Protonは、Proton VPNおよびProton Pass(新しいウィンドウ)用のブラウザ拡張機能を提供しています。ブラウザ拡張機能は便利で(楽しい(新しいウィンドウ)こともあります)、Chromeウェブストアだけでも250,000以上の拡張機能が利用可能(新しいウィンドウ)であり、非常に人気があります。
しかし、それらは安全でしょうか?
答えは「必ずしもそうではない」です。そのため、Googleは毎月、Chromeにアップロードされた約1,800の悪意のある拡張機能(新しいウィンドウ)をブロックしています。この記事では、その理由と、拡張機能が信頼できるかどうかを知る方法について学びます。
- ブラウザ拡張機能とは?
- ブラウザ拡張機能は安全ですか?
- ブラウザ拡張機能を安全に使用する方法
- ブラウザ拡張機能をアンインストールする方法
- 推奨される安全なブラウザ拡張機能
- では、ブラウザ拡張機能は信頼できるのか?
ブラウザ拡張機能とは?
ブラウザ拡張機能は、ウェブブラウザに追加して機能を拡張できる小さなソフトウェアプログラムです。拡張機能を使用すると、新しい機能を追加したり、ウェブサイトの動作を変更したりして、ブラウジング体験をカスタマイズできます。広告のブロック、パスワードの管理(新しいウィンドウ)、テキストの翻訳、データの暗号化(新しいウィンドウ)や追跡の防止によるプライバシーの強化など、幅広いタスクを実行できます。
たとえば、Proton VPNブラウザ拡張機能(新しいウィンドウ)は、速度やシステム上の他のアプリのIPアドレスに影響を与えることなく、ブラウザのトラフィックをVPNで暗号化します。Proton Passブラウザ拡張機能(新しいウィンドウ)は、パスワードの自動入力、安全なメモの管理、一意のメールエイリアスの生成を行います。
ブラウザ拡張機能は安全ですか?
要求する権限(これについては以下で説明します)によっては、ブラウザ拡張機能はブラウザで行うすべてのことにアクセスし、それをサードパーティに中継する可能性があります。これには以下が含まれます。
- ブラウジング履歴(訪問したページ、行った検索、特定のサイトでのやり取りを含む)
- 個人情報(ユーザー名とパスワード、メールアドレス、電話番号、住所など)
- 支払いおよび銀行の詳細
- ブラウザに保管済みのCookieおよびセッションデータ
- ダウンロードおよびアップロードアクティビティ(機密文書、写真、その他の個人データを含む)
- ブラウザにコピーまたはブラウザから貼り付けたクリップボードデータ
- 位置情報
- ブラウザと統合したその他のアプリまたはアカウント
したがって、悪意のあるブラウザ拡張機能は甚大な被害をもたらす可能性があります。モバイルアプリと同様に、ブラウザ開発者は権限システムを開発しており、拡張機能は必要な権限のみを要求する必要があります。理論的には、これにより悪意のある拡張機能ができる被害の量が制限されます。しかし:
- 多くの拡張機能が正しく機能するには、多くの権限へのアクセスを本当に必要とします(これには特にVPN拡張機能やパスワード拡張機能が含まれます)
- 悪意のあるアプリは、信頼できるものであれば必要としない権限を要求することがよくあります。しかし、拡張機能が必要とする権限がわかったとしても、インストールボタンを押す前に実際にこれらを確認する人はどれくらいいるでしょうか?
