ハクソク

世界を動かす技術を、日本語で。

LinkedInが6,278の拡張機能をスキャンし、結果をすべてのリクエストに暗号化して埋め込む

9日前原文(404privacy.com)

概要

  • LinkedIn によるChrome拡張機能のスキャン問題の詳細解説
  • 個人情報 と職業情報の結合リスク
  • 非公開・無断 でのデータ収集手法
  • 法的問題 とEU規制の現状
  • 技術的仕組み とその影響

LinkedInによる拡張機能スキャン問題

  • 企業が 拡張機能スキャン などの追跡行為を行う際、「不正防止」「ユーザー体験向上」「リソース節約」などの名目を掲げる傾向
  • 未ログイン 状態のユーザー識別データ収集は正当化できない現状
  • ExperianLinkedIn のような企業が、個人のウェブトラフィックを名寄せできるリスク
  • 職業関連企業が、 本人同意なし に私的情報へアクセスすることの是非
  • LinkedIn の拡張機能スキャンは2017年から継続され、2026年4月時点で 6,278種 を特定・追跡
  • 拡張機能リストは 自動化ツール で構築され、手作業では不可能な規模
  • 開発者ツール で確認できるスキャンの痕跡(大量のエラー表示)
  • スキャン結果は、 ユーザーの職業プロファイル に直接紐付けられる

LinkedInのスキャンが持つ具体的リスク

  • 匿名ユーザー を対象とした一般的なフィンガープリントと異なり、LinkedInは 実名・職業情報 と拡張機能情報を紐付け
  • 転職活動系拡張機能 のスキャンにより、ユーザーの転職意向が雇用主に知られるリスク
  • 政治・宗教・障害・神経多様性 関連拡張機能も対象となり、個人の思想や状態が推測可能
  • LinkedInは 組織単位 でも内部ツールやセキュリティ製品、競合サービス利用状況を把握可能
  • これらの行為は プライバシーポリシー で一切開示されていない
  • ユーザーへの 同意取得や通知 もなし

この問題がLinkedInだけに留まらない理由

  • 拡張機能リスト を根拠にユーザーへの制裁等を実施(証言あり)
  • フィンガープリント はサイト内追跡に留まらず、 外部データセット との照合でプロファイル拡張が可能
  • Google reCAPTCHA 等の外部スクリプト経由で、他サービスとの データ連携 も発生
  • 一度LinkedInで付与されたフィンガープリントが、 他サイトの広告・追跡システム にも流用される可能性
  • これにより、 職業・趣味・購買履歴・位置情報 などが統合された巨大な個人プロファイルが構築される恐れ

影響を受ける人々

  • ジャーナリスト・法律家・研究者・人権活動家 にとっては、匿名性の喪失が 業務リスク
  • LinkedInプロファイルは 実名・職歴・ネットワーク など最も詳細な個人情報の集合体
  • 拡張機能スキャンで、 全てのプライバシーツールや研究用アドオン までLinkedInに報告される
  • Chrome+LinkedIn利用者 は、現時点で全員が影響を受けている可能性

技術的な仕組み

  • JavaScriptコード でchrome-extension://URLへのfetch()を実行し、特定ファイルの有無を判定
  • 拡張機能が未インストールなら エラー、インストール済みなら サイレント成功
  • スキャンは Promise.allSettled() による並列・または逐次型(ディレイ付き)で実行
  • Spectroscopy という別手法で、DOM内のchrome-extension://参照も検出
  • 2つの検出結果は RSA暗号化 され、 li/trackエンドポイント に送信
  • 以降のAPIリクエスト全てに 指紋情報 がHTTPヘッダとして付与される

法的・規制の現状

  • 2024年EU Digital Markets Act (DMA) でMicrosoftがゲートキーパー指定、LinkedInも規制対象
  • DMAはサードパーティツール利用者への不利益取扱いを禁止
  • LinkedInの拡張機能スキャン+制裁 は規制違反の疑い
  • バイエルン州サイバー犯罪局 が刑事事件として調査中(コンプライアンス問題ではなく刑事事件扱い)
  • browsergate.eu が詳細な法的議論と証拠を公開予定

