1
公式ストアにあっても安全ではない
掲載は審査の結果であり、継続的な社内適合や通信の正当性までは保証されません。ポリシーと実態のギャップを前提に評価が必要です。
ブラウザ拡張は、サプライチェーン攻撃の入り口になり得る
拡張機能はOSに近い権限でページやデータに触れます。開発元の変更・悪意あるアップデート・依存ライブラリの侵害など、従業員が「便利さ」で入れた1本が、組織全体のリスクになります。こうしたリスクは、一覧表やストアの星だけでは見えません。
2
見えないリスクの可視化
どの権限を要求し、どこへ通信し、どんな振る舞いをするか。ログだけでは足りない観点を、解析とインテリジェンスで一枚にまとめます。
3
経営と現場の共通言語
技術詳細だけで終わらず、意思決定に必要な影響・優先度・対応方針が伝わるレポートで、CISO・情報システム部・経営層が同じ前提で議論できます。
サービス内容
Chrome拡張機能に焦点を当て、権限・通信・振る舞いを多面的に評価します。
必要に応じて脅威インテリジェンスと連携し、レポートとして成果物化します。
Chrome拡張のリスク診断
対象拡張のスコープ定義から評価、優先度付け、推奨アクションまでを一連で支援します。
権限解析(manifest.json)
要求権限と実利用の整合、過剰権限、危険な組み合わせを整理し、許容基準との照合を可能にします。
外部通信分析
接続先、タイミング、データの扱いを把握し、意図しない送信やサプライチェーン由来の変化を検討材料にします。
振る舞い検知
動的解析により、画面上の挙動やバックグラウンド処理の観点からリスクを補完します。
脅威インテリジェンス連携
既知の悪性パターン・IOC・業界トレンドと突合し、単体評価では見落としがちな文脈を付与します。
レポート提供
技術者向けの根拠資料に加え、経営層向けの要約・リスク説明・投資判断に耐える構成を用意します。
当サービスの強み
汎用スキャンではなく「拡張機能」に特化した希少性と、 多層の評価アプローチを組み合わせています。
- 拡張機能に特化 — ブラウザ拡張に絞った診断は市場でも少なく、深い観点での評価が可能です。
- 静的解析 + 動的解析 + CTI — コード・実行時挙動・外部知識を突き合わせ、見えないリスクを立体的に可視化します。
- 経営層向けレポート — 技術だけで終わらず、投資・方針・説明責任に直結する資料まで提供します。
本サービスにおける診断は、利用規約および関連法令を遵守した範囲で実施し、リバースエンジニアリング等の制限行為に該当しない手法を採用しております。
まずは現状把握から。診断の範囲を一緒に整理します
導入済み拡張の棚卸しから、サプライチェーンを意識した優先順位付けまで、コンサルティングサービスとして御社の一員として伴走することも可能です。
大変お手数ですが、お問い合わせページよりご連絡ください。
お問い合わせ