LinkedIn BrowserGate——6,000以上のChrome拡張を密かにスキャンしていた

LinkedInにアクセスするだけで、あなたのブラウザに入っている拡張機能が6,000件以上の一覧と照合され、密かにスキャンされている——。欧州のLinkedIn商用ユーザー団体「Fairlinked e.V.」の調査で、そんな衝撃的な事実が明らかになった。「BrowserGate」と名付けられたこの問題は、世界最大のビジネスSNSが長年にわたりユーザーのプライバシーを侵害してきた可能性を示している。

スキャン対象の拡張機能は2017年のわずか38件から、2026年2月には6,167件へと約1,252%も増加。宗教、政治的見解、健康状態、求職活動といったセンシティブな個人情報まで推定可能なデータが収集されていたという。LinkedInは「スクレイピング対策が目的」と主張するが、プライバシーポリシーにこの行為への言及はない。

BrowserGateとは何か——発覚の経緯

BrowserGateは、ドイツを拠点とするNPO「Fairlinked e.V.」が2026年3月に公開した調査レポートで初めて明らかにされた。Fairlinkedは欧州のLinkedIn商用ユーザー（リクルーター、営業担当、マーケターなど）の権利を守ることを目的とした団体で、LinkedInのプラットフォーム変更を技術的に監査してきた実績がある。

調査のきっかけは、LinkedInのページ読み込み時に不自然に大きなJavaScriptバンドルがダウンロードされていることに研究者が気づいたことだった。通常のWebページに必要なスクリプトの量をはるかに超える約2.7MBのJavaScriptコードがページに注入されており、その中に拡張機能のスキャンロジックが含まれていた。

スキャンの仕組み——2.7MBのJavaScriptが行うこと

LinkedInがページに注入するJavaScriptは、以下のようなプロセスでユーザーのブラウザ情報を収集する。

以下の図は、LinkedInの拡張機能スキャンがどのような流れで行われるかを示しています。

具体的には、以下の手順で動作する。

拡張機能の検出: Chrome拡張機能はそれぞれ固有のIDを持つ。LinkedInのスクリプトは6,167件の拡張機能IDリストを内蔵しており、chrome.runtime.sendMessage() APIやWeb Accessible Resourcesの存在チェックを通じて、インストール済みの拡張機能を特定する
ハードウェア・ソフトウェア特性の収集: 48種類のデバイス特性を収集する。画面解像度、色深度、WebGLレンダラー情報（GPU）、インストール済みフォント、タイムゾーン、言語設定、プラットフォーム情報などが含まれる
フィンガープリンティング: 収集した情報を組み合わせることで、Cookieを使わずにユーザーを一意に識別できる「ブラウザフィンガープリント」を生成する
データ送信: 収集したデータはLinkedInのサーバーに送信される

スキャン対象の爆発的増加——2017年から1,252%

Fairlinkedの調査で最も注目すべきは、スキャン対象の拡張機能数が年々急増している点だ。

以下の図は、LinkedInがスキャンする拡張機能数が2017年から2026年にかけてどのように増加したかを示しています。

時期	スキャン対象数	前回からの増加率
2017年	38件	—
2024年	461件	+1,113%
2025年（推定）	約3,000件	+551%
2026年2月	6,167件	+106%

2017年当初の38件は、主にスクレイピングツールやボット関連の拡張機能だった。しかし2024年以降、広告ブロッカー、パスワードマネージャー、VPN、開発者ツール、アクセシビリティツール、宗教関連の拡張機能まで対象が大幅に拡大された。わずか2年で461件から6,167件へ、1,252%の増加を記録している。

推定可能なセンシティブ情報——なぜ危険なのか

拡張機能のスキャンが特に問題視されるのは、インストールしている拡張機能の組み合わせから、ユーザーのきわめてプライベートな情報を推定できるためだ。

宗教・信仰

聖書リーダー、コーランリーダー、ユダヤ教のカレンダーツールなどの拡張機能から、ユーザーの宗教的背景を推定できる。

政治的見解

特定の政党の支援ツール、政治ニュースフィルター、選挙関連の拡張機能から、政治的傾向が分かる。

健康状態

メンタルヘルス支援ツール、色覚補助、スクリーンリーダーなどのアクセシビリティ拡張機能から、健康状態や障害の有無を推定できる。

求職活動

求人検索ツール、履歴書作成ツール、LinkedInの競合プラットフォーム（Indeed、Glassdoor）の拡張機能から、ユーザーが積極的に転職活動をしているかが分かる。これは特にLinkedInのビジネスモデル（採用担当者向けの有料プラン）と直結するため、利益相反の問題がある。

