最新の調査によって、ほとんどの企業で利用されているブラウザ拡張機能が、驚くほど広範な機密データにアクセス可能であり、多くの場合、その開発者の信頼性も不透明であるという衝撃的な実態が明らかになった。本記事では、セキュリティ企業LayerXが発表した最新のレポートを基に、見過ごされてきたこの重大なリスクとその対策についてご紹介しよう。
日常業務に深く浸透するブラウザ拡張機能、その驚くべき実態
現代のビジネスシーンにおいて、ブラウザ拡張機能はもはや不可欠なツールと言っても過言ではないだろう。文章校正、パスワード管理、広告ブロック、そして近年急速に普及する生成AI関連ツールなど、その種類は多岐にわたり、日々の業務効率化に大きく貢献している。しかし、その利便性の陰で、深刻なセキュリティリスクが静かに、そして確実に拡大していることを、私たちは認識していただろうか。
イスラエルに拠点を置くセキュリティ企業LayerXが発表した「企業向けブラウザ拡張機能セキュリティレポート2025 (2025 Enterprise Browser Extension Security Report)」は、この問題に警鐘を鳴らす、まさに衝撃的な内容を含んでいる。 このレポートは、公開されている拡張機能ストアの統計データと、実際の企業環境における利用状況に関するテレメトリデータを組み合わせた、この種のものとしては初の大規模調査であり、これまで漠然と指摘されてきたリスクを具体的な数値で浮き彫りにした点で非常に価値が高い。
同レポートによると、驚くべきことに企業ユーザーの99%が少なくとも1つのブラウザ拡張機能をインストールしており、さらに52%の従業員が10個以上の拡張機能を利用しているという。 これは、ブラウザ拡張機能が企業環境において、まさに「ユビキタス(遍在的)」な存在であることを示している。そして、この広範な利用実態こそが、セキュリティ上の大きな懸念材料となるのだ。
機密情報へのアクセス:53%の拡張機能が「高リスク」権限を要求
問題は、単に多くの従業員が拡張機能を利用しているという点に留まらない。レポートによれば、企業ユーザーがインストールした拡張機能の実に53%が、「高リスク」または「クリティカルリスク」と分類される広範なアクセス権限を要求しているのだ。 これらの権限には、閲覧履歴、Cookie、パスワード、さらにはWebページの全コンテンツへのアクセスなどが含まれる。
これは何を意味するのか?悪意のある、あるいは脆弱性を抱えた拡張機能が一つでも社内に紛れ込めば、個々の従業員の機密情報だけでなく、企業全体の重要データが漏洩したり、不正アクセスされたりする危険性が飛躍的に高まるということだ。ある従業員の端末で発生したセキュリティインシデントが、組織全体の情報漏洩やシステム侵害といった深刻な事態に発展しかねないのである。
忍び寄る新たな脅威:生成AI拡張機能のリスク
近年、ChatGPTをはじめとする生成AIツールの業務利用が急速に進んでいるが、これに関連するブラウザ拡張機能もまた、新たなセキュリティリスクとして注目されている。レポートでは、企業ユーザーの20%以上が生成AI関連の拡張機能をインストールしており、そのうちの45%が複数の生成AI拡張機能を利用していることが明らかになった。
さらに憂慮すべきは、これらの生成AI拡張機能の58%が「高リスク」または「クリティカルリスク」の権限を持っている点だ。 これは、他の種類の拡張機能と比較して約2倍の割合であり、生成AI拡張機能が企業の機密情報(ID情報、Cookie、ブラウザタブの制御など)にアクセスする可能性が際立って高いことを示唆している。 企業が定めたAI利用ポリシーやネットワークレベルのアクセス制御を、これらの拡張機能が「サイドドア」として迂回してしまう可能性も指摘されており、情報漏洩やコンプライアンス違反のリスクを高める要因となり得る。
「誰が作ったか分からない」:開発者の信頼性というブラックホール
私たちが日常的に利用するソフトウェアやサービスにおいて、その開発元や提供元の信頼性は非常に重要な要素だ。しかし、ブラウザ拡張機能の世界では、この「信頼性」が著しく欠如している場合が多い。
LayerXの調査によると、拡張機能開発者の実に54%が、身元を特定しにくい無料のWebメールアカウント(Gmailなど)のみで識別されているという。 これは、誰でも匿名に近い形で拡張機能を公開できてしまうことを意味し、悪意のある攻撃者がマルウェアを仕込んだ拡張機能を容易に配布できる環境が整っているとも言える。
さらに、開発者の79%が公開している拡張機能は1つのみであり、拡張機能全体の58%がプライバシーポリシーを公開していない。 また、拡張機能の22%は公開から6ヶ月未満と新しく、その信頼性を判断するための十分な実績や評価が存在しないケースが多い。 特に生成AI拡張機能に至っては、41%が公開から6ヶ月未満という驚くべき状況だ。 これでは、ユーザーや企業が拡張機能の安全性を事前に評価することは極めて困難と言わざるを得ない。
放置される拡張機能:アップデートされず、脆弱性の温床に
ソフトウェアの脆弱性は、サイバー攻撃の主要な侵入口の一つだ。定期的なアップデートは、既知の脆弱性を修正し、セキュリティを維持するために不可欠である。しかし、ブラウザ拡張機能の世界では、この基本的な対策すら疎かにされているケースが少なくない。
レポートによれば、拡張機能全体の51%が過去1年以上アップデートされておらず、25%は開発者が無料メールアドレスのみで識別される「放置された」状態にある可能性が高いという。 アップデートされない拡張機能は、新たな脆弱性が発見されても修正されず、マルウェア感染やサプライチェーン攻撃のリスクを高める。特に、開発者が実質的に放棄してしまった「趣味の」拡張機能などは、攻撃者にとって格好の標的となり得るのだ。
公式ストア以外からの導入とサイドローディングという盲点
通常、ブラウザ拡張機能はChrome WebストアやEdgeアドオンストアといった公式ストアから入手する。しかし、LayerXの調査データは、企業環境においてインストールされている拡張機能の17%が非公式ストア由来であり、26%が「サイドローディング」によって導入されていることを明らかにしている。
サイドローディングとは、公式ストアを経由せず、別のアプリケーションやプロセスによってブラウザに直接拡張機能をインストールする手法だ。これらは公式ストアの審査プロセスを経ないため、悪意のある拡張機能が紛れ込むリスクがさらに高まる。また、マルウェアがユーザーの気づかないうちに不正な拡張機能をインストールする手口も確認されており、単なるブラウザのリスクに留まらず、マルウェア感染のリスクとも言えるだろう。
なぜ、このリスクは見過ごされてきたのか?
