Chrome拡張機能の入れすぎに待った。その公式ストアのアプリ、「個人情報」が丸見えかも【対処法】

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [Chrome拡張機能の入れすぎに待った。その公式ストアのアプリ、「個人情報」が丸見えかも【対処法】](https://www.lifehacker.jp/article/2602-browser-extensions-passwords-in-plain-text/)【ライフハッカー・ジャパン】(2026年02月13日) --- > [!NOTE] この記事の要約（箇条書き） - ウェブサイト側の初歩的な設計ミスにより、パスワードやカード情報などの個人情報が暗号化されず、プレーンテキストとして露出している実態が判明しました。 - ウィスコンシン大学の研究で、調査した約15%のサイトが機密情報を「生の状態」で扱っていることが分かりました。 - Chrome拡張機能の約12.5%が、このような「生のデータ」を閲覧できる権限を持っています。 - 悪意のあるハッカーが、公式ストアの審査を通過する拡張機能を作成したり、既存の優良な拡張機能を乗っ取ったりして情報を盗むリスクがあります。 - ユーザー側でできる対策として、拡張機能の数を減らす、重要な情報入力時に一時的に無効にする、パスキーやモバイル決済など直接入力が不要な方法を選ぶことが挙げられます。 > [!NOTE] 要約おわり --- - [グローバルナビゲーションへジャンプ](https://www.lifehacker.jp/article/2602-browser-extensions-passwords-in-plain-text/#globalNav) - [フッターへジャンプ](https://www.lifehacker.jp/article/2602-browser-extensions-passwords-in-plain-text/#footer) 1. [TOP](https://www.lifehacker.jp/) 2. Chrome拡張機能の入れすぎに待った。その公式ストアのアプリ、「個人情報」が丸見えかも【対処法】 [#情報セキュリティハック](https://www.lifehacker.jp/keyword/information_security_tips/) 著者 Jake Peterson\[[原文](https://lifehacker.com/tech/browser-extensions-passwords-in-plain-text)\] 翻訳 ![Image: Shutterstock](https://media.loom-app.com/loom/2026/02/12/f3220da0-6121-403f-9df5-043ec87efbba/original.png?w=563) Image: Shutterstock Advertisement ネットを安全に使うために、「強力なパスワードをつくる」「使い回しをしない」「二段階認証をオンにする」「怪しいリンクは開かない」といった対策は、今や誰もが取り組むべき最低限のルールです。 Advertisement しかし、たとえあなたがこれらを完璧に守っていても、利用しているWebサイトの設計がずさんであれば、個人情報はあっさり危険にさらされてしまいます。 ## サイト側の「初歩的ミス」でパスワードが丸見えに [ウィスコンシン大学マディソン校の研究チーム](https://news.wisc.edu/from-to-ezacces-your-browser-extension-could-grab-your-password-and-sensitive-info/) が、 **衝撃的な事実** を明らかにしました。 **多くのブラウザ拡張機能が、ユーザーが入力したパスワードやカード情報、マイナンバーの個人識別番号などを「覗き見できる状態」にある** というのです。研究のきっかけは、偶然の発見でした。チームがGoogleなどのログインページを分析していたところ、 **入力したパスワードが暗号化されず、そのままの文字列（プレーンテキスト）としてHTMLソースコード内に露出している** のを見つけたのです。さらに7,000以上のサイトを調査した結果、 **約15％にあたる1,000以上のサイトが、同様に機密情報を「生の状態（プレーンテキスト）」で扱っていることが判明** しました。本来、これはあってはならないこと。通常、サイト側は「ハッシュ化」という技術を使い、パスワードを複雑なコードに変換して照合します。サイト側ですらあなたのパスワードを知ることはできないのが健全な姿です。 Advertisement しかし、情報をそのままのテキストで画面上に保持しているサイトでは、 **仕組みを理解していれば、誰でも中身を覗けてしまいます** 。 Advertisement ## 拡張機能が個人情報を「盗み取る」リスクここで **問題になるのが、ブラウザ拡張機能** 。研究によれば、Chrome ウェブストアにある拡張機能の約12.5%（17,300個）が、こうした「生のデータ」を閲覧できる権限を持っています。新しい拡張機能を入れる際、つい内容を確認せずに **[「ページのデータ読み取りと変更」という権限を許可](https://www.makeuseof.com/browser-extensions-can-see-your-passwords/) していませんか？** 特定の拡張機能が悪者だというわけではなく、サイト側に「生のデータ」が転がっているせいで、 **権限を持つ拡張機能ならどれでもそれを拾えてしまう** のが現状です。もちろん、まともな開発者はそんなことはしません。 **恐ろしいのは、最初からデータを盗む目的で拡張機能をつくるハッカーの存在。** 研究チームによれば、現時点でこの脆弱性を積極的に悪用している拡張機能は見つかっていませんが、これは決して「机上の空論」ではありません。チームが **実験として、ユーザーデータを盗み出せる拡張機能をゼロから作成して申請したところ、なんと公式のChrome ウェブストアの審査を通過してしまった** のです（※確認後、すぐに削除されています）。つまり、 **ハッカーが悪意のある拡張機能を同ストアに紛れ込ませることは、十分に可能** だということです。たとえハッカーが自分で拡張機能を作らなくても、 **すでに多くのユーザーがいる既存の優良な拡張機能を買い取り、コードを書き換えて情報を盗めるようにした上で、何も知らないユーザーに更新版を送りつける** ことだってできます。こうした手口は、Chromeに限らず **[日常的に起きている現実の脅威](https://lifehacker.com/tech/spot-sleeper-browser-malware-extensions)** なのです。 ## 今日からできる！大切なデータを守る「3つの工夫」残念ながら、サイト側がパスワードやカード情報をどう扱っているかは、使う側の私たちにはどうすることもできません。サイト側が自ら不備に気づき、セキュリティを改善してくれるのを待つしかないのが現状です。ですが、 **自分たちにできる工夫** もいくつかあります。 1. **拡張機能を「断捨離」する：** 使う拡張機能を減らせば、それだけ悪意のあるものに当たるリスクも下がります。本当に信頼できるものだけを残し、アップデート情報もこまめにチェックしましょう。開発者が変わった場合は、そのまま使い続けて大丈夫か確認が必要です。 2. **大事な情報を入力する時だけ「オフ」にする：** たとえば、役所のサイトでマイナンバー（個人番号）を入力する時など、特に重要な操作をする間だけ拡張機能を一時的に無効にすることも、有効な対策になります。 3. **「直接入力」しなくて済む方法を選ぶ：** - **[パスキー（Passkeys）](https://lifehacker.com/tech/what-are-passkeys) ：** そもそもパスワード（文字列）を使わない仕組みなので、ハッカーに盗まれる「テキスト」自体が存在しません。 - **Apple Pay / Google Pay：** 支払い先のサイトにカード情報を渡さずに決済できるため、とても安全です。 Advertisement **「極力、パスワードなどの生データ（プレーンテキスト）をキーボードで打ち込まないこと」** 。これが、今のネット社会で身を守るための鉄則といえそうです。