Google Chromeの拡張機能を安全に使用するには？ Googleが解説：安全確保専門チームの役割を紹介

ブラウザの拡張機能を使用するとブラウジングの幅が広がるが、リスクが潜んでいる。本稿では、Googleが公式ブログで紹介したGoogle Chromeの拡張機能の安全性を維持する取り組みについて取り上げる。

[＠IT]

　Googleは2024年6月20日（米国時間）、同社公式ブログで「Google Chrome」の拡張機能の安全性を維持する取り組みについて紹介した。ブログの内容は以下の通り。

　Chromeの拡張機能を使用すると、ブラウジングの幅が広がる。しかし、他のソフトウェアと同様、拡張機能にもリスクが潜んでいる。

　そのため、GoogleにはChrome拡張機能の安全確保を唯一の仕事とするチームがある。チームの役割は以下の通りだ。

• インストールした拡張機能の個別サマリーを提供する
• 「Chrome ウェブストア」で公開される前に拡張機能をレビューする
• 公開後も継続的に拡張機能を監視する

拡張機能のサマリーの提供

　拡張機能ページの上部（chrome://extensions）には、セキュリティリスクのある拡張機能がインストールされていることを示す警告が表示される（表示されない場合は、おそらく心配しなければならない拡張機能がない）。パネルには以下が含まれる。

• マルウェアが含まれている疑いのある拡張機能
• Chrome ウェブストアのポリシーに違反している拡張機能
• 開発者によって公開が解除された拡張機能（サポートが終了した可能性がある拡張機能）
• Chrome ウェブストアのものではない拡張機能
• 収集したデータの処理方法およびその他のプライバシーポリシーを公開していない拡張機能

　Chromeの安全性チェックで推奨事項があると通知が届く。または、Chromeのアドレスバーに「run safety check」と入力し、対応するショートカット「Go to Chrome safety check」を選択することでも確認できる。

（提供：Google）

　安全性チェックの他にも、以下の方法で直接拡張機能のページにアクセスできる。

• chrome://extensionsに移動する
• パズルのアイコンをクリックし、「拡張機能の管理」を選択する
• 「その他の選択肢」メニューをクリックし、「メニュー」＞「拡張機能」＞「拡張機能の管理」を選択する

公開前の拡張機能のレビュー

　拡張機能がChrome ウェブストアからインストールできるようになる前に、Googleは拡張機能の安全性を確認するために下記の2段階で検証している。

1. 自動レビュー：各拡張機能は、機械学習システムによって検証され、違反の可能性や疑わしい動作が検出される
2. 手動レビュー：自動レビューの後に手動で各拡張機能の画像、説明、公開ポリシーを調査する。自動レビューと手動レビューの両方の結果によっては、さらに深く徹底的にコードをレビューすることもある

　このレビュープロセスにより、多くの悪質な拡張機能が公開される前に排除される。2024年、「Chrome ウェブストア」からインストールされた拡張機能のうち、マルウェアが検出されたのは全体の1％未満だった。それでも一部の悪質な拡張機能がレビューをすり抜けるため、公開済みの拡張機能も監視している。

公開されている拡張機能の監視

　公開前の拡張機能を審査するChromeチームは、Chrome ウェブストアに既に公開されている拡張機能も監視している。この監視には、事前チェックと同様に、手動レビューと自動レビューの両方が含まれる。また、Google社外の信頼できるセキュリティ研究者とも密接に連携し、開発者データ保護報奨プログラムを通じてChromeユーザーに脅威の可能性を報告した研究者に報酬を支払うこともある。

　時間の経過とともに更新される拡張機能や、後日悪意のあるコードが実行されるようにプログラムされた拡張機能についても監視している。拡張機能が実際に実行していることを定期的に確認し、Chrome ウェブストアで各拡張機能が定義している目的と比較している。

　拡張機能がChromeユーザーに深刻なリスクをもたらすとチームが判断した場合、その拡張機能は直ちにChromeWebストアから削除され、インストールされている全てのブラウザで無効になる。

安全でない可能性のある拡張機能がダウンロードされると、拡張機能のページにハイライトが表示される（提供：Google）