SIer時代、社内基幹システムの承認ログが「全社読み取り可」のデフォルトパーミッションで半年間放置されていたことがある。他部署から決裁内容を閲覧できる状態なのに、誰ひとり気づかなかった。あのとき学んだのは、デフォルト権限の放置は発覚したときには手遅れだということだ。Chrome拡張機能のデータ収集も、構造としてはまったく同じである。

結論から言う。2026年2月のセキュリティ調査で、Chrome Web Store上の287個の拡張機能が約3,740万ユーザーの閲覧履歴を外部サーバーに送信していたことが判明した。しかも多くはプライバシーポリシーに「データ売却の権利を留保する」と明記しており、法的にはグレーどころか合法だ。

拡張機能の権限はインストール時に一度許可したきり、ほとんどの人は二度と見返さない。広告ブロッカーや検索支援のような無害に見えるツールが、裏でGoogle検索のURL、SNSアカウントの特定に十分な情報を収集し、データブローカーに売却している。自分のChromeに入っている拡張が安全かどうか、5分で確認できる。

2026年前半に発覚した「拡張機能データ売却」の規模

まず数字を並べる。

セキュリティ企業Q Continuumが2026年2月に公開した調査では、Chrome Web Storeの上位32,000拡張を自動スキャンし、287個が閲覧履歴または検索結果ページ(SERP)のデータを外部サーバーに送信していた。推定影響ユーザー数は3,740万インストール。情報分析ツールとして知られるSimilarwebの関連拡張も含まれていて、そのインストール数だけで1,010万回に達する。調査手法はDocker上でChromeを起動し、中間者プロキシ(MITM)経由で通信を監視するというものだ。再現性のある手法で検出されたデータである点は重要だと判断する。

盗まれたデータの中身は、Google検索のURLとユーザーID。ソーシャルメディアのアカウントを特定できるほど詳細な情報が含まれていたとThe Register(2026年2月11日)は報じている。

さらにLayerXが2026年4月に公開したEnterprise Browser Extension Security Report 2026は別の角度から問題を裏付けた。少なくとも82個の拡張が「ユーザーデータを第三者に売却する権利を留保」とプライバシーポリシーに記載していたのだ。そのうち12個は広告ブロッカーで、合計ユーザー数は550万人超。広告をブロックしてプライバシーを守るつもりで入れたツールが、閲覧履歴を売っていた。皮肉な構図である。

AI搭載の拡張機能はリスクが通常の3倍

問題はレガシーな拡張だけではない。AI搭載拡張のリスクは数値で明確に出ている。

LayerXの同レポートによれば、AI拡張は通常の拡張と比較して以下の特徴がある。

  • 既知の脆弱性(CVE)を持つ確率が60%高い
  • Cookieへのアクセス権限を持つ確率が3倍
  • リモートスクリプトの実行権限を持つ確率が2.5倍
  • 過去12ヶ月で権限を拡大した確率が6倍

企業ユーザーの約15%、つまり6人に1人がAI拡張をインストールしている状況でこの数値は無視できない。

Incogniが2026年1月に公開したAI搭載Chrome拡張442件の調査では、52%が何らかのユーザーデータを収集しており、29%は個人を特定できる情報(PII)を取得していた。42%がスクリプト実行権限を要求し、影響ユーザーは推定9,200万人に及ぶ。スクリプト実行権限があれば、Webページの表示内容を書き換えることもキー入力を取得することも技術的には可能だ。

2026年1月にはさらに深刻な事例が発覚した。「Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI」(約60万ユーザー)と「AI Sidebar with DeepSeek, ChatGPT, Claude, and more」(約30万ユーザー)の2件が、ChatGPTとDeepSeekの会話内容を丸ごと外部に送信していた。OX Securityの調査によれば、この2件はChromeの全タブURLとAIチャットの会話テキストを30分おきにC2サーバー(指令サーバー)へ送信する仕組みだった。合計90万人が影響を受けている。

筆者も毎朝Claudeで業務メモを要約しているが、以前メモリーの保存内容を確認したら社内プロジェクトの固有名称が自動保存されていて冷や汗をかいた経験がある。それでもメモリーは自分で削除できる。拡張機能経由で会話が外部に流出した場合、回収する手段は存在しない。

自分のChrome拡張を棚卸しする手順

対処はシンプルだ。現状を把握し、不要なものを消し、残すものの権限を絞る。

Step 1: インストール済みの一覧を確認する

Chromeのアドレスバーに chrome://extensions/ と入力する。右上のメニュー →「拡張機能」→「拡張機能を管理」でも同じ画面に到達する。ここに表示されるものが、自分のブラウザで動いているすべてだ。