まとめ

  • LinkedIn による拡張機能スキャンは、ユーザーの 職業的実名情報個人のプライバシー情報 を無断で結合
  • その規模・仕組み・法的リスクは、 現代の監視経済 の象徴
  • ユーザーは現状、十分な情報も選択肢も与えられていない
  • 法的・社会的な議論 が今後さらに重要になる見通し

Hackerたちの意見

LinkedInは、訪問するたびに6,278個のChrome拡張機能のハードコーディングされたリストに対して拡張スキャンを実行してるんだ。検出された結果は暗号化されたテレメトリにパッケージされて、セッション中のすべてのAPIリクエストにHTTPヘッダーとして注入される。このデータを使って、宗教的な信条や税の区分、就職活動の意図などが特定できる。自分でも確認して、実装の追跡をしたよ。詳細や技術的な分析は記事に載ってる。

そうだよね、指紋認証もされるしね?

誰かここで、開発者向けのLinkedInの代わりを作ってくれないかな? 1. スパムがない 2. 2008年のデザインじゃない 3. 開発者やエンジニア、技術者だけが参加できる 4. メールにログインして連絡先を盗もうとしない 5. あなたや拡張機能、ブラウザの指紋を追跡しない 6. 偽の「linkedinmaxxing」みたいなゴミコンテンツがない 7. マーケターやリクルーターがいない、などなど。

ニュースや投稿フィードなしのLinkedInでもいいと思う。

タイトルが正しいか、ハッシュではなく暗号化されているか確認できる?どちらも気になるけど、解釈可能なデータを送るのはもっと深刻な問題だよ。記事をざっと見たけど、追加されたヘッダーの例は見当たらなかった。

「疑問ではないのは、現在、犯罪捜査が始まったということ。」いいね。これらの企業には、投げつけられる石の一つ一つがふさわしいし、もっと多くのことが必要だよ。

みんな、もし職場でこんなことを実装するように求められたら、どっちを選ぶ?オブジェクトを守って仕事を失うか、それとも従って仕事を続けるか。テレメトリと監視の境界線はどこにあるんだろうね?

LinkedInやMeta、サウジアラビアやイスラエルの資金を受け入れるような場所では働かないことにしてる。ちょっと仕事探しが難しくなるけど、夜はぐっすり眠れるよ。

同じことを考えてる。もしかしたら、他の仕事を見つけるのが難しい人たちが作ったのかも。医療や経済的な理由(生活費ギリギリ)でその仕事が必要な人たちね? そして、同じような状況のマネージャーたちが、収益を上げたいからどうでもいいって感じで発注してるのかも。どこかの段階で「何やってるんだ?」って言う人がいるべきだと思う。質問に答えると、もちろん反対するよ。今は恵まれてるから、深刻な影響なしにその選択ができるのはラッキーだと思ってる。HNで「道徳なんてないよ!」って言う人がいると思う?少なくとも、リアルかどうかわからない使い捨てアカウントじゃなければ。

第三の選択肢があるよ。やるって言っておいて、適当にやるか、ずっと引き延ばすか。わざと悪い仕事をしたって証明するのは難しいからね。でも、もしそれが狙いなら、別の仕事を探すのもいいかも ;)

正直、これを実装したいな。Chromeがすべてのウェブサイトにインストールされている拡張機能を教えるのが悪い。ユーザーは別に害を受けてないし。

世界に何が起こるかを匿名で伝えるのも一つの手だと思う。そうすれば、仕事は守れるし、少なくともみんなが気づくからね。ただ、知ってるのが3人くらいしかいない場合は、すぐにバレちゃうけど。

まあ、私はLinkedInのアカウントを削除したけど、今は生活が良くなったよ。

現在仕事を持ってる人からの大口だね。LinkedInアカウントなしで仕事を得るのはそんなに簡単じゃないよ。

なんでChromeがランダムなウェブサイトに自分のインストールした拡張機能を教えてるんだ?

