ハクソク

世界を動かす技術を、日本語で。

LinkedInが6,278の拡張機能をスキャンし、結果をすべてのリクエストに暗号化して埋め込む

2026年5月1日原文(404privacy.com)

概要

  • LinkedIn によるChrome拡張機能のスキャン問題の詳細解説
  • 個人情報 と職業情報の結合リスク
  • 非公開・無断 でのデータ収集手法
  • 法的問題 とEU規制の現状
  • 技術的仕組み とその影響

LinkedInによる拡張機能スキャン問題

  • 企業が 拡張機能スキャン などの追跡行為を行う際、「不正防止」「ユーザー体験向上」「リソース節約」などの名目を掲げる傾向
  • 未ログイン 状態のユーザー識別データ収集は正当化できない現状
  • ExperianLinkedIn のような企業が、個人のウェブトラフィックを名寄せできるリスク
  • 職業関連企業が、 本人同意なし に私的情報へアクセスすることの是非
  • LinkedIn の拡張機能スキャンは2017年から継続され、2026年4月時点で 6,278種 を特定・追跡
  • 拡張機能リストは 自動化ツール で構築され、手作業では不可能な規模
  • 開発者ツール で確認できるスキャンの痕跡(大量のエラー表示)
  • スキャン結果は、 ユーザーの職業プロファイル に直接紐付けられる

LinkedInのスキャンが持つ具体的リスク

  • 匿名ユーザー を対象とした一般的なフィンガープリントと異なり、LinkedInは 実名・職業情報 と拡張機能情報を紐付け
  • 転職活動系拡張機能 のスキャンにより、ユーザーの転職意向が雇用主に知られるリスク
  • 政治・宗教・障害・神経多様性 関連拡張機能も対象となり、個人の思想や状態が推測可能
  • LinkedInは 組織単位 でも内部ツールやセキュリティ製品、競合サービス利用状況を把握可能
  • これらの行為は プライバシーポリシー で一切開示されていない
  • ユーザーへの 同意取得や通知 もなし

この問題がLinkedInだけに留まらない理由

  • 拡張機能リスト を根拠にユーザーへの制裁等を実施(証言あり)
  • フィンガープリント はサイト内追跡に留まらず、 外部データセット との照合でプロファイル拡張が可能
  • Google reCAPTCHA 等の外部スクリプト経由で、他サービスとの データ連携 も発生
  • 一度LinkedInで付与されたフィンガープリントが、 他サイトの広告・追跡システム にも流用される可能性
  • これにより、 職業・趣味・購買履歴・位置情報 などが統合された巨大な個人プロファイルが構築される恐れ

影響を受ける人々

  • ジャーナリスト・法律家・研究者・人権活動家 にとっては、匿名性の喪失が 業務リスク
  • LinkedInプロファイルは 実名・職歴・ネットワーク など最も詳細な個人情報の集合体
  • 拡張機能スキャンで、 全てのプライバシーツールや研究用アドオン までLinkedInに報告される
  • Chrome+LinkedIn利用者 は、現時点で全員が影響を受けている可能性

技術的な仕組み

  • JavaScriptコード でchrome-extension://URLへのfetch()を実行し、特定ファイルの有無を判定
  • 拡張機能が未インストールなら エラー、インストール済みなら サイレント成功
  • スキャンは Promise.allSettled() による並列・または逐次型(ディレイ付き)で実行
  • Spectroscopy という別手法で、DOM内のchrome-extension://参照も検出
  • 2つの検出結果は RSA暗号化 され、 li/trackエンドポイント に送信
  • 以降のAPIリクエスト全てに 指紋情報 がHTTPヘッダとして付与される