Step 2: 各拡張の権限を確認する

一覧の各拡張で「詳細」をクリックすると「権限」セクションが表示される。Googleの公式ヘルプによれば、権限の危険度は高・中・低の3段階で分類されている。とくに注意すべきはこの2つだ。

  • アクセスしたウェブサイト上にある自分の全データの読み取りと変更」(全サイト対象)
  • 閲覧履歴の読み取り

広告ブロッカーやパスワードマネージャーのように、機能上これらの権限が必要なツールもある。問題は、翻訳ツールなのに閲覧履歴を読み取る、メモ帳アプリなのに全サイトのデータを読み書きする、といった機能と権限の不整合だ。

Step 3: 使っていない拡張を削除する

「詳細」画面から最終更新日を確認する。Chrome Web Storeに移動すれば更新頻度もわかる。半年以上更新がなく、日常的に使っていない拡張は削除する。LayerXの調査では、Chrome Web Storeの拡張の71%がプライバシーポリシーを公開していない。ポリシーがない拡張を残し続ける合理的な理由は、ほぼない。

Step 4: 残す拡張の「サイトへのアクセス」を絞る

chrome://extensions/ の各拡張「詳細」画面で「サイトへのアクセス」の項目を確認する。「すべてのサイト」になっている場合、「クリック時」または「特定のサイト」に変更することでバックグラウンドのデータ読み取りを制限できる。広告ブロッカーなど全サイトで動作する必要があるものはそのまま残すしかないが、それ以外は最小権限にするのが原則だ。SIer時代の権限設計と同じで、「必要な範囲だけ開ける」がセキュリティの基本である。

危険な拡張を見分けるチェックポイント

新規インストール時にも棚卸し時にも使える判断基準がある。

プライバシーポリシーの有無を見る。 Chrome Web Storeの拡張ページで「プライバシーへの取り組み」セクションを確認する。「デベロッパーがデータの収集や使用に関するこの情報を公開していません」と表示されている拡張は、データの取り扱いが不透明だ。71%がこの状態だという事実を知っておくだけで、インストール前の判断が変わるはずだ。

要求される権限と機能が釣り合っているか。 天気予報アプリが「すべてのサイトのデータ読み取り」を要求する。カラーピッカーが「閲覧履歴」を要求する。機能に対して過剰な権限要求は危険信号である。Incogniの調査ではAI搭載拡張の42%がスクリプト実行権限を要求していたが、文章校正ツールに本当にスクリプト実行が必要なのかは疑う余地がある。

「Featured」バッジを過信しない。 前述の偽AI拡張2件は、Chrome Web Storeで「Featured」(おすすめ)バッジを取得していた。90万人のユーザーがバッジを信用してインストールし、会話データを抜かれた。バッジはGoogleの審査を一度は通過した証拠だが、インストール後の挙動を継続監視する仕組みではない。

※ 検証は Chrome 126.0(2026年5月時点、Windows 11 24H2 / macOS Sequoia 15.5)で確認。権限表示の項目名やUIは今後のアップデートで変わる可能性がある。

FAQ

Chrome拡張機能がデータを売却しているか、個別に確認する方法はある?

Chrome Web Storeの各拡張ページにある「プライバシーへの取り組み」セクションで、収集データの種類と用途が開示されている。ただしLayerXの2026年調査では71%がこの情報を公開していない。確実に確認するにはプライバシーポリシー本文を読む必要があるが、ポリシー自体が存在しない場合はリスクが高いと判断すべきだ。

広告ブロッカーは全サイトの権限が必要だが、安全なものをどう選べばいい?

オープンソースで開発されていて、プライバシーポリシーで「データ売却を行わない」と明記しているものを選ぶ。uBlock Originはソースコードが公開されており、第三者の監査が可能だ。LayerXの調査で「データ売却権を留保」と確認された12個の広告ブロッカーにuBlock Originは含まれていない。

拡張機能を削除すれば、それまでに収集されたデータも消える?

消えない。削除してもローカルの設定データが消えるだけで、外部サーバーに送信済みの閲覧履歴やチャットデータは回収不可能だ。AIチャットの学習データオプトアウトと同じ構造で、操作は将来のデータ収集を止めるだけであり、過去のデータには遡及しない。

Firefoxなど他のブラウザでも同じリスクがある?

ある。ブラウザ拡張のアーキテクチャ自体が権限ベースのアクセス制御であり、Chrome・Firefox・Edge共通の構造だ。ただしChromeはシェアが圧倒的に大きいため攻撃者の費用対効果が高く、悪意ある拡張の数もChromeが最多である。

参考文献