「BrowserGate」と題された新しいレポートは、マイクロソフトのLinkedInが、ウェブサイト上の隠しJavaScriptスクリプトを使用してアクセス者のブラウザにインストールされている拡張機能をスキャンし、デバイスデータを収集していることを警告しています。
商用LinkedIn利用者の団体を標榜するFairlinked e.V.のレポートによると、マイクロソフトのプラットフォームはJavaScriptをユーザーセッションに注入し、数千のブラウザ拡張機能をチェックして、その結果を特定可能なユーザープロファイルにリンクしています。
著者は、LinkedInアカウントが実際の身元、雇用者、職務に紐付けられているため、この動作は機密の個人および企業情報を収集するために使用されていると主張しています。
「LinkedInは、Apollo、Lusha、ZoomInfoを含む、独自の販売ツールと直接競合する200以上の製品をスキャンします。LinkedInは各ユーザーの雇用者を知っているため、どの企業がどの競争製品を使用しているかをマッピングできます。これは、誰の知識なしに、ユーザーのブラウザから数千のソフトウェア企業の顧客リストを抽出しています」とレポートは述べています。
「そして、発見したものを利用します。LinkedInはすでに、この秘密のスキャンを通じて得られたデータを使用して、ターゲットを特定し、サードパーティ製ツールのユーザーに強制警告を送信しています。」
BleepingComputerは、独立した検査を通じてこれらの主張の一部を確認しました。その際、ランダム化されたファイル名を持つJavaScriptファイルがLinkedInのウェブサイトによってロードされているのを観察しました。
このスクリプトは、特定の拡張機能IDに関連するファイルリソースへのアクセスを試みることで、6,236個のブラウザ拡張機能をチェックしました。これは、拡張機能がインストールされているかどうかを検出するための既知の技術です。
このフィンガープリントスクリプトは以前2025年に報告されていますが、当時は約2,000の拡張機能のみを検出していました。2ヶ月前の別のGitHubリポジトリは3,000の拡張機能が検出されていることを示しており、検出される拡張機能の数が継続的に増加していることを実証しています。
スキャンされる拡張機能の多くはLinkedIn関連ですが、スクリプトは奇妙なことに言語や文法の拡張機能、税理士向けツール、および他の一見無関係な機能も検出しました。
スクリプトはCPUコア数、利用可能なメモリ、画面解像度、タイムゾーン、言語設定、バッテリー状態、オーディオ情報、ストレージ機能を含む、幅広いブラウザおよびデバイスデータも収集します。
BleepingComputerはBrowserGateレポートのデータの使用方法またはそれがサードパーティ企業と共有されているかどうかについての主張を検証できませんでした。
しかし、同様のフィンガープリント技術は過去に一意のブラウザプロファイルを構築するために使用されており、ウェブサイト全体でユーザーの追跡を可能にすることができます。
LinkedInがデータ使用疑惑を否定
LinkedInは特定のブラウザ拡張機能を検出していることを否定しておらず、BleepingComputerに対して、この情報はプラットフォームとそのユーザーを保護するために使用されていると述べています。
しかし、同社はレポートが、LinkedInコンテンツをスクレイピングしてサイトの利用規約に違反した理由でアカウントが禁止された人からのものであると主張しています。
「このウェブサイトに記載されている主張は完全に間違っています。それらの背後にいる人物は、LinkedInの利用規約のスクレイピングおよび他の違反に関するアカウント制限の対象です。
メンバーのプライバシー、データを保護し、サイトの安定性を確保するために、メンバーの同意なしにデータをスクレイピングする、またはLinkedInの利用規約に違反する拡張機能を探します。
理由は次のとおりです。一部の拡張機能には、Webページに注入できる静的リソース(画像、JavaScript)があります。その静的リソースURLが存在するかどうかをチェックすることで、これらの拡張機能の存在を検出できます。この検出はChrome開発者コンソール内に表示されます。このデータを使用して、利用規約に違反する拡張機能を判定し、技術防御を改善し、メンバーアカウントが他のメンバーの過度な量のデータをフェッチしている理由を理解します。これは規模によってはサイトの安定性に影響します。このデータを使用してメンバーに関する機密情報を推測することはありません。
追加のコンテキストとして、このウェブサイト所有者のアカウント制限に対する報復として、彼らはドイツで差止請求を取得しようとし、LinkedInがさまざまな法律に違反したと主張しました。裁判所は彼らに対して判決を下し、LinkedInに対する彼らの主張には根拠がないと判断し、実際にはこの個人自身のデータ実務が法律に違反しました。
残念ながら、これは法廷で敗訴した個人が、正確さを顧みずに世論の場で再度訴訟しようとしている事例です。」
LinkedInはBrowserGateレポートが「Teamfluence」というLinkedIn関連のブラウザ拡張機能の開発者との紛争に由来すると主張しており、LinkedInはプラットフォームの利用規約に違反したため制限されたと述べています。
BleepingComputerと共有されたドキュメントでは、ドイツの裁判所は開発者の仮差止命令の請求を却下し、LinkedInの行為は違法な妨害または差別を構成しないと判断しました。
また、自動化されたデータ収集単独がLinkedInの利用規約に違反する可能性があり、プラットフォームを保護するためにアカウントをブロックする権利があることを判断しました。
LinkedInはBrowserGateレポートがその紛争を公開で再度訴訟しようとする試みであると主張しています。
レポートの理由に関わらず、1つの点は異論の余地がありません。
LinkedInのサイトはChromiumブラウザで実行されている6,000以上の拡張機能を検出するフィンガープリントスクリプト、および訪問者のシステムに関する他のデータを使用しています。
これは、企業が訪問者のデバイスで実行されているプログラムを検出するために積極的なフィンガープリントスクリプトを使用した最初の時間ではありません。
2021年、eBayはJavaScriptを使用して訪問者のデバイスで自動ポートスキャンを実行し、さまざまなリモートサポートソフトウェアを実行しているかどうかを判定することが判明しました。
eBayはこれらのスクリプトを使用している理由を確認することはありませんでしたが、それらはコンプロマイズされたデバイスでの詐欺をブロックするために使用されたと広く信じられていました。
その後、Citibank、TD Bank、Ameriprise、Chick-fil-A、Lendup、BeachBody、Equifax IQ connect、TIAA-CREF、Sky、GumTree、およびWePayを含む多くの他の企業が同じフィンガープリントスクリプトを使用していることが発見されました。