法的・規制の現状

  • 2024年EU Digital Markets Act (DMA) でMicrosoftがゲートキーパー指定、LinkedInも規制対象
  • DMAはサードパーティツール利用者への不利益取扱いを禁止
  • LinkedInの拡張機能スキャン+制裁 は規制違反の疑い
  • バイエルン州サイバー犯罪局 が刑事事件として調査中(コンプライアンス問題ではなく刑事事件扱い)
  • browsergate.eu が詳細な法的議論と証拠を公開予定

まとめ

  • LinkedIn による拡張機能スキャンは、ユーザーの 職業的実名情報個人のプライバシー情報 を無断で結合
  • その規模・仕組み・法的リスクは、 現代の監視経済 の象徴
  • ユーザーは現状、十分な情報も選択肢も与えられていない
  • 法的・社会的な議論 が今後さらに重要になる見通し

Hackerたちの意見

LinkedInは、訪問するたびに6,278個のChrome拡張機能のハードコーディングされたリストに対して拡張スキャンを実行してるんだ。検出された結果は暗号化されたテレメトリにパッケージされて、セッション中のすべてのAPIリクエストにHTTPヘッダーとして注入される。このデータを使って、宗教的な信条や税の区分、就職活動の意図などが特定できる。自分でも確認して、実装の追跡をしたよ。詳細や技術的な分析は記事に載ってる。

そうだよね、指紋認証もされるしね?

誰かここで、開発者向けのLinkedInの代わりを作ってくれないかな? 1. スパムがない 2. 2008年のデザインじゃない 3. 開発者やエンジニア、技術者だけが参加できる 4. メールにログインして連絡先を盗もうとしない 5. あなたや拡張機能、ブラウザの指紋を追跡しない 6. 偽の「linkedinmaxxing」みたいなゴミコンテンツがない 7. マーケターやリクルーターがいない、などなど。

ニュースや投稿フィードなしのLinkedInでもいいと思う。

タイトルが正しいか、ハッシュではなく暗号化されているか確認できる?どちらも気になるけど、解釈可能なデータを送るのはもっと深刻な問題だよ。記事をざっと見たけど、追加されたヘッダーの例は見当たらなかった。

「疑問ではないのは、現在、犯罪捜査が始まったということ。」いいね。これらの企業には、投げつけられる石の一つ一つがふさわしいし、もっと多くのことが必要だよ。

みんな、もし職場でこんなことを実装するように求められたら、どっちを選ぶ?オブジェクトを守って仕事を失うか、それとも従って仕事を続けるか。テレメトリと監視の境界線はどこにあるんだろうね?

LinkedInやMeta、サウジアラビアやイスラエルの資金を受け入れるような場所では働かないことにしてる。ちょっと仕事探しが難しくなるけど、夜はぐっすり眠れるよ。

同じことを考えてる。もしかしたら、他の仕事を見つけるのが難しい人たちが作ったのかも。医療や経済的な理由(生活費ギリギリ)でその仕事が必要な人たちね? そして、同じような状況のマネージャーたちが、収益を上げたいからどうでもいいって感じで発注してるのかも。どこかの段階で「何やってるんだ?」って言う人がいるべきだと思う。質問に答えると、もちろん反対するよ。今は恵まれてるから、深刻な影響なしにその選択ができるのはラッキーだと思ってる。HNで「道徳なんてないよ!」って言う人がいると思う?少なくとも、リアルかどうかわからない使い捨てアカウントじゃなければ。

第三の選択肢があるよ。やるって言っておいて、適当にやるか、ずっと引き延ばすか。わざと悪い仕事をしたって証明するのは難しいからね。でも、もしそれが狙いなら、別の仕事を探すのもいいかも ;)

正直、これを実装したいな。Chromeがすべてのウェブサイトにインストールされている拡張機能を教えるのが悪い。ユーザーは別に害を受けてないし。

世界に何が起こるかを匿名で伝えるのも一つの手だと思う。そうすれば、仕事は守れるし、少なくともみんなが気づくからね。ただ、知ってるのが3人くらいしかいない場合は、すぐにバレちゃうけど。

Hacker Newsで議論の続きを見る