ラボまとめコラムニュース
ブログ/記事一覧/LinkedIn、ログインするたびにChrome拡張6,000件以上をスキャン
linkedin-chrome-extension-scanning-cover-ja

LinkedIn、ログインするたびにChrome拡張6,000件以上をスキャン

LinkedInがページ読み込み時にChrome拡張機能6,236件をスキャンし、デバイス情報を収集していたことが判明。ドイツの調査団体Fairlinkedが技術的証拠を公開し、BleepingComputerが独自検証で確認。

ニュース
kkm-horikawa

kkm

Backend Engineer / AWS / Django

2026.04.058 min4 views
Share X B! Hatena LINE in LinkedIn RSS
この記事のポイント

LinkedInがページ読み込み時にChrome拡張機能6,236件をスキャンし、デバイス情報を収集していたことが判明。ドイツの調査団体Fairlinkedが技術的証拠を公開し、BleepingComputerが独自検証で確認。

LinkedInがページを読み込むたびに、ユーザーのブラウザに入っているChrome拡張機能6,236件を密かにスキャンしていることが明らかになりました。ドイツの非営利団体Fairlinked e.V.が「BrowserGate」と題した調査報告書を公開し、BleepingComputerが独自検証でスクリプトの存在を確認しています。

スキャン対象には、求職ツール509件、LinkedInの競合製品200件超に加え、イスラム教の礼拝時間を通知する拡張や、ADHDの集中を助けるツールなど、宗教・政治・障害に関わるものも含まれていました。スキャンされた拡張機能の合計ユーザー数は4億500万人にのぼります。

LinkedInは何をしているのか

LinkedInのページを開くと、隠されたJavaScriptファイルが自動で実行されます。ファイル名はランダムに生成されており、一見しただけでは何をしているかわかりません。

このスクリプトは、browserleaks.comでも解説されている「拡張機能フィンガープリンティング」という既知の手法を使っています。具体的には、Chrome拡張機能がブラウザに公開するファイルリソース(アイコンやマニフェストファイルなど)にアクセスを試み、そのリソースが存在すれば「この拡張機能がインストールされている」と判定します。

さらに厄介なのは、スキャンのタイミングです。セキュリティ研究者の指摘によると、スクリプトはブラウザのrequestIdleCallbackを利用し、ブラウザが何もしていないタイミングを見計らって実行されます。処理の遅延やスピナーの表示がないため、ユーザーがスキャンに気づくことはまずありません。

拡張機能のスキャンに加え、以下のデバイス情報も収集されています。

収集データ内容
CPUコア数プロセッサのコア数
デバイスメモリ利用可能なRAM容量
画面解像度ディスプレイの解像度
タイムゾーン端末のタイムゾーン設定
言語設定ブラウザの言語
バッテリー残量バッテリーの状態
オーディオ情報オーディオ処理の特性値
ストレージストレージ機能の有無

これらの情報を組み合わせると、個々のユーザーを高い精度で特定できる「ブラウザフィンガープリント」が生成されます。拡張機能の構成はユーザーごとに異なるため、Cookieを使わなくてもトラッキングが可能になります。

スキャン対象にはどんな拡張機能が含まれるのか

問題の核心は、スキャンリストの中身です。BrowserGate報告書によると、LinkedInがチェックしている6,236件の内訳には以下のようなカテゴリが含まれています。

求職ツール: 509件

求人検索や応募管理を支援する拡張機能です。つまり、LinkedInは「誰が密かに転職活動をしているか」を把握できる立場にあります。転職活動中の人が、現在の雇用主からも見えるプロフィールを持つプラットフォームでスキャンされているという構図です。

競合製品: 200件超

ApolloLushaZoomInfoなど、LinkedInのSales Navigatorと直接競合する営業・リクルーティングツールが含まれています。

宗教・政治・障害関連

イスラム教の礼拝時間を通知する拡張、毎日のトーラー(ユダヤ教聖典)の朗読を提供する拡張、ADHDユーザーの集中を助ける拡張、ディスレクシア(読字障害)のためにフォントを変更する拡張なども対象です。これらはGDPR第9条が「特別カテゴリデータ」として厳格に保護する宗教的信条、政治的見解、健康データに直結します。

