LinkedInが拡張機能6000件超を密かにスキャン──個人情報筒抜けか

LinkedInにログインするたび、あなたのブラウザが「検査」されているかもしれない。しかもその結果は、名前・勤務先・役職と紐づけられている。

情報の灯台

2026年4月4日

LinkedInにログインするたび、あなたのブラウザが「検査」されているかもしれない。しかもその結果は、名前・勤務先・役職と紐づけられている。

隠しスクリプトが暴いた「静かな監視」

LinkedInの全ユーザーに影響しうるプライバシー問題が、いま急速に注目を集めている。

ドイツの非営利団体Fairlinked e.V.が「BrowserGate」と名づけた調査によれば、LinkedInはサイト訪問者のブラウザに隠しJavaScriptを注入し、インストール済みのChrome拡張機能を網羅的にスキャンしている。スキャン対象は6,222件以上。ただしGitHub上の独立検証では約2,953件とする分析もあり、正確な数字には議論の余地がある。いずれにせよ、2024年時点で約461件だったリストが急膨張したことは複数のソースが裏付けている。

※ 件数はFairlinked e.V.（BrowserGate）の調査に基づく。独立検証では約2,953件とする分析もある

問題の本質は拡張機能の「数」ではない。LinkedInはログインを前提としたプラットフォームだ。スキャン結果は匿名データではなく、実名・雇用主・職種と直接結びつく。つまり「誰が、どの会社で、どんなツールを使っているか」が丸見えになる構造だということだ。

BleepingComputerは独自テストを行い、LinkedInのサイトからランダム化されたファイル名のJavaScriptが読み込まれ、6,236件の拡張機能をチェックする挙動を確認したと報じている。2025年時点では約2,000件だった検出対象が、わずか数か月で3倍以上に膨らんでいた。セキュリティ研究者のシモーネ・マルガリテッリもBrowserGateの調査結果をXで共有し、27万回以上の表示を集めるなど、技術コミュニティでも急速に関心が広がっている。

BrowserGateの調査によれば、スキャン対象にはイスラム教の礼拝時刻通知、政治的傾向を示すニュース選別ツール、発達障害支援ツールなど、GDPRが「特別カテゴリ」として厳しく保護するデータに直結する拡張機能が含まれている。

競合潰しか、セキュリティか

技術的な仕組みはこうだ。LinkedInのWebpackモジュールには、Chrome Web Storeの拡張機能IDとファイルパスを照合するリストが埋め込まれている。ブラウザがアイドル状態になった瞬間を狙い、requestIdleCallbackで検出を実行する。ユーザーがスピナーも遅延も感じないまま、スキャンは完了する。

収集データは暗号化され、LinkedInのサーバーに送信される。さらにFairlinkedの主張では、米国・イスラエル系サイバーセキュリティ企業のHUMAN Security（旧PerimeterX）にも送られているという。

ここで見逃せないのが「競合情報」としての価値だ。スキャン対象にはApollo、Lusha、ZoomInfoなど、LinkedIn自身の営業ツール「Sales Navigator」と直接競合する200以上の製品が含まれている。LinkedInはユーザーの雇用主情報を把握しているため、「A社のB部長がZoomInfoを使っている」という競合の顧客リストを、ユーザーのブラウザから無断で抽出できる立場にある。

さらに深刻なのが求職者の問題だ。509件の求職関連ツールがスキャン対象に含まれているということは、「いま密かに転職活動をしている人」を、現在の雇用主も利用するプラットフォーム上で特定できるということになる。

LinkedInは拡張機能の検出そのものは否定していない。「プラットフォームとユーザーを守るため」に行っていると説明し、スクレイピング違反を検出する目的だと主張している。

LinkedInの反論と「告発者の素性」

LinkedInはBleepingComputerに対し、BrowserGateレポートは「まったくの誤り」だと回答した。レポート作成者はスクレイピングで利用規約に違反しアカウントを停止された人物であり、ドイツの裁判所も仮処分申請を棄却したと主張している。