その他

VPN拡張機能の使用から所在地を隠そうとしていること、広告ブロッカーの使用から広告回避の意図、特定の言語学習ツールから母国語や学習中の言語など、多岐にわたる情報が推定可能だ。

48のハードウェア・ソフトウェア特性

拡張機能のスキャンに加え、LinkedInは48種類のハードウェアおよびソフトウェア特性を収集している。主な項目は以下のとおりだ。

カテゴリ	収集項目	用途
画面	解像度、色深度、ピクセル比	デバイス特定
GPU	WebGLレンダラー、ベンダー	ハードウェア識別
OS	プラットフォーム、バージョン	環境特定
ブラウザ	UA文字列、言語、タイムゾーン	地域・言語推定
フォント	インストール済みフォント一覧	フィンガープリント精度向上
ネットワーク	接続タイプ、RTT	環境推定
メディア	利用可能なコーデック	デバイス識別

これらの情報を組み合わせると、Cookieを使わなくても99%以上の精度でユーザーを一意に識別できるとされている。いわゆる「ブラウザフィンガープリンティング」技術であり、プライバシー保護の観点から各国の規制当局が注視している分野だ。

LinkedInの反論——「スクレイピング対策だ」

LinkedInはBleepingComputerの取材に対し、拡張機能のスキャンは「プラットフォームの不正利用やスクレイピングから会員を保護するため」と回答した。LinkedInによれば、データの大量自動収集（スクレイピング）を行うボットや自動化ツールを検出するために、拡張機能のチェックが必要だという。

しかし、この主張にはいくつかの問題がある。

過剰な範囲: スクレイピング対策であれば、スクレイピング関連のツール（数十〜数百件程度）だけをチェックすれば済む。6,167件もの拡張機能（宗教、健康、政治関連含む）をスキャンする必要はない
プライバシーポリシーでの非開示: LinkedInのプライバシーポリシーには、拡張機能のスキャンについて具体的な記載がない。GDPR（EU一般データ保護規則）では、データ収集の目的と範囲を明確に通知する義務がある
比例性の原則違反: EUの個人データ保護法では、目的に対して手段が「比例的」であることが求められる。スクレイピング対策のために6,000以上の拡張機能をスキャンするのは、明らかに過剰だ

主要ブラウザのフィンガープリント対策比較

各ブラウザは拡張機能スキャンやフィンガープリンティングに対してどのような対策をとっているだろうか。

ブラウザ	拡張機能スキャン対策	フィンガープリント対策	評価
Chrome	Manifest V3で一部制限	限定的	△
Firefox	拡張機能IDの外部アクセスを制限	Enhanced Tracking Protection	○
Safari	拡張機能情報へのアクセスを厳格に制限	Intelligent Tracking Prevention	◎
Brave	拡張機能スキャンをブロック	高度なフィンガープリント防御	◎
Edge	Chromeと同等（Chromiumベース）	Microsoft Defender SmartScreen	△

ChromeおよびChromiumベースのEdgeは、拡張機能スキャンへの対策が比較的弱い。一方、SafariやBraveは設計レベルでフィンガープリンティングを困難にしている。

GDPRとの関係——法的リスク

BrowserGateの問題は、特にEUのGDPR（一般データ保護規則）との関係で深刻だ。GDPRの下では、以下の原則が適用される。

同意の原則: 個人データの処理には、明示的な同意が必要（第6条）
目的限定の原則: データは特定の目的のためにのみ収集し、その目的以外には使用できない（第5条1項b）
データ最小化の原則: 収集するデータは、目的に必要な最小限に留める（第5条1項c）
透明性の原則: データ処理について明確で理解しやすい情報を提供する（第12条）

