ブラウザ拡張機能は、ブラウジング体験の中核を成すようになりました。ユーザーは拡張機能を利用して、セキュリティを強化し、プライバシーを保護し、ブラウザメーカーがまだコア機能に搭載していない機能を有効にしています。しかし、ブラウザ拡張機能の人気は、悪意のある攻撃者(シェイクスピア劇のような類のものではありません)の格好の標的にもなっています。そのため、GoogleはChrome拡張機能をロックダウンすると発表しました。
ホスト権限は、数千もの強力で独創的な拡張機能のユースケースを可能にしてきましたが、同時に、拡張機能がウェブサイト上のデータを自動的に読み取り・変更できるため、悪意のあるものも意図的でないものも含め、幅広い誤用につながっています。私たちの目標は、拡張機能がサイトデータにアクセスできるタイミングをユーザーにとってより透明にし、制御できるようにすることです。今後のマイルストーンでは、この目標に向けてユーザーエクスペリエンスを最適化し、使いやすさを向上させていきます。
この変更は、10月中旬にリリースされるChrome 70で導入される予定です。(この変更では、形状検出機能、ウェブ認証サポート、そしてGoogleのサービスにアクセスした際にブラウザに自動的にサインインするというGoogleの決定に対するいくつかの妥協点も導入される予定です。)Chromeウェブストアのその他の変更点として、レビュープロセスの更新と、拡張機能で難読化されたコードを使用しないという要件が本日から施行されました。
更新された審査プロセスでは、「強力な権限を要求する」または「リモートでホストされたコードを使用する」拡張機能の監視が強化されます。Googleによると、これはChromeウェブストアでリリースされる拡張機能が、リモートコードを使用して不要な情報へのアクセスを要求したり、ユーザーデータを公開したりしていないことを確認するのに役立つとのことです。また、同社はリモートコードを使用する拡張機能を「継続的な監視」の対象とする予定です。
より広範なレビューには、拡張機能のコードへのアクセスが拡大することになります。これが、Googleが開発者に対し、新規拡張機能に難読化されたコードの使用を許可しない理由の一つです。また、既に拡張機能を公開している開発者であっても、今後90日以内に難読化されたコードを削除する必要があります。削除しない場合、1月上旬にChromeウェブストアから拡張機能が削除されます。
この制限は、ユーザーのセキュリティとプライバシーにも直接影響を及ぼします。Googleは、Chromeウェブストアへの掲載を許可していない「悪意のある拡張機能やポリシー違反の拡張機能」の70%に難読化されたコードが含まれていると述べています。ストアに公開されている拡張機能の中には、同社のルールに違反しているものもある可能性があります。コードが巧妙に隠蔽されているため、発見されないだけかもしれません。すべてを公開するよう義務付けることで、こうした事態を防ぐことができます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
これらの変更に加え、Googleは拡張機能開発者に対し、2019年から二要素認証の有効化を義務付けると発表しました。これにより、攻撃者が人気の拡張機能に侵入し、ユーザーデータを窃取することがより困難になるはずです。同社はまた、2019年に「セキュリティ、プライバシー、パフォーマンスの保証を強化するためのプラットフォームの追加変更」を含むManifest v3をリリースする予定です。
これらの変更はすべて、Chrome拡張機能への信頼を高めることを目的としています。これは称賛に値する取り組みです。集中型配信システムを提供する企業は、悪意のあるユーザーの侵入を実際に防ぐようにする必要があります。GoogleがPlayストアで、AppleがMac App Storeで行ったように、多くの拡張機能は過去に失敗しており、これらの改善は同様の問題の再発を防ぐのに役立つ可能性があります。
もちろん、Chrome 69 のサインイン変更に対する反発を考えると、Google のタイミングも好都合だ。プライバシーの問題(あるいは、聞く人によっては通信障害)を忘れさせるには、他の脅威から保護すると約束することほど効果的なものはない。だからといって、今回の変更が不要だったとか、しばらく前から計画されていなかったというわけではない。ただ、Chrome はおそらく好意的な反応を必要としているということだ。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
