LinkedInがユーザーのブラウザー拡張機能を検索している

 (browsergate.eu)
2 ポイント 投稿者 GN⁺ 27 일 전 | 1件のコメント | WhatsAppで共有
  • LinkedInがユーザーのブラウザー拡張機能を密かにスキャンし、その結果を自社および第三者サーバーへ送信していることが確認された
  • この処理はユーザーの同意や通知なしに実行され、LinkedInのプライバシーポリシーにも明記されていない
  • スキャン対象には政治・宗教・障害・求職活動などの機微情報を明らかにし得る拡張機能が含まれる
  • LinkedInはこれにより競合製品を使う企業を特定し、第三者ツール利用者に制裁をほのめかした事例がある
  • Fairlinked e.V.はこれを大規模な個人情報侵害および企業スパイ行為と位置づけ、法的対応と公益通報を進めている

LinkedInによる違法なブラウザー拡張機能検索疑惑

  • LinkedInがユーザーのコンピューターにインストールされたブラウザー拡張機能を密かに検索し、その結果を自社および第三者サーバーへ送信していたことが確認された
    • このコードはユーザーの同意や通知なしに実行され、LinkedInのプライバシーポリシーには関連内容が明記されていない
    • 収集されたデータは**HUMAN Security(旧PerimeterX)**などの第三者企業にも送信される
  • LinkedInはユーザーの実名、勤務先、役職情報を保有しているため、匿名訪問者ではなく識別可能な個人および企業単位でスキャンを行う
    • その結果、世界中の数百万社の内部情報が日々収集される構造になっている
    • 調査の結果、この行為は検討対象となったすべての法域で違法、または刑事犯罪に当たる可能性がある

調査主体と目的

  • Fairlinked e.V. は商用LinkedInユーザーの協会であり、プラットフォームに依存する専門職、企業、ツール開発者を代表している
  • BrowserGateはこの団体が進める調査およびキャンペーンで、大規模な企業スパイ行為と個人情報侵害事件を記録して公衆および規制当局に知らせ、法的対応のための証拠収集と資金調達を目的としている

主な発見事項

  • 大規模な個人情報侵害

    • LinkedInのスキャンは、ユーザーの宗教、政治的傾向、障害の有無、求職活動などを明らかにし得る拡張機能を検出する
    • 例として、ムスリム信仰者向け拡張機能政治的傾向に関する拡張機能ニューロダイバーシティのユーザー向けツール509件の求職関連拡張機能などが含まれる
    • これらのデータはEU法上、収集自体が禁止されたカテゴリに該当し、LinkedInは同意・開示・法的根拠なしにこれを実施している

  • 企業スパイおよび営業秘密の窃取

    • LinkedInはApollo、Lusha、ZoomInfoなど、自社営業ツールと競合する200以上の製品をスキャンしている
    • ユーザーの雇用主情報を通じてどの企業がどの競合製品を使っているかを把握でき、これは数千社のソフトウェア企業の顧客リストを無断で抽出する結果につながる
    • LinkedInはこのデータを利用し、第三者ツール利用者に制裁をほのめかす通知を送った事例がある

  • EU規制の回避

    • 2023年、EUはLinkedInを**Digital Markets Act(DMA)**に基づく「ゲートキーパー」に指定し、第三者ツールへのアクセス許可を命じた
    • LinkedInはこれに対応して限定的な2つのAPIを公開したが、これらは1秒あたり0.07回の呼び出し水準にすぎない
    • 一方、内部APIであるVoyager1秒あたり163,000回の呼び出しで、すべてのWeb・モバイル製品を動かしている
    • Microsoftの249ページに及ぶEU報告書では「API」が533回登場する一方で、「Voyager」への言及は一度もない
    • 同時にLinkedInは監視対象を拡大し、2024年の約461製品から2026年2月時点で6,000以上へとスキャンリストを拡張した
    • EUが第三者ツールの開放を求めると、LinkedInは利用者を監視・処罰するシステムを構築した

  • 第三者へのデータ送信

    • LinkedInはHUMAN Security不可視トラッキング要素(0ピクセルサイズ)を読み込み、ユーザーが認識しないままCookieを設定する
    • LinkedIn自身のサーバー上ではフィンガープリンティング用スクリプトが実行され、Googleのスクリプトもすべてのページ読み込み時に動作する
    • これらすべてのデータ送信は暗号化されており、外部には公開されていない