LinkedInの拡張機能スキャンは、これらの原則のいずれにも抵触する可能性がある。特に、宗教や政治的見解に関わるデータは「特別カテゴリーの個人データ」（第9条）として、より厳格な保護が求められる。違反が認定された場合、最大で年間売上高の4%または2,000万ユーロのいずれか高い方の制裁金が科される。

Microsoftの2025年度の売上高は約2,450億ドルであり、最悪の場合約98億ドル（約1.5兆円）の制裁金に発展する可能性もゼロではない。

日本への影響——個人情報保護法との関係

日本においてもLinkedInのユーザーは多い。特にIT業界やスタートアップ界隈では、LinkedInはグローバルなネットワーキングツールとして広く利用されている。

日本の個人情報保護法では、2022年の改正で「個人関連情報」の概念が導入され、Cookieや端末IDなどのオンライン識別子もカバーされるようになった。拡張機能のスキャンによって収集されるデータも「個人関連情報」に該当する可能性が高い。

さらに、2025年6月に施行された改正個人情報保護法では、外国にある第三者への個人データの提供について、より厳格な規制が導入されている。LinkedInのサーバーは主に米国にあるため、日本のユーザーのデータが国外に移転される際の適法性も問題になり得る。

日本のLinkedInユーザーが取るべき対策として、以下が考えられる。

ブラウザの見直し: Chrome以外のブラウザ（Firefox、Brave、Safari）の利用を検討する
拡張機能の管理: 不要な拡張機能を削除し、必要な拡張機能のみに絞る
VPNの利用: NordVPNなどのVPNサービスで通信を暗号化し、追加のプライバシー保護層を設ける
パスワード管理の見直し: 1Passwordのようなスタンドアロンのパスワードマネージャーを使い、ブラウザ内蔵のパスワード管理機能への依存を減らす

今後の展望——テック企業とプライバシーの攻防

BrowserGateは氷山の一角に過ぎない可能性がある。FacebookやGoogleなど他のテックプラットフォームも、類似のフィンガープリンティング技術を利用しているとされている。しかし6,000以上の拡張機能を体系的にスキャンしているケースが具体的に暴露されたのは、これが初めてだ。

EUでは2024年3月に全面適用が開始されたデジタル市場法（DMA）により、大規模プラットフォームに対する規制がさらに強化されている。LinkedInの親会社であるMicrosoftはDMAの「ゲートキーパー」指定を受けており、今回のBrowserGate問題がDMAの文脈でも調査対象になる可能性がある。

一方、Chrome拡張機能のManifest V3への移行は、拡張機能のセキュリティモデルを根本的に変える取り組みだが、フィンガープリンティング対策としては不十分な部分が残っている。ブラウザベンダー側でのさらなる対策が期待される。

まとめ——あなたのブラウザを守るための3ステップ

LinkedInのBrowserGateは、私たちがインターネットを利用するだけで大量の個人情報が収集されている現実を改めて突きつけた。ビジネスSNSとして信頼されてきたLinkedInが、プライバシーポリシーに明記せずにこれほど大規模なデータ収集を行っていたことは、業界全体への警鐘だ。

自分のプライバシーを守るために、今すぐ実行できる3つのステップを紹介する。

ブラウザの拡張機能を棚卸しする: chrome://extensions/ または about:addons（Firefox）を開き、使っていない拡張機能を削除する。拡張機能は少なければ少ないほど、フィンガープリントのユニーク性が下がり、追跡されにくくなる
フィンガープリント対策を導入する: BraveブラウザやFirefoxのEnhanced Tracking Protectionを有効にする。またはuBlock Originなどの広告ブロッカーでスクリプトの実行を制限する。NordVPNのThreat Protection機能もフィンガープリンティング対策に有効だ
プライバシー設定を見直す: LinkedInの設定画面（Settings > Visibility > Data privacy）で、データ共有オプションを可能な限りオフにする。また、LinkedInにアクセスする際はシークレットモード（プライベートブラウジング）を利用し、拡張機能が読み込まれない状態でアクセスすることも有効な対策だ

今回のBrowserGate問題は、「無料で使えるサービスの対価は、あなたのデータである」という格言を改めて裏付けるものだ。自分のデジタルフットプリントを意識し、能動的にプライバシーを守る姿勢がこれまで以上に重要になっている。