Chromeは広告会社が作ったブラウザだよ。存在する理由は、君を追跡するためなんだ。

何十年にもわたってウェブブラウザが犯してきたひどいセキュリティの失敗についても同じ質問ができるね。

その情報はウェブサイトに公開されてるの? なんか、特定の拡張機能がインストールされてるかどうかを行動に基づいて自己検出するような新しいハッキングをしてるのかと思ったけど、6300個の拡張機能に対してはかなりの手間だよね。誰かがそれをサービスとして提供してるのかな?

そうでもないよ。彼らは、特定のIDを持つ既知の拡張機能のリストと、その拡張機能に存在することが知られているファイルを作成したんだ。サイトはそれぞれのペアを繰り返し処理して、そのファイルを読み込もうとする。エラーが出なければ、その拡張機能がインストールされていることがわかる。これは賢いけど手間のかかる手動プロセスで、こういうことを防ごうとするセキュリティを回避するんだって。彼らの理由は、既知のスクレイパー拡張機能を使うユーザーをブロックするために存在しているって言ってたけど、あんまり信じてないな。

Braveはこれを明示的にブロックしてるよ。

Chromeはサイトに「インストール済み」を調べさせるから、LinkedInはそれをテレメトリーに変えちゃうんだよね。

元のソースからの関連部分はこれだよ:「Chromeの拡張機能は、manifest.jsonのweb_accessible_resourcesフィールドを通じて内部ファイルをウェブページに公開できる。拡張機能がインストールされていてリソースが公開されていると、chrome-extension://{id}/{file}へのfetch()リクエストは成功する。拡張機能がインストールされていない場合、Chromeはリクエストをブロックし、promiseは拒否される。LinkedInはこの方法でリスト内のすべての拡張機能をテストしている。」

これって幻覚? 他のどこにもこの引用が見つからないんだけど。 > 「ブラウザゲートによると、ミリンダ・ラッカムは証言の中で、"LinkedInは特定の拡張機能をインストールしているユーザーに対して行動を起こした"と確認しました。」

うーん、まあそうだね。実際の引用ではないけど。これ以上のチェーンは追ってないけど、ここから見てみてね: https://browsergate.eu/the-evidence-pack/ LinkedInのシステムは「[XXXXXX]をインストールしているLinkedInユーザーに対して何らかのアクションを取った可能性がある」。追記: いいね!モバイルブラウザでインデント形式のテキストが今は折り返されるようになったのに気づいた。(少なくともffmではね。) これがいつから直ったのか気になるな…

ソース: https://browsergate.eu/downloads/Lakam-affidavit-redacted.pd... 段落4 文書: Eidesstattliche Versicherung / Affidavit. 宣誓者: Milinda Lakkam, シニアマネージャー, ソフトウェアエンジニアリングと機械学習, LinkedIn Corporation 提出日: 2026年2月6日, カリフォルニア州マウンテンビュー 裁判所参照: Anlage AG 4

最近、コンピュータが98%メモリと65%CPUを使ってる理由を解明しようとしてたら、原因の一つがhttps://li.protechts.netで、2GBのRAMと8%のCPUを使ってた。DDGの検索結果によると、これはLinkedIn用の何かみたい。- LinkedInのタブを2つ開いてたけど、他のタブを開くために放置してたんだ。だから、9時間以上そのタブを再オープンしてなかったのに、まだCPUのほぼ10%と数ギガのRAMを使ってるって、何のために? これはuBlock Originを使ったFirefoxなんだけど、Quick SearchでMalwarebytes Browser Guardが一時的に(protechts.net)をマルウェアと見なして、リストから外したみたい。これが言及されたスキャンに関連してるかはわからないけど、データやリソースの未知の使用に関する全体的な懸念に関連してるかもしれない。今はDNSホストレベルでこれをブロックすることを考えてる。28日前のコメントの再投稿。

