LinkedIn が、ユーザーの同意なくブラウザ拡張機能をスキャンしていたとして、カリフォルニア州で 2 件の集団訴訟に直面している。原告側は「プライバシーポリシーを普通に読んでも、LinkedIn が裏でブラウザを覗いているとは思わない」と主張。これに対し LinkedIn は「スクレイピング系拡張の不正利用を防ぐ目的で、ポリシーには明記済み」と反論している。
どうやって拡張機能を「外から」検知するのか #
拡張機能の有無はサイト側からは見えない——というのは過去の話だ。ChromeManifest V3 では、拡張内のファイルを web_accessible_resources に登録するとウェブから chrome-extension://{id}/path で読める。これを悪用した検知が長年知られている。
fetch("chrome-extension://abcd.../icon.png") を投げる。非営利団体 Fairlinked eV が公開した「BrowserGate」プロジェクトでは、6,222 個の拡張機能を解析し、こうしたスキャンが業界で広く行われている実態を提示している。
「指紋」としての拡張機能リスト #
拡張機能の組み合わせは、ユーザーの属性をかなり露骨に示してしまう。採用系拡張が入っていれば転職活動中、競合社の拡張が入っていれば営業偵察、スクレイピングツールが入っていればジャーナリストか競合エンジニア——というぐあいに、職業・関心・所属がほぼ確定する。Cookie より粘着的で、シークレットモードでも漏れる種類の指紋だ。
LinkedIn 側の「防御目的」という言い分自体は分かる。スクレイパー対策はどのプラットフォームも頭を抱える課題で、拡張機能ベースの bot はとくに検知しづらい。しかし問題は、その検知ログが「不正利用の証拠」以外の用途で使われていないかをユーザー側から検証できない点にある。同意なき収集は、目的の正当性とは別レイヤーの話だ。
自衛するなら #
渡したくない人は、(1) 普段使いとログイン用でブラウザプロファイルを分ける、(2) 拡張の「サイトごとに有効化」を使う、(3) web_accessible_resources を持たない拡張を選ぶ——あたりが現実解になる。Chrome 側でも同リソースのオリジン制限を強化する議論が進んでおり、この訴訟はその流れを後押しする可能性が高い。
COMMENTS 0
No comments yet — be the first to leave one.