Chromeの拡張機能 82件がユーザーから収集した個人情報を販売-650万人超が影響|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年05月01日更新日時: 2026年05月01日

2026年4月27日、ブラウザセキュリティ企業LayerX Securityは、Google Chrome向け拡張機能を対象とした調査の結果を公表しました。調査によれば、82件の拡張機能がユーザーデータを収集して第三者に販売していることが判明し、その影響を受けるユーザーは少なくとも650万人以上に上ります。

特筆すべきは、これらがマルウェアや悪意ある拡張機能ではなく、プライバシーポリシーに明示的にデータ収集・販売が記載されている合法の拡張機能であるという点です。誰も読まないプライバシーポリシーの「細かい文字」を盾に、大規模なデータビジネスが展開されていました。

この記事のサマリー

LayerX Securityが数千件のChrome拡張機能のプライバシーポリシーを分析し、ユーザーデータの収集・販売を明示している82件を特定しました。
うちメディア系拡張機能24件（インストール数約80万件）がNetflix・Hulu・Disney+・Amazon Prime Video等の視聴履歴・コンテンツ嗜好・サブスクリプション状況・年齢・性別を収集・販売しています。
広告ブロッカー12件（合計インストール数550万件以上）が閲覧データを収集・販売しています。
さらに約50件の拡張機能が一般的なウェブ活動を収集・販売しており、合計で少なくとも650万ユーザーが影響を受けます。
82件のうち29件はセールスインテリジェンスツールとして機能しており、企業の社内ブラウジング・SaaSプラットフォームへのアクセス状況を収集して商用データセットに組み込んでいます。
2026年4月27日時点で、82件中75件がChrome Web Storeに掲載継続中であり、削除されたのは7件のみです。

1 「合法のデータ販売」でマルウェアではない
2 各カテゴリの詳細
3 掲載状況と削除状況
4 情シス・セキュリティ担当者へのポイント
- 4.1 よくある質問（FAQ）
- 4.2 参考情報

「合法のデータ販売」でマルウェアではない

今回の調査の最大の特徴は、対象となった82件の拡張機能がいずれも悪意ある不正プログラムではないという点です。LayerX Securityの研究者Dar KahlonとGuy Erezは、公式ストアで提供されている数千件の拡張機能のプライバシーポリシーを一つずつ精査しました。その結果、ユーザーデータの収集と第三者への販売を明示的に記載しているポリシーを持つ拡張機能が82件確認されました。

ユーザーが承諾していないわけではありません。インストール時に「同意する」をクリックすれば、そのプライバシーポリシーへの同意となります。しかし誰もページ数にして何十ページにも及ぶプライバシーポリシーを読んでいないのが実態です。

各カテゴリの詳細

メディア系拡張機能24件——視聴データに加え年齢・性別まで推定

24件のメディア関連拡張機能は「QVI（Quality Viewership Initiative）」という団体に関連しており、表向きの目的はChromeでNetflixなどの動画を1080p等の高解像度で強制再生する「ストリーミング品質改善」です。インストール数は合計約80万件に達しています。

しかし実態はこれらの拡張機能がNetflix・Hulu・Disney+・Amazon Prime Video・HBO・Apple TV等の主要ストリーミングプラットフォームにおける以下のデータを収集しています。視聴履歴・コンテンツ嗜好・サブスクリプション状況・ダウンロードコンテンツ・ストリーミング行動が収集対象です。

さらに驚くべき点として、ユーザーが年齢・性別を直接提供していない場合でも、ユーザーのメールアドレスをサードパーティの人口統計データベースと照合することで、年齢と性別を推定していることが確認されています。

広告ブロッカー12件——「ブロック」しながら「収集」する逆説

広告ブロッカーとして機能しながらデータを販売している12件の合計インストール数は550万件以上です。プライバシー保護のためにインストールした拡張機能がプライバシーを侵害しているという皮肉な構造が浮かび上がります。

セールスインテリジェンス系拡張機能29件——企業内部データが外部に流出

82件中29件はセールスインテリジェンスツールとして機能しており、企業にとってより深刻なリスクを含んでいます。これらは企業の社内システム・SaaSプラットフォームへのアクセス・リサーチワークフローを含む内部ブラウジング活動を収集し、それを購買者がアクセスできる商用データセットに組み込んでいます。

従業員が業務用PCにこれらの拡張機能をインストールしている場合、競合他社が購入したデータセットに自社の業務活動が含まれている可能性があります。

掲載状況と削除状況

項目	状況
特定されたユニーク拡張機能数	82件
ストアリスティング数（バリアント含む）	94件
現在もChrome Web Storeに掲載中	75件
削除済み	7件のみ

2026年4月27日時点で、問題のある拡張機能の91%以上がChrome Web Storeで引き続き入手可能な状態にあります。

情シス・セキュリティ担当者へのポイント

本件が企業にとって特に重要な理由は、従業員が業務端末にインストールしたブラウザ拡張機能が、企業の内部業務データの流出チャンネルになり得るという点です。

エンドポイントのEDRが検知できる不正プログラムと異なり、プライバシーポリシーに基づく合法的なデータ収集はセキュリティ製品での検知・ブロックが困難です。特にセールスインテリジェンス系の拡張機能は、業務効率化ツールとして業務部門が自己判断でインストールするケースも多く、IT・セキュリティ部門が把握できていないケースが多くあります。

対策として、企業内での業務用PCへの拡張機能インストールを管理・承認制にすること、Chrome Enterprise Policy等を使用して未承認の拡張機能をブロックすること、インストール済みの拡張機能の定期的な棚卸しと審査を実施することが推奨されます。

個人向けの対策として、拡張機能が本当に必要かを再考すること、インストール前にレビューとプライバシーポリシーの概要（Google翻訳でも構いません）を確認すること、QVI関連の拡張機能を使用している場合はChrome Web StoreのQVI検索結果を確認して不要なものを削除することが推奨されます。

よくある質問（FAQ）

Q. 今回問題となった拡張機能はマルウェアですか？ いいえ。いずれも公式のChrome Web Storeで提供されており、プライバシーポリシーにデータ収集・販売が明示されている合法の拡張機能です。マルウェアとは異なり、技術的には「同意の上での」データ収集となっています。

Q. QVI（Quality Viewership Initiative）関連の拡張機能が自分のChromeにあるか確認する方法は？ Chrome Web Storeで「Quality Viewership Initiative」と検索するか、Chromeメニュー→「拡張機能」→インストール済みの拡張機能の一覧を確認してください。「QVI」という文字が含まれる拡張機能が該当する可能性があります。

Q. 広告ブロッカーを使っているのにデータが収集されているのはなぜですか？ 広告のブロックとデータの収集・販売は独立した機能です。広告をブロックしながら同時にブラウジングデータを収集し、それを別途販売することは技術的に可能であり、今回の12件の広告ブロッカーがこの手法を採用しています。

Q. Googleはこの問題にどう対応していますか？ LayerX Securityの発表によれば、2026年4月27日時点で82件中75件がChrome Web Storeに掲載継続中です。削除されたのは7件のみです。Googleのポリシー上、プライバシーポリシーに明示されているデータ収集は必ずしも削除の対象とはならないとみられます。