AI News
LinkedInによるブラウザ拡張機能の無断スキャン:フィンガープリンティングの脅威と実態
📝 概要
LinkedInが、ユーザーのブラウザにインストールされている6,000個以上の拡張機能を無断でスキャンしていることが判明しました。これは、ブラウザから取得できる情報を組み合わせて個人を特定する「フィンガープリンティング」という手法の一環として行われている可能性が高いと考えられます。具体的には、ウェブページ側から特定の通信プロトコルを用いて、各拡張機能が持つ固有のリソースにアクセスを試みることで、その有無を判定しています。ユーザーの意図しない形でプライバシー情報が収集される懸念があるため、技術的な背景を理解し、適切な自己防衛策を講じることが重要です。
📋 詳細レポート
ブラウザ側から拡張機能を検知する技術的仕組み
ウェブページ上のJavaScriptから、ユーザーがインストールしているChrome拡張機能の有無を判別することは、技術的に可能です。具体的には、Chrome拡張機能専用のプロトコルであるchrome-extension://を利用します。
各拡張機能には固有のIDが割り振られており、その内部に「Webアクセシブルリソース(Web側からアクセス可能なリソース)」として定義されたファイル(例:manifest.jsonやmain.html)が存在する場合、ウェブページからそのファイルに対してfetchリクエストを送信できます。このリクエストに対して「200 OK」が返ればその拡張機能はインストールされており、エラーが返ればインストールされていないと判断できる仕組みです。LinkedInはこの手法を用いて、主要な6,000個以上の拡張機能に対して網羅的なスキャンを実行していることが確認されています。
フィンガープリンティングと個人特定
このスキャン行為の背後には、「フィンガープリンティング」という技術が存在します。単一の拡張機能情報だけでは個人の特定は困難ですが、複数の情報を組み合わせることで精度が飛躍的に高まります。
- フィンガープリンティング: IPアドレス、CPU、メモリ容量、使用言語、ユーザーエージェント、そして「どの拡張機能をインストールしているか」という情報を組み合わせ、クッキーを使用せずにブラウザの個体を識別する手法です。
- 永続性と隠匿性: クッキーのようにユーザーが手動で削除することができず、JavaScriptが実行されるだけで自動的にサーバーへ情報が送信され続けるため、プライバシー保護の観点から非常に厄介な存在です。
LinkedIn側の主張と実際の挙動
LinkedIn側は、このスキャンについて「スクレイピング(情報の無断収集)を防止するための対策である」と主張しています。しかし、実際の挙動をネットワークタブで確認すると、ページを開いている間に膨大な数のリクエストがバックグラウンドで絶え間なく送られており、ユーザーのブラウザリソースを著しく消費している実態があります。これはGDPR(欧州一般データ保護規則)などのプライバシー規制の観点からも議論の余地がある行為です。
今後の展望とユーザー側の対策
このような無断スキャンから身を守るためには、以下の対策が有効です。
- ブラウザプロファイルの使い分け: 仕事用、プライベート用、LinkedIn用などでプロファイルを分けることで、特定のプロファイルにインストールされている拡張機能情報を隔離できます。
- Firefoxの利用: Firefoxはプライバシー保護機能が強化されており、拡張機能のIDをセッションごとにUUID(ランダムな識別子)へ変換する設計のため、外部からの決め打ちスキャンが通用しません。
- 拡張機能開発側の対応: Chrome 130以降では、
use_dynamic_urlプロパティを有効にすることで、Firefoxと同様にIDを動的に変化させることが可能になりました。ただし、現時点では多くの主要な拡張機能でも対応が進んでいないのが現状です。
開発者や一般ユーザーは、利便性だけでなく「インストールしている拡張機能自体が個人の識別子になり得る」というリスクを認識し、不要な拡張機能は削除するといった基本的なセキュリティ意識を持つことが求められています。