暴かれた「Chromeウェブストア」の重大な欠点：785th Lap

ある大学の研究チームは「Chromeウェブストアの仕組み自体に問題がある」と主張した。その主張の裏には、どんな理由があるのか。

[キーマンズネット]

　StatCounterの統計によれば（2024年6月時点）、Webブラウザのシェア世界ランキングは1位が「Google Chrome」（以下、Chrome）で64.88％、2位が「Microsoft Edge」（13.13％）となった。日本ランキングでもほぼ同様の結果だ。このようにWebブラウザでは「Chrome一強」の状態が続いている。

　そんなChromeに関して、問題になっていることがある。なんでも「Chromeウェブストア」の仕組み自体に大きな問題があり、ユーザーに大きなダメージを与えかねないという。多くのユーザーやメディアが騒いでいるその問題とは？

　Chromeウェブストアの仕組みに問題があると指摘された理由は、Chromeの「拡張機能」にある。まずは、そこから説明しよう。

　スタンフォード大学の研究チームが調査したところ、Chrome ウェブストアから入手する拡張機能によって、数億人のユーザーがマルウェアに感染しているという。研究チームはこの件を論文にまとめた。これを受けてテクノロジー情報サイト「Tech Xplore」が2024年6月25日（現地時間）に記事を掲載し、話題となった。

　一般的に、Chromeユーザーは拡張機能をChromeウェブストアからダウンロードしてインストールする。ご存じの通り、ChromeウェブストアにはGoogleが開発した拡張機能以外にも、サードパーティーの企業や個人が開発した拡張機能も多数公開されている。

　Chromeウェブストアに公開されている拡張機能にば、マルウェアを含んだものも多いという。研究チームは論文で、Chromeウェブストアに公開されている拡張機能がユーザーにどれほどのリスクであるかを調査した。

　研究チームは、Chromeウェブストアでダウンロードできる拡張機能について、利用規約やプライバシーポリシーに違反しているもの、またマルウェアや脆弱（ぜいじゃく）性のあるコードを含んでいるものを調査した。

　拡張機能のセキュリティ問題に関する過去の調査結果を分析し、2020年7月〜2023年2月にかけてChromeウェブストアで公開されていた全ての拡張機能（約12万5000個）をダウンロードし、そのコードを分析してマルウェア感染の兆候を探った。さらに、Chromeウェブストアのダウンロード履歴と、各拡張機能がウェブストアでどれだけ寿命があったかも分析した。

　その結果、マルウェアに感染しセキュリティ上問題のある拡張機能を約3億4600万人ものユーザーがダウンロードしていたことが判明した。さらにその中で、2億8000万人のユーザーがセキュリティ上の悪影響を受けていたことが明らかになった。

　GoogleはChromeウェブストアの安全性を以前から主張していた。Googleの声明によれば「提供中の拡張機能の中でマルウェアに感染しているものは1％未満」とのことだが、研究チームは「Googleの主張とは対照的な結果が得られた」と述べた。

　約12万5000もの拡張機能の中で約60％は1年以内にChromeウェブストアから削除された。研究チームは、ユーザーにとってセキュリティリスクとなる問題を含んだ拡張機能の方が長期間配信される傾向にあるが、問題を発見したとしてもユーザーが報告することはほとんどないことを指摘した。Chromeウェブストアの仕組み自体に問題がある可能性を示した。

　また拡張機能の開発には「GitHub」のようなパブリックリポジトリで配布されているコードが使われる場合もある。脆弱性が発見されても長期間改善されることなく配信され続けることで、ユーザーにとって大きなセキュリティリスクになる。

　なお、本稿で取り上げた研究内容については、「Googleの公表はウソだった？　『Chrome』の拡張機能が危険な理由」で詳細を解説している。攻撃者にChromeの拡張機能が狙われやすい理由も併せて解説しているので、参考にしてほしい。

上司X：　Chromeの拡張機能にはセキュリティ的に問題のあるものが多く、Chromeウェブストアの仕組みにも問題がある、という話だよ。

ブラックピット：　Chrome拡張機能のセキュリティ問題については、キッチリした論文になっているんですね。

上司X：　そうなんだよ。

ブラックピット：　Googleは危険な拡張機能は少ないって主張しているみたいですけど？

上司X：　でも、論文として発表されているからな。これを覆すには正確な調査と報告が必要になるだろう。

ブラックピット：　であれば研究結果を認めて、現状をどうにかすることを願いたいものですね。僕だって拡張機能を幾つか使っていますし。

上司X：　俺もだよ。自分のChromeを調べてみたら、確かに前からなんとなく入れているものも少なからずあるな。しかも、バージョンアップされていないようだ。

ブラックピット：　そういうのをユーザー自身がチェックしないといけないわけですよね。僕もやらないと。……でも面倒くさいなあ。

上司X：　そういう姿勢が自分のクビを締めることになるんだからな！　とは言っても、多くの拡張機能を長期間使っているほどチェックがおろそかになるのは必然とも言えるだろう。この研究結果が広まって、キミを含めたユーザーの意識が変わることを願うばかりだよ。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。