なぜ今、問題になったのか

LinkedInによる拡張機能のスキャン自体は、以前から知られていました。2025年の時点では約2,000件、2か月前には約3,000件が確認されています。それが2026年2月の時点で6,236件まで膨れ上がり、スキャン対象の急増が調査の引き金になりました。

← スワイプで移動

調査を行ったのは、LinkedInの商用ユーザーやツール開発者で構成されるドイツの登録団体Fairlinked e.V.です。報告書はbrowsergate.euで全文と証拠パックが公開されています。

この報告書を受けて、BleepingComputerが独自にテストを実施し、JavaScriptファイルの読み込みと6,236件の拡張機能に対するリソースアクセスの試行を確認しました。ただし、収集されたデータの使途やサードパーティとの共有については、BleepingComputerの検証では確認できていません。

LinkedInの言い分とFairlinked側の反論

LinkedInは拡張機能の検出自体を否定していません。BleepingComputerの取材に対し、LinkedInは以下のように回答しています。

「メンバーのプライバシー、データ、サイトの安定性を守るため、メンバーの同意なくデータをスクレイピングする拡張機能や、LinkedInの利用規約に違反する拡張機能を検出しています」

さらにLinkedInは、収集したデータは「どの拡張機能が規約に違反しているかの判定」と「技術的防御の改善」に使用しており、「メンバーのセンシティブな情報を推測するために使っていない」と述べています。

LinkedInはまた、BrowserGate報告書の出所についても言及しています。報告書は、LinkedInの規約に違反したとしてアカウントを制限されたTeamfluenceという拡張機能の開発者に関連する組織から出されたものだとLinkedInは主張しています。実際、ドイツ・ミュンヘンの裁判所は、この開発者が申し立てた仮処分を却下しています。

一方、Fairlinked側の反論はこうです。報告書の出所がどうであれ、BleepingComputerが独立した第三者として技術的な事実を確認している以上、スキャンが行われていること自体は争えない、と。問題は「誰が告発したか」ではなく「LinkedInが何をしているか」だという立場です。

収集データはどこに送られるのか

BrowserGate報告書は、LinkedInのページ上で3つの別々のスクリプトが動作していると指摘しています。

1つ目はLinkedIn自身のサーバーから配信されるフィンガープリンティングスクリプト。2つ目はGoogleから読み込まれるスクリプト。そして3つ目が、HUMAN Security(旧PerimeterX)という米国・イスラエルのサイバーセキュリティ企業からの不可視のトラッキング要素です。

報告書によると、HUMAN Securityの要素は幅0ピクセルの見えない状態で読み込まれ、ユーザーの知らないうちにCookieを設定します。全てのデータは暗号化されて送信されるため、通信内容の外部検証は困難です。

ただし、この部分については注意が必要です。BleepingComputerはスクリプトの存在は確認しましたが、データが実際にサードパーティ企業と共有されているかどうかは検証できていません。Fairlinked側の主張とLinkedIn側の否定が対立している状況です。

GDPRや法規制との関係

Fairlinked e.V.は、LinkedInの行為が複数のEU規制に違反する可能性を指摘しています。

まずGDPR第9条です。宗教・政治・健康に関する情報は「特別カテゴリデータ」に該当し、収集には明示的な同意が必要です。礼拝時間アプリやADHD支援ツールの検出は、この条項に直接関わります。

次にEUのデジタル市場法(DMA)です。LinkedInは2023年にDMAの「ゲートキーパー」に指定されました。DMAはゲートキーパーに対し、サードパーティツールへのプラットフォーム開放を義務付けています。競合する営業ツール200件以上をスキャンし、そのデータを使って競合排除を行っているとすれば、DMAの趣旨に反することになります。

