Chrome拡張機能を公開してみた感想

Chrome拡張機能をChrome Storeで公開してみました。拡張機能について色々知ったことをメモしておきます。

Chrome拡張機能について

このWebサイトを維持してるので、普段からhtmlなどをいじることが多いです。以前からChrome拡張機能が作れそうな気がしてたので興味がありました。
しかし、ドキュメントを読むのが面倒で特に調べようとは思わなかったのですが、最近はAIのおかげで公式ドキュメントを詳細に読まなくてもテンプレートを出力して動く状態から調整できるようになりました。

拡張機能の安全性が以前から気になっていたとこもあり、試しにいくつか拡張機能を公開してみて、気づいた点についてまとめてみようと思いました。

公式の拡張機能公開手順

https://support.google.com/chrome/a/answer/2714278?hl=ja

Chrome Store で拡張機能を公開するのは有料

何となく利用していたChrome拡張機能ですが、Chrome Storeで公開するのは有料でした。価格は$5、現在の為替レートだと約765円です。

拡張機能はほとんどが無料なので、公開してる人は完全な善意か、データ収集や怪しい目的を持った集団に二極化してそうです。
ストアではデベロッパーのメールアドレスを公開する必要があります。拡張機能を公開するとレビューに協力しますとかスパムメールが頻繁に届くようになります。正直完全な善意で公開するにしても、面倒なことが多いなという印象です。

ストア公開の審査

拡張機能をChrome Storeで公開する場合、Chrome Storeによる審査が行われます。
この審査は手動と自動の組み合わせらしい。以下のような拡張機能は詳細に調査されるとの事です。

新しいデベロッパー
新しい拡張機能
危険な権限のリクエスト
コードの大幅な変更

Chrome ウェブストアの審査プロセス

https://developer.chrome.com/docs/webstore/review-process?utm_source=chatgpt.com&hl=ja

この審査プロセスは、Chrome ユーザーを利用しようとする詐欺、データ収集、マルウェア、悪意のある行為者や、誤ってポリシーに違反する拡張機能からエンドユーザーを保護するのに役立ちます。

審査期間

審査期間は拡張機能の動作によってまちまちです。「Amazon マケプレ除外検索」「X Shortcut Image Saver」のような単純な機能の物は5~10時間、リダイレクト機能を持つ「Bing 大嫌い君」は少し長かった印象です。審査完了のメールは深夜でも届きました。

ダウンロード数

ダウンロード数は一日一回更新で、日本時間の22時頃に更新されてるようです。わりと更新がいいかげんで、実際のダウンロード数と異なる数が表示されてたりします。

レビューは重要

「Amazon マケプレ除外検索」にレビューをいただいたのですが、レビューされ途端にダウンロード数が少し伸びました。Chrome StoreはGoogle検索同様に、「検索結果」やページ内の「関連アイテム」「おすすめ」表示にレビューを使用している風です。

レビューが書き込まれると、書き込みを知らせるメールが届きます。応援している拡張機能にはポジティブなレビューをすると、公開している人のモチベーションが上がるかもしれません。

レビューは投稿されると即時反映されますが、★の数がページに反映されるには3~4日の時間差があるようです。

Chrome拡張機能の安全性

拡張機能は便利ですが、Webブラウザで表示している情報を編集できます。怪しい拡張機能を不用意にインストールしないのがよさそうです。

2025年に入って証券口座のアカウント乗っ取り、不正取引のニュースを多く見かけるようになりました。原因が錯綜する中、Chrome拡張機能やばいんじゃないかという噂を見かけました※。確かに拡張機能がマルウェア化するニュースは昔からありました。

ChromeやEdgeの拡張機能複数にマルウェア実装。すでに300万人がダウンロード

Chrome拡張機能を作ってみたのは、安全性はどうなの？というのが気になっていた事もあります。
Chrome拡張機能はページの情報を編集したりURLのリダイレクトできます。「Bing 大嫌い君」はリダイレクトの実験で公開した物で、bing.comにアクセスしたら自動的にgoogle.comに飛ばします。

悪意のある拡張機能を入れてしまうと、偽サイト(フィッシングサイト)に飛ばされて、入力情報を取られてしまう可能性がありそうです。

2025年に入り、口座乗っ取りが多発。なぜ起こるのか？

※2025年9月現在、証券口座のアカウント乗っ取り事件については、これまでなかった証券口座をターゲットにしたフィッシングの増加が原因じゃないか？という事みたいですね。

野良拡張機能

Chrome Storeを経由せずにGithub等で拡張機能が公開されている場合もあります。

Chromeは「デベロッパーモード」を使用すると野良の機能拡張をインストールして使用する事ができます。しかし、ストアの審査のような安全性のチェックが行われていないので、基本的には利用しない方がよいと思われます。

ストアで公開されている物の中にもGithubへのリンクが書かれている拡張機能を見かけますが、ストアで公開されている物とGithubで公開されている物が同じとは限らないので、基本ストアの方が安全性が高いと思います。

ストアのプライバシーポリシー

拡張機能をインストールしようとするとストアページにプライバシーポリシーに関する記述がありますが、ユーザーとして使う側だった時は、どういう意味なのかよくわかっていませんでした。これは公開時に必須の宣言で、あまり意味がありません。映画で見かける「神に誓って嘘は言ってない」程度のやつで、チェックボックス押すだけです。

下の画像は拡張機能を公開するときに、入力が必須のプライバシーポリシーページです。

審査によってユーザーデータを収集している場合は、「データ使用」のチェックが必要で「プライバシーポリシー」をWebサイトでの公開が必須になります。
ストアページでデベロッパー固有の「プライバシーポリシー」リンクがあるやつは何らかのデータを収集しています。

拡張機能の動作上、必要がなさそうなのにユーザーデータ収集してるやつは、データ収集が目的の拡張機能と思われます。

拡張機能の「権限」と「サイトへのアクセス」

Chrome拡張機能はmanifest.jsonによって「権限」や「サイトへのアクセス」を定義する必要があり、manifestに書かれていないサイトでは拡張機能は動作しない仕組みになっています。

Chromeの「拡張機能」の「詳細」ボタンを押すと、拡張機能ごとの権限を確認できます。

chrome://extensions/

例えば「Bing 大嫌い君」は「閲覧履歴の読み取り」の権限を要求します。これはbing.comにアクセスしたり、入力された検索ワードを維持してリダイレクトするために、動作上必須の権限になります。
「サイトへのアクセス」は https://bing.com/ とhttps://www.bing.com/ となり、基本的にはこれ以外のサイトでは拡張機能が動作しない事を意味します。ただしスクリプトがバグってると意図せず他のサイトで動作する場合があるようです。

「Amazonマケプレ除外検索」はポップアップでhtmlを表示するだけの単純な物なので「この拡張機能に特別な権限は必要ありません」と、権限が何も無いことがわかります。
「サイトへのアクセス」も「この拡張機能では、追加のサイトアクセスは行われません」となり、特定のURLで特別な処理をしていない事がわかります。