Google、不正なChrome拡張への対策として新ルール設定へ

Chrome拡張に新たなルール


  10月1日、Googleは、不正なChrome拡張への対策として、新たなルールを設けることを発表しました。
  主な内容は以下の通り。

  • ホストパーミッション(サイト上のデータの読み取りや変更に関する許可)をユーザーがコントロールできるようにする(Chrome 70以降)。
  • 拡張機能がアクセスできるサイトをユーザーが個別に制御できるようにする(Chrome 70以降)。
  • 拡張機能に与える要求権限は最小限にするよう求められる。
  • 難読化されたコードを含んだChrome拡張を許可しない方針へ変更。既存の拡張に関しては90日間の、更新版の受け付け猶予が与えられる。
  • Chrome拡張の開発者のアカウントは、2019年から2段階認証を義務付ける。
  • Manifest v3(拡張機能マニフェストの次期バージョン)では、セキュリティやプライバシー保護、バフォーマンス保証の強化などが図られる。

Google Chrome - ユーザーによるアクセス制御

  コードの難読化はパフォーマンスの向上にはつながらない上、悪意のあるポリシー違反の拡張機能の7割以上がこれらのコードを含んでいたため、対処されることとなりました。

  Google ChromeやFirefoxが使われる理由の多くは拡張機能の豊富さ(Chrome拡張では18万を超える)にあると思われます。今まで拡張機能の安全性について、あまり深く気にせず使っていた方も少なくないかと思います。
  実際には「ストレージサービス“Mega”のChrome拡張機能が乗っ取りの被害、ログイン情報を盗聴」など、ゾッとするような事態も起こっており(他にもマルウェア、スパイウェア、仮想通貨マイニング、Facebookアカウント乗っ取りなど)、この度Googleは信頼性の回復のためにも対処を行ったようです。


Adblock Plusに関して


  このようなニュースがあると、ついついAdblock Plusについて考えが及んでしまいます。Chrome拡張における制限を強化する流れで、Adblock PlusもChrome拡張の舞台から下ろす算段をしているのではないか……と。私自身はBloggerを公開している立場である以上、どちらを望むかは微妙なところではあるのですが、FirefoxでもAdblockが使える以上、Googleもそう簡単にこの拡張機能を排除するわけにはいかないのだろうと思います。難しいところです。


Aaresiaでは


  Aaresiaでも、Chrome拡張を用意しようか一度は検討しましたが、ローカルの情報を扱うことを主とする性質上、ブラウザ拡張とは相性が合わないとも思い(同時にFirefoxの方も作る必要が出てくるため)、今のところ拡張機能の開発を行う予定は立てていません。どちらかと言えば、情報をネットに流すのではなく、各自が制御していこうという方針でもあるので、ウェブブラウザこそ使っていますが、Aaresiaはインターネット側には一切の情報を流さないシステムとしてやっていこうと考えています。


【参考サイト】

不正な拡張機能が相次ぐChrome、Googleが防止対策を強化へ
Google、Chrome拡張機能の新ルールを発表。サイト毎のアクセス制限や難読化禁止など
グーグル、悪質な「Chrome」拡張機能への対策を強化--審査の厳格化など
Chromeウェブストアのルールが改訂、ユーザーがより安全にChrome拡張機能を利用できるように

[2018-10/05]