この反論には一定の根拠がある。Fairlinked e.V.の中心人物は、LinkedIn関連の拡張機能「Teamfluence」の開発者と深くつながっている。Teamfluenceは接続リクエストの制限を回避し、投稿にいいねした人のメールアドレスや電話番号を自動取得する機能を持つ——つまり、それ自体がLinkedInの利用規約に抵触しうるツールだ。

「告発者にも後ろ暗さがある」という構図は、この問題を単純な善悪の物語にすることを許さない。

だが、ここが重要だ。告発者の動機が不純であっても、告発された事実が消えるわけではない。BleepingComputerは独自に拡張機能スキャンの挙動を確認している。6,000件超のリストが存在し、宗教・政治・障害に関する拡張機能が含まれているという事実は、告発者が誰であろうと変わらない。

LinkedInは拡張機能の検出を「サイトの安全性のため」と説明するが、プライバシーポリシーにはこの行為への言及がない。ユーザーへの通知もオプトアウト手段も存在しない。

EUの規制とMicrosoftの矛盾

この問題には、もうひとつの文脈がある。EUは2023年、LinkedInをデジタル市場法（DMA）の「ゲートキーパー」に指定し、サードパーティツールへのプラットフォーム開放を命じた。

Fairlinkedの調査によれば、LinkedInの対応は形式的だった。公開した2つのAPIの処理能力は合計で毎秒約0.07リクエスト。一方、LinkedIn自身の内部API「Voyager」は毎秒16万3,000リクエストを処理しているという。Microsoftが欧州委員会に提出した249ページのコンプライアンス報告書には「API」という語が533回登場するが、「Voyager」は一度も現れない。

そしてLinkedInは、EU規制が保護しようとしたまさにそのサードパーティツールの監視を拡大していた。2024年の461件から2026年の6,000件超へ。「開放せよ」と命じられたプラットフォームが、開放先のツールを使う人間を特定する仕組みを構築していたとすれば、それはコンプライアンスの精神とは真逆の行為だ。

GDPRの観点では、宗教・政治思想・健康状態に関するデータは第9条で「特別カテゴリ」に分類され、明示的な同意なしに処理することは原則禁止されている。違反が認定されれば、全世界売上高の最大4%——Microsoftの規模なら約80億ドル（約1兆2,800億円）規模の制裁金が科される可能性がある。

2021年のeBay、そして今のLinkedIn

拡張機能スキャンという手法自体は、LinkedInが初めてではない。2021年、eBayが訪問者のブラウザに対してJavaScriptでポートスキャンを実行し、リモートサポートソフトウェアの有無を確認していたことが発覚した。その後、Citibank、TD Bank、Ameriprise、Chick-fil-Aなど多数の企業が同様のフィンガープリンティングスクリプトを使用していたことも判明している。

しかしLinkedInのケースは規模が桁違いだ。10億人のユーザーベース、実名と雇用主に紐づいたプロフィール、そして6,000件超という網の広さ。「セキュリティのため」という説明で正当化できる範囲を、とうに超えている。

自衛手段はあるか

現時点で最も確実な対策は、LinkedInへのアクセスにFirefoxかSafariを使うことだ。この検出手法はChromium系ブラウザ（Chrome、Edge、Brave）の拡張機能アーキテクチャに依存しており、Firefoxには効かない。あるいは拡張機能をまったくインストールしていないChrome専用プロファイルを作成し、LinkedInをそこだけで使うという方法もある。

これは「自衛しなければならない」こと自体がおかしい。プロフェッショナルのためのネットワーキングプラットフォームにログインするだけで、ブラウザの中身を調べられる世界は、どう考えても健全ではない。

Microsoftは150億ドル（約2兆4,000億円）の法務予算と3万3,000人の従業員を擁する。一方、告発側のFairlinkedには独自の利害関係がある。構造的には非対称な戦いだが、問題そのものの大きさは変わらない。

あなたのブラウザは、あなた以外の誰かの「資産」ではないはずだ。

参照元