企業ITがChrome拡張機能をブロックする理由

2025年、企業環境におけるブラウザ拡張機能からのセキュリティ脅威が増大している。LayerXによると、99%の企業従業員が少なくとも1つのブラウザ拡張機能をインストールしており、53%以上が10個以上を使用している。このレポートでは、企業ITチームが最も頻繁にブロックするChrome拡張機能と、それを促すセキュリティリスクを取り上げる。

ブラウザ拡張機能の広範な採用は、企業環境において大きな攻撃面を作り出した。ほぼすべての従業員が潜在的なセキュリティ脆弱性を示し、ITチームの監視と制御が複雑化している。

企業にインストールされた拡張機能の半数以上が、クッキー、パスワード、閲覧履歴へのアクセスなどの重要な権限を要求する。これらの権限は、資格情報の盗難やデータ漏洩につながる可能性がある。

GenAI拡張機能は企業ユーザーの20%がインストールしており、そのうち58%が高重要度のアクセス権限を要求している。これらのツールは企業の制御を回避し、機密データを外部AIサービスに露出させる可能性がある。

2024年末から2025年初頭にかけて、30以上のChrome拡張機能が資格情報を盗むことが発見され、20は注入された悪意のあるコードを通じてセッションとクッキーを悪用していた。企業IT部門は、権限範囲、発行者の評判、インストール方法、セキュリティ履歴に基づいて特定のChrome拡張機能をブロックする。

Manifest V3への移行は、Chrome拡張機能のエコシステムに大きな影響を与えた。2025年8月までに、73.40%のChrome拡張機能が移行を完了し、残りは自動的にブロックされる。企業ITは、管理されていないコード実行を防ぐために、サイドロードされた拡張機能を事前にブロックすることが多い。

効果的な企業Chrome管理には、拡張機能のセキュリティに対する多層的なアプローチが必要であり、包括的な監査、リスクに基づく分類、適応的な施行ポリシーが含まれる。拡張機能のセキュリティ姿勢の継続的な監視は、組織が新たな脅威に迅速に対応するのに役立つ。

ブラウザ拡張機能のセキュリティは、アイデンティティ管理、データ損失防止、エンドポイントセキュリティを含む広範なサイバーセキュリティフレームワークと統合されるべきである。この包括的なアプローチは、拡張機能に基づく脅威に対する包括的な保護を保証する。