ミュンヘン地方裁判所はTeamfluence開発者の仮処分申請を却下していますが、これはLinkedInのアカウント制限が違法な妨害行為にあたらないと判断したもので、スキャン行為自体の適法性について判断したものではありません。EU各国の規制当局への通報が進められていると報告書は述べています。

他のサイトでも同じことは起きているのか

ブラウザを介したユーザー情報の収集は、LinkedIn固有の問題ではありません。

2020年には、eBayがユーザーのPCに対してポートスキャンを行っていることが発覚しています。eBayのケースでは、不正購入を防ぐためにThreatMetrix(現LexisNexis傘下)のスクリプトがTeamViewerなどのリモートアクセスツールを検出していました。

gHacks Tech Newsの報道によると、同様のブラウザフィンガープリンティングスクリプトはCitibank、TD Bank、Equifaxなどの金融機関サイトでも検出されています。

ただし、Hacker Newsの議論では、LinkedInのケースが他のサイトと異なる点も指摘されています。LinkedInは求人プラットフォームであり、ユーザーは事実上、就職活動のためにLinkedInを使わざるを得ない立場にあります。「他のサイトも同じことをしている」で済ませられない背景がそこにあります。

ネット上の反応

日本語訳

LinkedInの10億人のユーザーがlinkedin.comにアクセスするたびに、隠されたコードがインストール済みソフトウェアを検索し、結果を収集してLinkedInのサーバーや米国・イスラエルのサイバーセキュリティ企業を含むサードパーティに送信している

コミュニティの反応

  • 「6,000件の拡張機能をスキャンすること自体はブラウザフィンガープリンティングの範疇だが、宗教やADHDに関連する拡張まで対象にしているのは話が別だ」(Hacker News
  • 「LinkedInは就職活動に必要不可欠なサービス。ユーザーは事実上逃げ場がない。だからこそ問題だ」(Hacker News
  • 「Chrome V3のManifest更新で拡張IDがランダム化されるのは、まさにこの種の検出を防ぐため。LinkedInの行為はブラウザの設計思想に反している」(Hacker News

日本語訳

LinkedInはあなたのコンピュータを違法に検索している

自分のブラウザが覗かれているか確認する方法

LinkedInによるスキャンが自分のブラウザでも行われているかどうか、2つの方法で確認できます。

方法1: Chrome DevToolsで確認する

LinkedInにログインした状態でChromeのDevTools(F12キー)を開き、「Network」タブを表示します。ページを再読み込みしたあと、読み込まれたJavaScriptファイルの中から大きなバンドルファイル(chunk.905など)を見つけ、そのコード内をchrome-extension://fetchExtensionsで検索してください。該当するコードが見つかれば、スキャンスクリプトが動作しています。

方法2: Extension Scanner拡張を使う

BrowserGateプロジェクトが公開しているExtension ScannerというChrome拡張機能をインストールすると、LinkedInが現在スキャン対象としている2,953件のIDと自分のインストール済み拡張を照合し、どの拡張がスキャン対象になっているかを表示してくれます。

なお、Chromium系ブラウザ(Chrome、Edge、Brave)が対象です。Firefoxはアーキテクチャが異なるため、同じ手法でのスキャンは確認されていません。

まとめと今後の見通し

LinkedInがユーザーのChrome拡張機能6,236件をページ読み込み時にスキャンしていることは、BleepingComputerの独立検証で事実として確認されています。LinkedInは「スクレイピング対策とプラットフォーム保護が目的」と説明していますが、スキャン対象に宗教・健康・政治に関連する拡張が含まれている点は、目的の説明だけでは説明がつきません。

収集データのサードパーティ共有については、Fairlinked側の主張とLinkedIn側の否定が対立しており、独立した検証はまだ完了していません。今後、EU規制当局がGDPRやDMAの観点でどう動くかが焦点になります。

LinkedInを使わないという選択肢は、多くの人にとって現実的ではありません。まずはDevToolsやExtension Scannerで自分のブラウザの状態を確認し、不要な拡張機能を整理しておくことが、今できる最も実用的な対策です。

参照元