LinkedInを開いた瞬間、あなたのブラウザは静かにスキャンされている。インストールされている拡張機能、CPU数、メモリ量、画面解像度、タイムゾーン、バッテリー残量……。これはSFではなく、BleepingComputerが独自検証で確認した現在進行形の話だ。

何が起きているか

「BrowserGate」と名付けられたこの問題は、商業的LinkedInユーザーの団体「Fairlinked e.V.」が告発したもの。LinkedInはランダムなファイル名のJavaScriptをユーザーセッションに注入し、6,236個のブラウザ拡張機能の有無を検出しているという。

手法はシンプルかつ確立されたものだ。各拡張機能には固有のIDがあり、そのIDに紐づく静的リソース(画像やJSファイル)へのアクセスを試みることで、インストールされているかどうかを判定できる。Chrome DevToolsを開けば確認できるレベルの話なので、完全な「隠蔽」ではないが、一般ユーザーが気づくことはほぼない。

何のために使っているか

特に問題視されているのが競合製品の把握だ。LinkedInは自社の営業ツール(Sales Navigator等)と直接競合するApollo、Lusha、ZoomInfoを含む200以上の製品を監視対象に含めている。LinkedInはユーザーの氏名・企業・役職を把握しているため、「どの会社がどの競合ツールを使っているか」を高精度にマッピングできる。これは事実上、競合SaaSのカスタマーリストをユーザーのブラウザから無断で抜き取っているに等しい。

さらに収集されるデバイス情報(CPUコア数、メモリ容量、画面解像度、タイムゾーン、言語設定、バッテリー状態、オーディオ情報、ストレージ)は、組み合わせることでブラウザフィンガープリントを形成できる。これはCookieを削除しても追跡可能な識別手法だ。

BleepingComputerは競合ツール使用データの活用や第三者提供については独自検証できていない。ただ、Fairlinkedはこのデータが「利用規約違反ユーザーへの警告・制限に既に使われている」と主張している。

LinkedInの反論

LinkedInは拡張機能の検出自体は認めつつ、「メンバーのプライバシー保護とサイトの安定性のため」だと説明している。また告発者がコンテンツスクレイピング等によりアカウント制限を受けているとも述べており、報告書の信頼性を疑わせる姿勢を見せている。

とはいえ、拡張機能検出の対象には税務専門家向けツールや文法校正ツールも含まれており、「競合スクレイパーの検出」だけでは説明がつかない範囲の監視が行われていることは事実だ。

実務への影響

エンジニア・セキュリティ担当者へ

  • 業務用PCでLinkedInを開く際のリスクを再認識する。インストールされている拡張機能から、社内で使用しているSaaSツールの種類が推測される可能性がある
  • ブラウザプロファイルの分離を検討する。LinkedInなどSNS系は専用プロファイルで開き、業務用拡張機能との混在を避ける
  • 社内ポリシーの見直し。「業務PCのブラウザ管理」にLinkedIn経由の情報漏洩リスクを追加すべきタイミングかもしれない
  • フィンガープリンティング対策として、Privacy BadgeruBlock Originといった拡張機能が有効だが、皮肉なことにそれらもLinkedInのスキャン対象に含まれている

IT管理者へ

業務端末のブラウザ拡張機能管理は以前から重要だったが、この件はその理由に新たな側面を加えた。従来は「悪意ある拡張機能によるデータ漏洩」が主な懸念だったが、今後は「訪問先Webサービスによる拡張機能スキャン」も管理対象に含める必要がある。

筆者の見解

率直に言う。Microsoftへの失望が、またひとつ積み重なった。

LinkedInはMicrosoftが2016年に262億ドルで買収したサービスだ。そのLinkedInが、競合他社のユーザーリストをサイレントスキャンで構築し、違反者の摘発に使っているとしたら——これは「プライバシー保護のため」という説明とは到底相容れない。

セキュリティの文脈で言えば、このフィンガープリンティング手法は昔からあるし、技術的に「違法」とは言い切れない。LinkedInのTOS(利用規約)には収集に関する条項があるし、企業がユーザーのブラウザ環境を把握しようとするのは珍しいことでもない。

だがLinkedInはリアルアイデンティティと紐づいている点が決定的に異なる。Twitterやnoteでフィンガープリンティングされるのと、本名・所属会社・職種が紐づいた状態でフィンガープリンティングされるのでは、リスクの次元が違う。競合ツール使用状況のマッピングに至っては、もはや個人プライバシーを超えた企業競争上の情報収集と見るべきだ。

Copilotで散々やらかし、Recallで炎上し、そしてLinkedInでBrowserGate。Microsoftは「信頼されるテクノロジー企業」という看板をゆっくりと、しかし確実に外してきている。

対策としては、業務でLinkedInを使うならブラウザプロファイルを分離するのが現実的な一手。MicrosoftがEdgeとLinkedInを「統合」させていく方向に進むとすれば、その統合がどんな情報収集を内包するか——今後も目を離せない。

出典: この記事は LinkedIn secretely scans for 6,000+ Chrome extensions, collects data の内容をもとに、筆者の見解を加えて独自に執筆したものです。