LinkedInを開いた瞬間、あなたのブラウザの中身が静かに精査されている。インストールされているChrome拡張機能が何であるか、それらの識別IDをひとつひとつ照合するJavaScriptが、見えないところでひそかに実行される。その結果は暗号化されてLinkedInのサーバーへ送信され、あなたの名前、勤務先、肩書きと紐付けられる。このプロセスは、LinkedIn利用者10億人のうちChromiumベースのブラウザを使うすべてのユーザーが対象だ。

その事実をLinkedInのプライバシーポリシーは一行も説明していない。

AD

拡張機能スキャンの実態:2.7MBのJavaScriptに隠された6,167個のリスト

2026年3月、商業利用のLinkedInユーザー団体を名乗るドイツの非営利法人Fairlinked e.V.が「BrowserGate」と銘打った調査レポートを公開し、デジタルプライバシーの世界に波紋を広げた。BleepingComputerは独自の検証により、LinkedInのWebサイトがランダムなファイル名のJavaScriptファイルをロードし、そのスクリプトが6,236個のブラウザ拡張機能の有無を確認していることを確認した。

技術的なメカニズムはシンプルだが効果的だ。各ブラウザ拡張機能は、インストールされると特定のIDに紐付いた静的リソース(画像ファイルやJavaScript)をブラウザに公開する。LinkedInのスクリプトは、これらのリソースURLへのアクセスを試みることで、拡張機能がインストールされているかどうかを外部から推定できる。Chrome拡張機能の仕様上、この手法は「不正アクセス」に当たらない。それがこの問題を技術的に興味深く、同時に法的に複雑にしている点だ。

BleepingComputerが独立して確認した内容によれば、このスクリプトは拡張機能のリストだけでなく、CPUコア数、利用可能なメモリ、画面解像度、タイムゾーン、言語設定、バッテリー残量、オーディオ情報、ストレージ機能といったデバイス情報も収集している。

スキャン対象の規模は、直近の数年間で急激に膨張している。GitHubに残された痕跡を辿ると、2025年時点では約2,000件だったリストは、同年末に3,000件を超え、2026年2月には6,222件に達した。2024年比で1,252%の増加だ。2025年12月から2026年2月の2ヶ月間だけで708件が追加されており、1日あたり約12件のペースで監視対象が拡大している計算になる。

スキャン対象が明かす、収集情報の「質」の問題

6,000超の拡張機能を把握しているという事実そのものより、「何のための拡張機能を監視しているか」のほうが問題の核心に近い。

BrowserGateの調査が分類したリストによれば、スキャン対象には509件の求職ツール(Indeed、Glassdoor、Monsterの拡張機能など)が含まれる。LinkedInに自身のプロフィールを持つユーザーが、同プラットフォーム内で現在の雇用主に閲覧されうる状態で転職活動を行っているという事実を、LinkedInが把握できるという意味だ。雇用主がLinkedInのリクルーティングツールの使用者であれば、その情報は商業的に悪用される可能性がある。

宗教的なカテゴリでは、イスラム教の礼拝時間を通知する拡張機能が対象に含まれており、ユーザーの信仰を類推できる。政治的指向を示すニュースソースセレクターやファクトチェッカー系の拡張機能も対象だ。さらに、ADHDや自閉症スペクトラムを持つユーザーが利用するアクセシビリティツール、スクリーンリーダーもリストに登録されている。

EUのGDPR(一般データ保護規則)第9条は、これらの宗教的信念・政治的意見・障害に関するデータを「特別カテゴリのデータ」に分類し、明示的な同意なしの収集を原則として禁じている。Fairlinkedが指摘するのは、LinkedInがこれらのデータを収集しているにもかかわらず、同意取得のメカニズムがいっさい存在せず、プライバシーポリシーへの記載もないという点だ。

AD

競合ツールの監視が意味するもの:産業スパイとしての構造

BrowserGateが指摘するもうひとつの問題は、競争法上の観点からより深刻かもしれない。LinkedInは、Sales Navigatorと競合するセールスインテリジェンスツール——Apollo、Lusha、ZoomInfo、Hunter.io、Salesforce、HubSpot、Pipedriveを含む200超のプロダクト——の拡張機能もスキャン対象としている。

この情報の活用方法が問題だ。LinkedInはユーザーのプロフィールから雇用主情報を把握している。仮に「ユーザーXはApolloの拡張機能を使っている、ユーザーXはY社に勤めている」というデータを大量に収集すれば、「Y社はApolloを使っている」というサプライヤー情報を外部に漏らすことなく取得できる。数百万人規模でこれを繰り返せば、競合プロダクトの顧客リスト——企業がマーケティング費用を何百万ドルも投じて構築したもの——をLinkedIn側は実質的に再構築できることになる。

Fairlinkedはさらに踏み込んだ指摘をしている。LinkedInはすでにサードパーティツールの利用者に対してアカウント制限を含む強制措置を送付しており、この強制の根拠として、まさに今問題にされている拡張機能スキャンのデータを使っている可能性があると主張している。

EUはLinkedInを2023年にデジタル市場法(DMA)のゲートキーパーに指定し、サードパーティツールへのプラットフォーム開放を命じた。LinkedInの対応は、2種類の制限的なAPIを公開し、欧州委員会に249ページのコンプライアンスレポートを提出するというものだった。しかしそのレポートでは「API」という単語が533回登場する一方、LinkedInの内部APIである「Voyager」の名称は一度も出てこない。Voyagerは毎秒163,000回のリクエストをLinkedInのWeb・モバイルプロダクト全体に供給している基幹システムだ。公開された2つのAPIが対応する呼び出し頻度は毎秒約0.07件。この非対称性が、Fairlinkedが「EU規制当局への欺罔」と表現する行為の実態だ。

