Chrome エクステンション 82 件で確認された情報収集モデル:QVI という名で650 万ユーザーに影響

82 Chrome Extensions Found Selling User Data, 6.5 Million Users Affected

2026/04/29 hackread — 多くのユーザーに見られる傾向として、ブラウザ・エクステンションの安易なインストールが挙げられる。最近のインシデントが示すとおり、LayerX Security の新たな調査結果である Enterprise Browser Extension Security Report 2026 が指摘するのは、多数のエクステンションが個人データを収集し、第三者へ販売しているという事実である。

同社の分析対象は、数千の Chrome エクステンションのプライバシー・ポリシーである。その結果、ユーザー・データ販売権限を、82 件のエクステンションが明示的に保持していることを特定した。

それらは隠れたマルウェアではない。データを収集/販売する行為がポリシーに明記されているのだ。

Quality Viewership Initiative (QVI) 関連エクステンション

LayerX Security によると、合計インストール数が 80 万に達している、24 件のメディア関連エクステンションがある。これらのエクステンションは、Quality Viewership Initiative (QVI) に関連付けられている。QVI とは、Chrome において 1080p など高解像度を強制し、ストリーミング品質改善を目的とする協調プロジェクトとして説明されている。

しかし研究者が特定したのは、これらツールが複数のプラットフォーム上でユーザー・アクティビティを追跡していることだ。その対象として挙げられるのは、Netflix/Hulu/Disney+/Amazon Prime Video などである。

一連の収集データに含まれるのは、視聴履歴/コンテンツ嗜好/サブスクリプション状態/ダウンロードコンテンツ/ストリーミング挙動などである。さらに、一部ケースでは、メールアドレスを第三者の人口統計データベースと照合することで年齢および性別を推定しているという。

広告ブロッカーおよび追加エクステンション
82 Chrome Extensions Found Selling User Data, 6.5 Million Users Affected
Chrome Web Store page for the “Custom Profile Picture for Netflix QVI” extension (Image via LayerX)

さらに、今回のレポートでは、12 件の広告ブロッカーが、合計で 550 万以上のユーザーを抱えていることも判明した。これらも同様に、閲覧データの収集/販売モデルを採用している。

それに加えて、10 万以上のユーザーを持つ約 50 件の Chrome エクステンションが、一般的な Web アクティビティを収益化している。

合計で、少なくとも 650 万ユーザーに影響を与えることが確認された。

セールス・インテリジェンス用途への転用

追加分析により 82 件中の 29 件が、セールス・インテリジェンス・ツールとして機能していることが判明した。

それらは、内部のブラウジング・アクティビティを取得する。アクティビティの対象として挙げられるのは、企業システム/SaaS プラットフォーム/リサーチワークフローへのアクセスなどである。

それらの収集されたデータは、商用データセットとして加工され購入者へ提供される。その結果、一般ユーザーの娯楽嗜好およびオンライン行動が広告主へ販売される。その一方でユーザー企業は、従業員端末を通じた情報漏洩リスクに直面する。

現状と対策

この記事の執筆時点で、研究者が特定したのは、82 件のエクステンションであり、それらは 94 件のストアに掲載されている。そのうちの 75 件は、現在も Chrome Web Store 上で公開状態であり、削除されたのは 7 件のみである。

ユーザーが導入を避けるべきなのは、価値の低いエクステンションやデータ収集を伴うプラグインである。公式サイトに掲載された、検証済みのツールのみを使用することが推奨される。

Chrome に QVI 関連エクステンションがインストールされている場合は、速やかに内容を確認すべきである。そして、不要なものは削除すべきである。

訳者後書:ブラウザの機能を拡張する便利なエクステンションの裏側で、私たちのプライバシーがどのように扱われているのかという実態を紹介する記事です。便利な機能を提供する見返りに、多くのアドオンやエクステンションが、ユーザーの閲覧データや個人情報を収集/販売することを “プライバシーポリシー” に明記し、ビジネスモデルとして成立させています。それらは、ウイルスのような隠れた不正プログラムではなく、利用者がインストール時に (内容を詳しく読まずに) 同意したルールに基づいて、合法的にデータを取得しています。詳細については、Enterprise Browser Extension Security Report 2026 を、ご参照ください。