こんにちは!便利なブラウザ拡張機能(アドオン)は多いですが、本当に安全かどうかを見極めずにインストールしてしまうと、個人情報の漏洩やマルウェア感染のリスクがあります。今回は拡張機能をインストールする前にチェックすべきポイントをまとめました。
1. 必要な権限(パーミッション)を確認する
拡張機能をインストールするとき、Chrome Web StoreやFirefox Add-onsでは「権限」の一覧が表示されます。ここを見るのが第一関門です。
| 権限 | リスクレベル | 説明 |
|---|---|---|
tabs | 低〜中 | 開いているタブのURLを読める |
storage | 低 | ローカルデータの保存(一般的) |
activeTab | 低 | 現在のタブにだけアクセス |
<all_urls> | 高 | すべてのWebサイトのデータを読み取れる |
clipboardRead | 高 | クリップボードの内容を盗み見できる |
history | 中〜高 | 閲覧履歴を収集可能 |
単なるスクリーンショット拡張機能なのに history や <all_urls> を要求している場合は要注意です。
2. 開発者の評判と更新頻度を調べる
- ストアのレビューを読む: 低評価のコメントに「勝手に広告が表示される」「個人情報が抜かれた」などの報告がないか確認
- 更新履歴をチェック: 最終更新が1年以上前で、対応ブラウザの最新バージョンに追従していないものは避ける
- 開発者のWebサイト: 開発者の実在確認。会社名や個人のポートフォリオが確認できるか
3. プライバシーポリシーを読む(特にデータ収集系)
データを収集する拡張機能には、プライバシーポリシーへのリンクがストアページに記載されているはずです。以下の点を確認しましょう。
- どんなデータを収集するのか
- データを第三者と共有するのか
- データの保存期間はどの程度か
- オプトアウト(収集拒否)の方法があるか
プライバシーポリシー自体が存在しない、または内容があいまいな拡張機能は避けたほうが無難です。
4. オープンソースならソースコードを確認する
拡張機能がGitHubなどで公開されている場合、ソースコードを確認できます。
- 難読化(obfuscation)が過剰に行われていないか
- 明らかに不審な外部APIへの通信コードがないか
- コードのコメントやコミットメッセージが丁寧かどうか
# ソースコードの内容をざっと確認
grep -r "https\?://" ./extension-source/ | grep -v "chrome\." | grep -v "localhost"
不自然な外部ドメインへの通信が埋め込まれていないかチェックしましょう。
5. 実在する拡張機能で確認してみよう
例えば「AdBlock系」の拡張機能では、多くの場合 storage や activeTab 程度の権限しか要求しません。一方、無料のVPN拡張機能は <all_urls> に加えて webRequest を要求することが多く、データの盗聴リスクが指摘されています。
まとめ
ブラウザ拡張機能は「便利そう」という理由だけで安易にインストールせず、権限・開発者・ポリシー・コードの4点を最低限確認しましょう。特に個人情報やパスワードを扱うサイトで動作させる拡張機能は、慎重に選んでくださいね。
今日も最後までお読みいただき、ありがとうございました!「かいせつくん」でした。