これほどまでに深刻なリスクが潜んでいるにもかかわらず、なぜブラウザ拡張機能のセキュリティは見過ごされがちだったのだろうか。これには、いくつかの要因が複合的に絡み合っていると考えられる。
第一に、利便性への過度な期待がある。拡張機能は確かに業務効率を向上させる強力なツールであり、従業員は個々の判断で「便利だから」と次々にインストールしてしまう。その際、アクセス権限の詳細な確認や開発元の信頼性評価まで行うユーザーは稀だろう。
第二に、IT・セキュリティ部門の管理の難しさが挙げられる。従業員が利用するブラウザの種類は多様であり、日々新しい拡張機能が登場する中で、その全てを把握し、個別にリスク評価を行うことは現実的に困難が伴う。結果として、拡張機能の利用は従業員の自己責任に委ねられ、「シャドーIT」の一種として管理の目が届きにくい領域となってしまっていた。
そして第三に、脅威の不可視性がある。拡張機能による情報窃取やマルウェア感染は、非常に巧妙に行われるため、被害に遭ってもその原因が拡張機能にあると特定されにくい。この不可視性が、問題の深刻さに対する認識を遅らせてきた一因と言えるかもしれない。
LayerXレポートが提言する5つの具体的な対策
では、この深刻化するブラウザ拡張機能のリスクに対し、企業はどのような対策を講じるべきなのだろうか。LayerXのレポートでは、セキュリティ責任者(CISO)やITチームに向けて、以下の5つの具体的な推奨事項を提示している。
- 全ての拡張機能の監査(Audit all extensions):
まず、組織内でどのような拡張機能が、どのブラウザで、誰によって利用されているのか、その全体像を正確に把握することが不可欠だ。これが対策の第一歩となる。 - 拡張機能の分類(Categorize extensions):
生成AI拡張機能のように、特定のカテゴリの拡張機能が他のものより攻撃の標的になりやすい場合がある。利用状況やユーザーベース、要求する権限などに基づいて拡張機能を分類し、リスク評価に役立てる。 - 拡張機能の権限の列挙(Enumerate extension permissions):
各拡張機能がどのような情報にアクセスできるのか、その権限を詳細にリストアップする。これにより、潜在的な影響範囲を明確に把握できる。 - 拡張機能のリスク評価(Assess extension risk):
アクセス権限だけでなく、開発元の信頼性、ユーザーからの評価、インストール方法、更新頻度といった外部パラメータも考慮し、各拡張機能のリスクを総合的に評価する。これにより、統一されたリスクスコアに基づいて対策の優先順位を決定できる。 - 適応型・リスクベースの強制措置の適用(Apply adaptive, risk-based enforcement):
評価されたリスクに基づき、組織のニーズやリスク許容度に応じたポリシーを適用する。例えば、特定の高リスク権限を持つ拡張機能や、長期間更新されていない拡張機能、あるいは特定のカテゴリ(生成AIやVPNなど)で高リスクと判断された拡張機能をブロックまたは無効化するといった措置を講じる。
今、企業が取るべき行動とは?
今回のLayerXのレポートは、ブラウザ拡張機能がもはや無視できないセキュリティリスクであることを明確に示した。企業は、この事実を真摯に受け止め、迅速かつ具体的な対策を講じる必要がある。
まず着手すべきは、自社におけるブラウザ拡張機能の利用実態の把握だろう。どのような拡張機能が、どれくらいの従業員によって、どのような権限で利用されているのか。この現状認識なくして、効果的な対策はあり得ない。
次に、従業員への啓発と教育も極めて重要だ。拡張機能の利便性の裏に潜むリスクを理解させ、安易なインストールや不必要な権限の許可を避けるよう指導する必要がある。
そして、セキュリティポリシーの見直しと、必要に応じたセキュリティツールの導入検討も欠かせない。LayerXのような、ブラウザ拡張機能の包括的な検出、リスク分類、そして制御を可能にするソリューションは、この問題に対処する上で有効な選択肢の一つとなるだろう。
ブラウザ拡張機能は、正しく管理されれば業務効率を飛躍的に向上させる強力な味方となり得る。しかし、その一方で、一歩間違えれば組織全体を危険に晒す凶器にもなり得る諸刃の剣だ。リスクを正しく理解し、適切な対策を講じることで、この便利なツールと賢く付き合っていくことが、これからの企業に求められる姿勢と言えるのではないだろうか。
Sources