これは著者のSubstackから再投稿された記事で、状況をあまりうまく説明できてない。記事内の二つ目のリンクは「拡張機能リストを追跡するGitHubリポジトリ」に飛ぶはずなのに、9年前に更新されていないプラグインのGitHubページに飛んじゃう。LLMの書き方の特徴がたくさんあって(「これは違う、あれだ」とか、アウトラインから再水分化された空虚な言葉が多い感じ)実際のストーリーの更新、例えばこれらのツールに関わったLinkedInのエンジニアが提出したドイツの宣誓供述書のことを見落としてる。この記事が省いている重要な情報は、スキャンされる拡張機能のリストには、認識できるものやインストールしようと思うものは含まれていないってこと。データ抽出ツールやスクレイパー、AIスパムやリクルーティングツール(あの自動スパムのLinkedInメッセージ覚えてる?)がいっぱいで、単純なものに見せかけたプラグインが、違反で拡張機能ストアから引き上げられている。多くの記事が、この事実から目をそらそうと頑張っていて、神経多様性のあるユーザーのためにウェブページを簡素化するプラグインや「反シオニスト政治タグ付けツール」が含まれていることを強調して、そういう属性に基づいてフィンガープリンティングをしようとしているかのように暗示してるけど、それらのプラグインがデータを抜き出すために単純なプラグインに見せかけて人々にインストールさせようとしていたから、拡張機能ストアから引き上げられた可能性が高いことには触れてない。更新されたリストはここにあるよ: https://browsergate.eu/extensions/ でも、そのサイトをよく読んで、リンクを実際にクリックしてみて。ここでは、AIスパムやデータ抽出ツールから注意をそらそうとしてるみたいだね: > スキャンはLinkedIn関連のツールだけを探しているわけじゃない。イスラムコンテンツフィルター(PordaAI - 「ハラムオブジェクトをぼかす、イスラムの価値観のためのリアルタイムAI」)を使っているかどうか、反シオニスト政治タグ付けツール(Anti-Zionist Tag)や神経多様性のあるユーザー向けのツール(簡素化)をインストールしているかを特定する。リンクをクリックしてみて。全部ストアから引き上げられてるから。こういう拡張機能は、スクレイパーをインストールさせるための餌になることが多くて、あなたのコンピュータとLinkedInのログインを使ってデータを抽出してサーバーに送信するんだ。だから、こういう詐欺的な拡張機能の存在を探ることに対する立場に関係なく、少なくとも企業があなたに売り込もうとしているストーリーではなく、事実を理解するべきだよ。最近の情報源から直接読むことをお勧めする、例えばこのLinkedInのエンジニアがドイツで提出した宣誓供述書とか: https://browsergate.eu/downloads/Lakam-affidavit-redacted.pd...

でも、リンクをクリックしてみて。全部ストアから削除されてるよ。リストの最初の5つの拡張機能でそれを試したけど、ストアから削除されたのは1つだけだった。だから、この発言には注意が必要だね。もしかしたら全部詐欺的な拡張機能かもしれないし、変なLLM駆動のアストロターフィングキャンペーンかもしれないけど、少なくとも共通の現実に基づいて議論しようよ。

実際の問題は何なの?時間が経っただけだと思うけど…今はみんな、時間が経ったからこれらのサービスはまあ大丈夫だろうって思ってるよね。昔はみんな知ってたよね:あなたはそこで商品なんだって。技術的には、これが可能だっていうのは全然驚きじゃないし、全く新しいことでもない。技術的じゃない部分でも、さっき言ったように…嵐をやり過ごそうとしたんだよね。これらのサービスが問題だってことはみんな知ってる。初日からみんな知ってたよ。誰も即座にそれを理解できないほどバカじゃないよ。理解できないなんてありえない。今までの戦略はただ待つことだった。こんな「平凡な」戦略で、より良い結果を期待してた人は誰?

でも、これがスクレイピング対策になるの?これじゃスクレイピングには全然効果がないよ。ただ、標準的な拡張機能を持ってるフリをすればいいだけだし。