるよ:https://kaveh.page/snippets/chrome-extensions-source-code たった2000ユーザーのこの小さな拡張機能でも、マルウェアにするための買収オファーが常に来るんだ:https://chromewebstore.google.com/detail/one-click-image-sav...

そろそろ、インストールされている拡張機能が悪意のあるものかどうかをチェックするサイトが必要だね。

信頼できた拡張機能が突然おかしくなるのを防ぐための簡単なアイデアをいくつか。 - https://github.com/beaufortfrancois/extensions-update-notifi... で特権のある拡張機能が更新されたときに、適切だと思うリサーチをしてみて。所有権の移転をチェックしたりね。 - brave://flags/#brave-extension-network-blocking で拡張機能のトラフィックをフィルタリングするカスタムルールを作れるよ。例えば: ! Obsidian Web *$domain=edoacekkjanmingkbkgjndndibhkegad @@||127.0.0.1^$domain=edoacekkjanmingkbkgjndndibhkegad - GitHubのリポジトリをクローンして、Claude Codeでセキュリティ監査をして、ソースからビルドして、手動で更新するのもアリ。

コードとビルドパイプラインを自分で管理できるプライベートリポジトリからだけ拡張機能を使う方法ってあるのかな?

こちらが彼らの結果で特定された3つの例だよ。Playストアのページでは、すべての開発者がデータを第三者に販売したり、アイテムのコア機能に無関係なデータを収集していないと強く保証している。Braveブラウザ https://chromewebstore.google.com/detail/mmfmakmndejojblgcee... Handbrake Video Converter https://chromewebstore.google.com/detail/gmdmkobghhnhmipbppl... JustParty: 友達とNetflixを観る https://chromewebstore.google.com/detail/nhhchicejoohhbnhjpa... 私がGoogleに聞きたいのは、これらの開発者があなたやユーザーに嘘をついた場合、どんな結果が待っているのか、そしてなぜ私はその声明に全く信頼を置くべきなのかってこと。