最近の研究によると、インストールされているすべてのブラウザ拡張機能の51%(新しいウィンドウ)に、甚大な被害をもたらす可能性があります(ただし、これらのほとんどは、害を及ぼすために必要な権限を持っているだけの正規の拡張機能であることに注意してください)。
ブラウザ拡張機能を安全に使用する方法
1. 信頼できる開発者からのみ拡張機能をダウンロードする
拡張機能の大きな問題は、審査がほとんど行われていないことです。基本的には、誰でもGoogle Chromeストア、Firefoxブラウザアドオン、および同様の場所に拡張機能をアップロードできます。
上記の研究で明らかになった衝撃的な事実の一つは、Chromeウェブストアにある約43,000の拡張機能の作成者が匿名であるということです。
言うまでもありませんが、信頼する開発者からのみ拡張機能をダウンロードする必要があります。
2. オープンソースの拡張機能を使用する
オープンソースの拡張機能は、資格のある人なら誰でも独自に監査でき、想定されていることだけを実行し、それ以外のことはしていないことを確認できます。これは、開発者を信頼するしかないクローズドソースのプロプライエタリな拡張機能とは対照的です。
ほとんどのオープンソースの拡張機能はこの方法で監査されていませんが、いつでも監査できる状態で公開されているという事実は、信頼できるという強力な兆候です(保証ではありませんが)。
3. 評判の良いソースからのみダウンロードする
すでに説明したように、多くの悪意のある拡張機能が網をすり抜けています。しかし、ChromeウェブストアやFirefoxブラウザアドオンなどの評判の良いブラウザ拡張機能リポジトリは、少なくともホストするソフトウェアを審査し、悪意があると見なされる拡張機能を削除しようと試みています。
4. 所有権や利用規約の変更を監視する
所有権や利用規約の変更により、信頼できていた拡張機能がリスクになる可能性があります。これが起こった有名な例(新しいウィンドウ)として、ウェブサイトの外観をカスタマイズするための人気があり信頼されていたツールであるStylish拡張機能があります。
Stylishは2017年に新しい会社に売却され、買収直後、新しい所有者は拡張機能を変更し、ユーザーの適切な同意なしにユーザーの完全なブラウジング履歴を密かに収集するようにしました。これには、訪問したすべてのウェブサイトと検索クエリが含まれており、これらはすべて機密性の高いデータです。プライバシーの専門家やユーザーが懸念を表明した後、この拡張機能は最終的にChromeおよびFirefoxのウェブストアから削除されました。
したがって、使用する拡張機能のプライバシーポリシーに重要な更新や変更がないか監視することが重要です。
5. 権限を監視する
ブラウザ拡張機能の権限は、ブラウザ拡張機能をより安全に使用するために特別に設計されたシステムです。しかし、上記で説明したように、実際にはその有用性は限定的です。
とはいえ、権限は大きな危険信号になり得るため、監視しておく必要があります。結局のところ、広告ブロッカー拡張機能がカメラやマイクへのアクセス許可を求める必要はないはずです。
6. 未使用の拡張機能を削除する
以前にインストールしたが使用していないブラウザ拡張機能は、メモリを消費し、潜在的かつ不必要なセキュリティリスクをもたらします。ですので、削除してください。
ブラウザ拡張機能をアンインストールする方法
この記事を読んだ後、ブラウザ拡張機能を監査し、疑わしいもの(または単に使用していないもの)をアンインストールしたいと思うかもしれません。以下は、最も人気のあるブラウザ(新しいウィンドウ)でこれを行うための簡単なガイドです。
Firefox(デスクトップ)
Firefoxを開き、拡張機能メニューバーアイコン(ジグソーパズルのピースのようなアイコン)を選択します。アンインストールしたい拡張機能の横にある⚙アイコンをクリックし、→ 拡張機能を削除を選択します。
Firefox(Android)
1. Firefoxアプリを開き、⋮ → アドオン(または拡張機能) → アドオンマネージャーに移動し、アンインストールしたい拡張機能を選択します。
2. 削除を選択します。
Chrome(デスクトップ)
ChromeおよびChromiumでは、⋮ → 拡張機能 → 拡張機能を管理に移動し、アンインストールしたい拡張機能を選択して → 削除をクリックします。
Brave(デスクトップ)
Braveを開き、☰ → 拡張機能に移動し、アンインストールしたい拡張機能を選択して → 削除をクリックします。
Edge(Windows)
Edgeを開き、拡張機能メニューバーアイコン(ジグソーパズルのピースのようなアイコン)を選択します。アンインストールしたい拡張機能の横にある⚙アイコンをクリックし、→ ⋮ → Microsoft Edgeから削除を選択します。
Safari(macOS)
Safariを開き、macOSメニューバー → Safari → 設定… → 拡張機能タブに移動し、削除したい拡張機能を選択して → アンインストールをクリックします。
推奨される安全なブラウザ拡張機能
以下のブラウザ拡張機能はオープンソースであり、広く信頼できると見なされている個人または組織によって開発されています。ただし、自社ソフトウェアを除き、Proton VPNはこれらの拡張機能に関する内部知識を持たず、いかなる監査も行っておらず、インストールを選択した場合の責任は負いません。