支援の呼びかけ

  • Microsoftは33,000人の従業員150億ドル規模の法務予算を有している
  • Fairlinkedは証拠を確保したものの法的対応のための人員と資金支援を必要としている
  • Webサイトを通じて参加・支援・報道向け情報提供などの行動を呼びかけている

関連記事

1件のコメント

 
GN⁺ 27 일 전
Hacker Newsの意見

  • タイトルはやや大げさに思える
    実際には、Chrome系ブラウザでLinkedInを開くたびにJavaScriptがインストール済みのブラウザ拡張機能を密かにスキャンし、その結果を暗号化してサーバーへ送信する仕組みである
    こうした行為は侵襲的に見えるが、最近の広告コードを含むWebサイトでよく見られるブラウザフィンガープリンティングの一種のように見える
    ただし、特定の拡張IDを一つひとつ照会する方式は、APIの制約による可能性が高い
    問題ではあるが、過度に恐怖をあおるフレーミングには同意しない
    だから私は広告ブロッカーを使っている

    • ブラウザ拡張機能を探るのは、つまりコンピュータをスキャンしているのではないかという疑問を覚える
      ChromeがV3でextensionIdをランダム化した理由も、まさにこうした行為を防ぐためだった
      LinkedInが特定の宗教関連拡張まで一覧に入れていたなら、それは単なる技術的理由ではなく意図的な選択に見える
    • こうした行為を「想定内」とする態度そのものが問題だと思う
      広告ブロッカーは完全な防御策ではなく、情報抽出と行動操作は今後も新しい方法で現れ続ける
    • FBIでさえ広告ブロッカーを推奨する時代だというのは驚きだ
      しかし皆が本当にそうしたら、インターネット経済のかなりの部分が崩壊するだろう
      FBIが「世界第3位の企業のビジネス手法から自分を守れ」と言う状況は皮肉だ
    • LinkedInが私の拡張機能を調べる理由はまったくないと思う
      こうした行為には強く反対すべきだ
    • これはすでに何度もリバースエンジニアリングされている内容だ
      LinkedInが確認している拡張機能の一覧は大半がスパム・スクレイピング用ツールで、一般的な広告ブロッカーは含まれていない
      ログイン済みユーザーにはわざわざフィンガープリンティングは不要なので、単に自動化ツール検出が目的の可能性が高い

  • LinkedIn側の公式見解である
    問題提起者のアカウントはスクレイピングおよび利用規約違反で制限された状態であり、その報復として虚偽の主張を広めているとしている
    LinkedInは会員データ保護とサイト安定性のため、無断データ抽出拡張を検知していると説明している
    拡張機能は固定のリソースURLを公開するため、その存在を確認でき、これは開発者コンソールでも見える程度のものだという
    このデータは規約違反検知と技術的防御の改善にのみ使用され、センシティブ情報の推論には使われないと主張している
    ドイツの裁判所でもLinkedIn側が支持されたと付け加えている

    • どんな目的であってもプライバシー侵害は正当化できない
      ユーザーの政治・宗教・性的指向が露出する危険があるなら、規約執行よりはるかに深刻な問題だ
      単にトラフィックが過剰なアカウントを止めれば済む話なのに、なぜこんな侵襲的な方法を使うのか理解できない
      LinkedInが初期成長期にユーザーの連絡先を無断で吸い上げてメールを送っていた前科があることも思い出す
    • LinkedInのいう「悪性拡張機能リスト」を公開できるのか聞きたい
    • 証拠なしに主張ばかり並べているように感じられ、信頼しにくいという反応だ
    • MicrosoftとLinkedInは過去にもデータ収集に関して嘘をついたことがあり、信じがたい
    • OpenAIに投資したMicrosoftに知的財産権侵害を非難する資格があるのかという冷笑的な反応もある

  • LinkedInのアカウントがないのに、私の名前で偽プロフィールが作られていた
    現在コンサルティング中の会社と結びついた状態で、抗議メールを送るとLinkedInから削除確認メールが来た
    アカウントがなくてもLinkedInが自動でプロフィールを作れるので注意が必要だ

