結論から言う。Google Chromeの「サイトの設定」(chrome://settings/content)には、過去に「許可」を押したサイトの権限がすべて残っている。位置情報、カメラ、マイク、通知、クリップボード。筆者は先月この画面を開いて数えたら、14件の許可が放置されていた。

SIer時代に同じ轍を踏んだことがある。社内基幹システムの承認ログが「全社読み取り可」のデフォルトパーミッションで半年間放置されていた。能動的に確認しなければ、誰も気づけない構造だった。ブラウザのサイト権限も根は同じだ。

一度「許可」を押した権限はどうなるのか

Chromeでは、サイトがカメラやマイク、位置情報を使おうとすると「○○が△△の使用を求めています」というダイアログが出る。ここで「許可」を押すと、その許可はブラウザに記録される。

問題はその後だ。

許可を出したサイトを使わなくなっても、権限は自動で消えない。Google Chrome公式ヘルプにも記載があるとおり、一度許可された権限は手動で取り消すか、Chrome側の自動取り消し機能(後述)が作動するまで有効なままだ。つまり、半年前に1回だけ使った不動産サイトに位置情報を許可していたら、そのサイトは今日もあなたの位置情報にアクセスできる状態にある。

放置した権限が実際に悪用される事例も出始めている。セキュリティ企業Netcraftが2026年に報告した「カメラファースト・フィッシング」では、攻撃者が決済確認を装うページでカメラ・マイク・位置情報の許可を要求し、取得した顔データと位置情報をTelegramのボット経由で外部送信する手口が確認された。ブラウザの権限許可そのものが、個人認証データの収穫チャネルに変わっている。

Chromeで権限を一括確認する手順

Chromeのアドレスバーに chrome://settings/content と入力してEnterを押す。これだけで「サイトの設定」画面に直接飛べる。2026年7月時点のChrome 147で確認済み。

この画面には権限カテゴリが並んでいるが、全部を見る必要はない。優先的に確認すべきものは5つに絞れる。

優先度の高い権限カテゴリ:

  1. 位置情報chrome://settings/content/location)。地図・配車サービス以外に許可しているサイトがあれば取り消す
  2. カメラchrome://settings/content/camera)。Web会議サービス(Zoom、Google Meet、Teams)以外はまず不要だ
  3. マイクchrome://settings/content/microphone)。カメラと同じ基準で判断する
  4. 通知chrome://settings/content/notifications)。ニュースサイトやECサイトに許可を出していたら、その大半は広告通知だと判断してよい
  5. クリップボードchrome://settings/content/clipboard)。コピー内容を読み取る権限で、許可が必要なサイトはほとんど存在しない

各カテゴリをクリックすると、「許可」の欄にサイトのURLが一覧で並ぶ。見覚えがないサイト、もう使っていないサイトがあれば、右側のゴミ箱アイコンで権限を削除する。削除してもサイト自体のデータやブックマークには影響しない。次回アクセスしたとき、必要なら改めてダイアログが出るだけだ。

もう1つ見ておく価値があるのが「すべてのサイトに保存されている権限とデータを表示」だ。chrome://settings/content/all からアクセスできる。サイトごとに付与した権限を横断で確認でき、ドメイン名で検索も可能。サイト数が多い場合はここから攻めたほうが効率的だと判断する。

「安全確認」の自動取り消しは万能ではない

Chrome 147(2026年7月時点)には「安全確認」(Safety Check)機能がある。設定画面の「プライバシーとセキュリティ」からアクセスでき、しばらくアクセスしていないサイトの権限をChromeが自動的に取り消してくれる仕組みだ。

便利だが、過信は禁物。

自動取り消しの対象は「一定期間アクセスしていないサイト」に限られる。定期的にアクセスしているサイトの不要な権限は取り消されない。たとえば毎日見ているニュースサイトに通知権限を許可していた場合、そのサイトにはアクセスし続けているため、Safety Checkの対象外になる。権限が不要かどうかではなく、アクセス頻度だけで判断する仕組みだ。

SIer時代の経験から言えば、自動化された監視は「最低限のセーフティネット」であって、定期的な目視確認の代替にはならない。毎朝アクセスログを目視チェックしていた現場では、自動アラートが拾えなかった海外IPからのSSHブルートフォース攻撃を人間の目で発見したこともある。Chromeの安全確認も同じ位置づけだ。自動と手動の二段構えで運用すべきである。

デフォルト設定の確認と月1回の棚卸しルーチン

権限の個別確認に加えて、「デフォルトの動作」も1点確認しておく。chrome://settings/content の各権限カテゴリ冒頭に表示される設定だ。

位置情報・カメラ・マイクは「アクセスする前に確認する(推奨)」がデフォルトになっている。これが意図せず「許可」に変更されていると、すべてのサイトに対して権限が一律で付与されてしまう。逆に「ブロック」になっていると、Web会議でカメラが使えないトラブルの原因になる。推奨設定の「確認する」のままになっているかを確かめる。

筆者の棚卸しルーチンは以下のとおり。所要時間は3分程度。

  1. chrome://settings/content/all を開く
  2. 権限が付与されているサイトを上から順に確認する
  3. 「直近30日以内にその権限を使ったか」で要・不要を判断する
  4. 不要な権限を削除する
  5. 設定 > プライバシーとセキュリティ > 安全確認 を実行し、自動検知された項目を確認する

筆者はこの棚卸しをGoogleセキュリティ診断と同じタイミング(1月と7月)で実施している。SIer時代の毎朝のアクセスログ目視チェックと発想は同じで、能動的に確認しなければ権限の肥大化には誰も気づけない。

※ 検証はChrome 147(Windows 11 / macOS Sequoia)のみ。iOS版Chromeはブラウザ設定ではなくiOS側の「設定 > Chrome」で権限を管理するため、画面が異なる。

FAQ

Chromeの権限を「ブロック」に変えたらWeb会議でカメラが映らなくなった。どうすればいい?

デフォルトの動作を「ブロック」にすると、すべてのサイトでカメラが無効になる。デフォルトは「アクセスする前に確認する」に戻し、Zoom・Google Meet・Teamsだけ個別に「許可」を追加するのが安全な運用だ。

スマホのChromeでも同じようにサイト権限を確認できる?

Android版Chromeでは「設定 > サイトの設定」から同様にカメラ・マイク・位置情報の権限を確認できる。iPhoneの場合はChromeアプリ内ではなく、iOS側の「設定 > Chrome」で位置情報・カメラ・マイクの権限を管理する仕組みになっている。

SafariやEdgeでも同じ問題が起きている?

同じ構造だ。Safariはシステム設定(macOS)> ウェブサイトの設定で権限を確認できる。Microsoft Edgeは edge://settings/content でChromeとほぼ同一の権限管理画面にアクセスできる。ブラウザを問わず、権限の定期棚卸しは必要になる。

「安全確認」で自動取り消しされた権限は元に戻せる?

戻せる。安全確認の画面に「最近取り消された権限」が表示されるので、必要な権限は「許可」に再設定すればよい。一度取り消されても、次回そのサイトにアクセスすれば改めて許可ダイアログが表示される。

参考文献