プライバシーを誰にとってもデフォルトにするという使命を持つ企業として、オンラインブラウジングをより安全にする拡張機能に焦点を当てます。
Proton VPN
Proton VPNは、世界中の何百万人ものジャーナリスト、活動家、一般の人々に信頼されている、スイスに拠点を置くノーログVPNサービスです。主要なすべてのブラウザ向けのブラウザ拡張機能を使用すると、速度やシステム上の他のアプリのIPアドレスに影響を与えることなく、VPNでブラウザのトラフィックを保護できます。
たとえば、オンラインゲームのping値に影響を与えることなくプライベートに閲覧できます。あるいは、あるブラウザで別の国からストリーム再生しながら、別のブラウザで地元の最安値をショッピングすることもできます。また、ローエンドデバイスや、完全なVPNアプリをインストールする管理者権限がないデバイスでのプライベートなブラウジングにも最適です。
ほとんどのオープンソースのブラウザ拡張機能とは異なり、Proton VPNブラウザ拡張機能はサードパーティのセキュリティ専門家によって完全に監査(新しいウィンドウ)されています。当社のノーログインフラストラクチャも監査されています。
Proton Pass(新しいウィンドウ)
Proton Passは、パスワード、メモ、その他の機密データを安全に保存し、エンドツーエンド暗号化でプライバシーを保護するように設計されています。これにより、お客様だけが情報にアクセスでき、Protonでさえもデータを見ることができないことが保証されます。
ブラウザ拡張機能(すべての主要ブラウザ対応)は、パスワードの保存と自動入力、安全なパスワード(新しいウィンドウ)やパスフレーズの作成、および2要素認証コードの生成が可能です。組み込みのhide-my-email機能は、使い捨てのメールエイリアスを作成でき、新しいオンラインサービスにサインアップする際にプライバシーを維持し、迷惑メールを回避できます。
すべてのProton製品と同様に、Proton Passブラウザ拡張機能はオープンソース(新しいウィンドウ)であり、独立した監査を受けています(新しいウィンドウ)。
Privacy Badger (新しいウィンドウ)
電子フロンティア財団(新しいウィンドウ)(EFF)によって作成されたPrivacy Badgerは、ウェブ上で追跡してくる見えないトラッカーを自動的にブロックすることで、プライバシーの保護に重点を置いています。従来の広告ブロッカー(Proton VPNのNetshield広告ブロッカー機能を含む)とは異なり、Privacy Badgerはどのドメインが行動を追跡しているかを時間をかけて学習し、それに応じてブロックします。
Privacy Badgerは、事前に定義されたフィルターリストに依存しません。代わりに、閲覧中のサードパーティの追跡行動を観察します。複数のサイトで同じトラッカーを検出すると、自動的にブロックします。また、サードパーティの追跡cookieをブロックしますが、追跡しない広告は許可します。
Privacy BadgerとProton VPNのNetshield広告ブロッカー機能は互いに補完し合い、併用することができます。
Cookie AutoDelete(新しいウィンドウ)
cookieブロックソフトウェア(ブラウザ拡張機能を含む)の問題点は、cookieがログイン状態の維持など、正当な目的でウェブサイトによって使用されることが多いことです。場合によっては、cookieをブロックすることで、アクセスしたいウェブサイトが「破損」してしまうことさえあります。
Cookie AutoDelete拡張機能は、ウェブサイトへの訪問中にはブラウザにcookieを配置することを許可し、タブやウィンドウを閉じた後に自動的にそれらを削除することで、プライバシーと使いやすさのバランスをとるのに役立ちます。
Decentraleyes(新しいウィンドウ)
ウェブサイトは、不可欠なリソースをホストするためにサードパーティのコンテンツデリバリネットワーク(新しいウィンドウ)(CDN)に依存することがよくありますが、これらのCDNは異なるサイト間でユーザーを追跡する可能性があります。Decentraleyesは、CDNで使用される一般的なウェブライブラリをローカルでホストするため、ウェブサイトがCDNからリソースをリクエストすると、リソースを傍受してローカルで読み込みます。
これにより、この種の追跡をブロックしてプライバシーを維持しながら、訪問するウェブサイトが適切に機能することを保証します。また、ウェブページの読み込みを高速化するのにも役立ちます。
では、ブラウザ拡張機能は信頼できるのでしょうか?
はい。開発者が信頼できる限りは。
結論として、(システム上で実行する他のほとんどのソフトウェアと同様に)悪意のあるブラウザ拡張機能は甚大な被害をもたらす可能性があり、ブラウザ開発者が導入した保護策は、これを防ぐ上で非常に限定的な効果しかありません。
しかし、信頼できる開発者に属することが確認されている信頼できるストアからブラウザ拡張機能をダウンロードすれば(オープンソースはどの開発者が信頼できるかを判断するのに役立ちます)、心配することはほとんどありません。