    • こうしたことがどうやって可能なのか気になる
      会社が従業員名簿をアップロードしているのか、Microsoftアカウント連携のせいなのか、詳細な経路が不明だ
      また本人がそのプロフィールを引き取ったり削除したりできる手続きがあるのかも知りたい
    • 元の人物になりすます詐欺的アカウントである可能性もある
      リモートワーク拡大後はこうした事例が増え、数回給料を受け取れれば得なので頻繁に起きている
    • この事例こそが、LinkedInがなぜこうした行動をするのかを説明する唯一の手がかりかもしれない

  • 数年前までなら、こうした無断フィンガープリンティングはスパイウェアと見なされていた
    今LinkedInがやっている「spectroscopy」は、拡張機能検出とDOM残留物分析を組み合わせた方式だ
    広告ブロッカーでは防ぎにくく、Chromeを離れても完全な防御は不可能だ
    結局はブラウザベンダーによる本物のプライバシーモードが必要になる

    • 実際、reCAPTCHAのようなサービスも15年以上前からブラウザフィンガープリンティングを活用してきた
      拡張機能検出は珍しいが、フィンガープリンティング自体はすでに長年の慣行だ
      fingerprint.com/demoで自分のブラウザの脆弱さを試してみた
    • Microsoftはいつもこうやって劣った製品を市場に固定化してきた
      Windows、Office、SharePoint、LinkedInはどれも同じだ

  • LinkedInがイスラム系コンテンツフィルター、反シオニズムタグ、ニューロダイバーシティ支援ツールのような拡張機能まで検出しているのは、信頼を大きく損なう話だ

    • こうした拡張機能のかなりの部分は、実際にはデータ窃取用の悪性拡張である可能性が高い
      見た目は社会的テーマやアクセシビリティツールのようでも、内部ではユーザーデータを抜き取っていることが多い
    • こうした行為は広告ターゲティングやフィンガープリンティングの一環にすぎず、Microsoftだけの問題ではない
      インターネット全体で信頼の浸食が何十年も続いている
    • こういうアイデアは悪意ある役員ではなく、モラルより金を優先した従業員たちの産物だと思う
    • LinkedInが検出した拡張機能一覧を見ると、「Anti-woke」「Vote With Your Money」「No more Musk」など、政治的傾向を示す拡張機能が多数含まれている

  • Webサイトが特定の拡張機能を検出できるという事実自体が問題だと思う
    正当な必要があるなら、拡張機能側が自分をどのサイトに露出するかを選べるべきだ

    • 実際には拡張機能は特定サイトでのみ有効になるよう設定されており、そのとき公開される公開リソースファイルを通じて存在有無を確認できる
      LinkedInはこの方法で6000件以上の拡張機能をスキャンしている
      以前は100件程度だったが、今ははるかに攻撃的に拡大している

  • 私は個人用と業務用のブラウザを別々のcgroupとjailで分離して使っている
    設定は面倒だが、プライバシーと業務データが混ざらず安心できる
    少なくとも公開用と非公開用の2つのプロファイルを分けることを勧める
    Microsoftに、自分が「Otaku Neko StarBlazers Tru-Fen Extendomatic」みたいな拡張機能を入れていると知られるのは嫌だ

    • 私も別の成人向けFirefoxプロファイルを分けて持っている
    • その拡張機能を実際に検索してみた人もいる
    • こうした分離環境にはQubes OSがとても向いている。日常用に使っていて強く勧める

  • 今回の件は結局、Chromeのサンドボックス失敗を示している
    法的規制より技術的解決のほうが単純で効果的かもしれない

    • Chrome拡張機能はmanifest.jsonのweb_accessible_resourcesを通じて内部ファイルを公開する
      LinkedInはこの構造を利用し、fetchリクエストでインストール有無を判定している
      意図された設計なのか疑問だ
    • 関連コメントによると、そこまで単純な問題ではない
    • Chrome開発者が追跡防止に強い動機を持っていない点も問題だ
      技術的防御と倫理的な怒りは両立されるべきだ

  • 大手テック企業には信頼する理由がない
    プライバシーを守るにはブラウザのコンテナ機能を使うべきだ
    私が作ったLinkedIn Container拡張は、FirefoxでLinkedInの活動を隔離してくれる
    今後この拡張機能がLinkedInのスキャン試行を遮断できるよう改善する予定だ

  • この件は恐ろしいが、同時にJavaScriptが6000件以上のfetchを並列処理できることは技術的に驚きでもある
    ネットワークスタックを通らなくてもこれほどの効率が出るのは、JSの進化を示している