Bleeping Computerは5月12日(米国時間)、「Majority of Browser Extensions Pose Critical Security Risk, A New Report Reveals」において、Webブラウザの拡張機能には重大なリスクがあると伝えた。

これはLayerX Securityが新たに公開したレポート「Enterprise Browser Extension Security Report 2025」の内容を伝えたもので、拡張機能の潜在的な脅威が過小評価されているとして注意を呼びかけるとともに、軽減策の実施を推奨している。

  • Majority of Browser Extensions Pose Critical Security Risk、A New Report Reveals

    Majority of Browser Extensions Pose Critical Security Risk, A New Report Reveals

Webブラウザ拡張機能に潜む4つのリスク

レポートによるとWebブラウザの拡張機能には主に4つのリスクがあるという。1つは使用率の高さで、企業の約99%がWebブラウザの拡張機能を使用しており、そのうち約52%が10個以上の拡張機能を使用しているという。この使用率の高さは攻撃者にとって魅力的であり、攻撃対象として積極的に狙われる恐れがある。

2点目は拡張機能の権限に問題があること。拡張機能の半数以上がCookie、パスワード、閲覧履歴、Webページコンテンツへのアクセス権を必要としており、悪用されると組織全体を危険にさらす可能性がある。近年注目が集まっている生成AI関連の拡張機能も高い権限を必要としており潜在的なリスクは高い。

3点目は拡張機能の匿名性。開発者の約54%は匿名のGmailアカウントを使用し、約79%は拡張機能を1つしかリリースしていない。開発者の素性や取り組み内容を分析できないのであれば、信頼性評価は非常に困難となる。

最後は更新頻度の低さ。拡張機能の約51%は1年以上更新されておらず、エンタープライズ向け拡張機能の約26%はサイドロードを使用してプラットフォーマーの審査を回避しているとされる。古い拡張機能や管理外の拡張機能は潜在的なセキュリティリスクを高める可能性がある。

Webブラウザ拡張機能のリスク軽減策

レポートでは企業のセキュリティチームおよびITチーム向けに、次の対策の実施を推奨している。

  • 企業環境全体のすべてのWebブラウザ拡張機能を監査する
  • 拡張機能を分類し、リスクプロファイルを行う
  • 拡張機能の権限を詳細に調査、一覧化して分析する
  • 拡張機能の包括的なリスク評価を実施する
  • 適応型のリスクベースセキュリティポリシーを適用し、拡張機能の脅威を効果的に管理する

Webブラウザの拡張機能には作業効率やオンライン体験の向上、円滑な情報共有などを実現する便利なものも多い。そのため安全な製品は積極的に活用するべきだが、その安全性を適切かつ継続的に評価、管理することは容易ではない。

それでも企業はセキュリティリスクを回避するため、拡張機能を管理する戦略を策定して適切に運用する必要がある。Microsoftは管理者向けベストプラクティスガイダンスとして「企業で Microsoft Edge 拡張機能を管理する | Microsoft Learn」を公開している。

体力のある企業には、これらベストプラクティスを参考に戦略を立案し、運用することが推奨されている。そのような対応ができない企業には、規模に応じたセキュリティソリューションの導入の検討が望まれている。