彼らはあなたがどこにいたかを知っており、それを共有しようとしています。セキュリティ研究者が、推定3,740万回のインストール数を持つ287個のChrome拡張機能が、閲覧履歴データを不正に流出させていると特定しました。
閲覧履歴データ(訪問したウェブサイトの記録)は、人々の活動や興味に関する潜在的に機密性の高い情報を明らかにします。匿名化されている可能性がありますが、学術研究者たちは、公開されているソーシャルメディアのプロフィールを使用して、しばしば個人まで追跡できることを示しています[PDF]。
したがって、閲覧履歴データの共有は個人のプライバシーを侵害しますが、研究者が検出した情報収集の少なくとも一部は、プライバシーポリシーで開示されています。それでも、これらの拡張機能をインストールした個人は、自分が受け入れたプライバシーポリシーがプライバシーを約束していなかったことに気づいていない可能性があります。
スタートレック:ネクストジェネレーションにちなんで「Q Continuum」という名前を使用している研究者は、オンライン投稿でプロジェクトの動機を説明し、この種のデータ収集がブラウザ拡張機能にとって長年の懸念事項であることを認めました。
実際、わずか2か月前に、Chrome Web Storeのいくつかの広告ブロックおよびVPN拡張機能がチャットボットの会話をキャプチャしていることが発見されたことを報告しました。そして2025年3月には、生成AI拡張機能が機密性の高いユーザーデータをキャプチャして共有していることが判明した研究について議論しました。また、指摘してきたように、人気のあるChrome拡張機能の開発者は、データ収集スクリプトの挿入に興味を持つ買い手に売却するよう絶え間ない勧誘に直面しています。
Qは、過去にChrome拡張機能が、SimilarwebやAlexaなどのデータブローカーによって収集されるユーザーの閲覧データを流出させていると指摘されてきたことを観察しています。この研究レポート[PDF]は、ウェブ分析企業Similarwebやその他のデータ収集企業が今でもそれを行っていることを文書化する取り組みを表しています。
「なぜそれが重要なのか?」とQ Continuumは問います。「この問題全体には道徳的な側面があります。無害に見える拡張機能を介したデータ流出にビジネスモデルを構築し、そのデータを大企業に販売することを想像してください。それがSimilarwebがデータの一部を取得している方法です。これは、無料で使用しているソフトウェアがオープンソースでない場合、自分が製品であると想定すべきであることを思い出させるはずです。」
レポートによると、データを漏洩する拡張機能には共通の特徴があります:それらは無害なツールであると装いながら、正当な理由なしに閲覧履歴などの機密データへのアクセスを要求します。
「多くのユーザーは、監視を認識していても、そのようなアクセスのリスクや結果を把握できていません」とレポートは述べています。「これはプライバシー侵害を構成します。なぜなら、利用規約やプライバシーポリシーがこれらの慣行を頻繁に曖昧にし、ユーザーがデータ収集に同意したことに気づかないままにしているからです。」
Qの研究は、Michael Weissbacherらによって2017年に発表[PDF]された研究「Ex-Ray: Detection of History-Leaking Browser Extensions」に基づいています。Qは、中間者(MITM)プロキシの背後にあるChromiumを使用したDockerを使用した自動テストシステムを開発し、合成ブラウジングワークロードを実行し、訪問したURLと送信ネットワークリクエストを関連付けて履歴漏洩を検出しました。
テストパイプラインは、閲覧データの収集に関与する30社以上の企業を明らかにしました。3,740万回の関連インストールのうち約2,000万回については、収集エンティティは不明でした。残りについては、Similarweb、Big Star Labs(Similarwebの一部門とされる)、Semrush、Alibaba Group、ByteDanceなどの企業でした。
「この調査結果は、悪意のある拡張機能によってもたらされる増大するリスクからユーザーを保護するために、より大きな認識とより堅牢な保護措置が緊急に必要であることを浮き彫りにしています」とQのレポートは述べています。
レポートの焦点であるSimilarwebは、コメント要請に応じませんでした。同社の拡張機能プライバシーポリシーは、閲覧データの収集を開示しています。同社は、個人を特定できる情報を削除するためにクライアント側で閲覧データをスクラブすることと、「このデータの一部には、実施された検索や閲覧するコンテンツに応じて、個人データおよび機密データが含まれる場合があります」の両方を主張しています。
2025年2月27日付けのSimilarwebの財務報告書は、ブラウザ拡張機能やアプリから収集されたデータへの同社の依存を証明しています。同社のリスク定型文には、「当社のプラットフォームとソリューションは、Chrome Web Store、Google Play、Apple App Storeなどのサードパーティのオンラインプラットフォームやストアを通じて配布されるブラウザ拡張機能、モバイルアプリ、その他の製品を通じて、貢献ネットワークからデータを取得する能力に一部依存しています」と記載されています。
Googleもすぐには当社の問い合わせに応じませんでした。セキュリティ研究者Wladimir Palantが指摘しているように、GoogleのChrome Web Storeには、データがデータブローカーと共有されることを防ぐことを目的とした限定使用ポリシーがあります。しかし、このポリシーには、悪質な企業によって悪用される可能性のある例外が許可されています。®