HUMAN Securityへのデータ送信と、Unit 8200という文脈

Fairlinkedの調査はさらに、収集データの行き先にも言及している。LinkedInのWebページには、HUMAN Security(旧PerimeterX、旧White Ops)からロードされるゼロピクセル幅の不可視要素が埋め込まれており、ユーザーの知らないうちにCookieをセットしているという。

HUMAN Securityは2022年にイスラエル企業のPerimeterXと合併した。PerimeterXは、イスラエル国防軍のサイバー戦部隊であるUnit 8200(8200部隊)の元将校らが設立した企業だ。Unit 8200はNSAに相当する諜報機関として知られ、サイバーセキュリティ業界には同部隊出身者によるスタートアップが多数存在する。HUMAN Securityの年間収益は約1億ドルとされる。

LinkedInはこのデータ共有についても、プライバシーポリシー上の記載を行っていない。

AD

LinkedInの反論と、ミュンヘン地裁の判決

LinkedInはこれらの告発を全面的に否定し、BleepingComputerへのコメントの中で次のように説明した。「一部の拡張機能はLinkedInのWebページに注入可能な静的リソース(画像、JavaScriptなど)を持っている。これらのリソースURLが存在するかどうかを確認することで拡張機能の存在を検知できる。この検知はChromeのデベロッパーコンソールで確認可能だ。このデータを使って利用規約に違反する拡張機能を特定し、技術的な防御を強化し、大量のデータ取得によるサイトの安定性問題を把握している。センシティブな情報の推定には使用していない」。

LinkedInはまた、BrowserGateレポートの執筆者がLinkedIn利用規約に違反するスクレイピング行為を理由にアカウントを制限されたユーザーであり、本レポートがその報復行為であると主張している。彼らが示した資料によれば、慕尼黒地方裁判所(ミュンヘン)は2026年1月に申請された仮処分命令を却下した(事件番号:37 O 104/26)。裁判所はLinkedInの行為が違法な妨害や差別に当たらないと判断し、また自動的なデータ収集そのものがLinkedInの利用規約に抵触しうるとしてユーザーのアカウント制限を認めた。

ただし、BleepingComputerが独立した検証を通じて確認した事実——LinkedInのサイトが6,000超のブラウザ拡張機能を検知するスクリプトを実行していること——は、LinkedIn自身も否定していない。争点は、そのデータを何に使っているか、プライバシーポリシーへの不記載が適法かどうか、そして特別カテゴリのデータが実質的に収集されているかどうかだ。

GDPRの罰則規定が持つ数字的な威力は無視できない。第9条違反によるペナルティは全世界収益の最大4%、Microsoftの規模では約80億ドルに相当する。デジタル市場法(DMA)違反が確認された場合、課徴金は全世界売上高の10%に跳ね上がり、約200億ドルに達する可能性がある。

プラットフォームとユーザーの権力関係が変わるとき

BrowserGateが示す問題の本質は、特定のAPIやJavaScriptの挙動にとどまらない。プロフェッショナルネットワークと銘打たれたプラットフォームが、ユーザーの実名・雇用先・職位という強力な実人物情報と、ブラウザの拡張機能リストから読み取れる信仰、政治傾向、健康状態、キャリア動向を統合する能力を持っているという事実だ。

匿名ユーザーのフィンガープリントは商業的に中程度の価値しか持たない。しかし、実名・勤務先・役職と紐付いたデータは、ターゲット広告の精度上昇にとどまらず、競合情報収集、リクルーティング動向の把握、さらには企業間の人材移動の予測すら可能にする原資となる。

問題が2021年や2024年の段階で広く認知されなかった理由は、技術的な手法が「脆弱性」ではなく「ブラウザの正規仕様の活用」であったためだ。攻撃コードを仕込んだわけではなく、ChromeがすべてのWebサイトに提供している機能を使っているに過ぎない——LinkedInはそう主張できる。しかし2024年から2026年にかけて対象が461件から6,222件へ13倍超に膨張したという事実は、受動的な防御策とは異なる目的が存在するという解釈と整合する。

Fairlinkedは現在、EU各国のデータ保護機関へのGDPR申告を呼びかけており、一定数の申告が集まれば規制当局による正式な調査が開始される可能性がある。技術的に合法の範囲内でどこまで収集できるかという問いに対して、規制当局が答えを迫られる局面は遠くないだろう。

ユーザー側の自衛手段としては、LinkedInの利用をFirefoxまたはSafariに切り替えることが最も即効性が高い。今回の拡張機能スキャンはChrome拡張機能の仕様に依存したメカニズムであるため、FirefoxやSafariでは機能しない。あるいはLinkedIn専用のChrome(またはEdge)プロフィールを用意し、そこには拡張機能をインストールしないという運用も有効だ。ブラウザを分割することで、職業的なアイデンティティとブラウジング習慣が同一のフィンガープリントに収束する事態を防げる。

日本のLinkedInユーザーもこの問題からは切り離せない。LinkedInは日本において数百万人規模のユーザーを持ち、外資系企業や大手上場企業においてビジネス利用が定着している。今回のBrowserGateはGDPRを主な法的根拠として捉えられがちだが、日本では改正個人情報保護法が2022年に全面施行されており、個人情報の第三者提供における本人同意の要件、センシティブ情報の取り扱い制限が強化されている。LinkedIn(Microsoft)が日本のユーザーデータを同様の手法で処理し、HUMAN Securityなどの第三者に転送していた場合、個人情報保護委員会への申告が法的根拠を持つ可能性がある。EUユーザー向けの対処として呼びかけられているGDPR申告と同様に、日本のユーザーが国内の監督機関に照会することで、規制の網がどこまで届くのかが試される局面が生まれる。

Sources