セキュリティ

SECURITY

公開：2025-05-11

GoogleがChrome ウェブストアに新しい検証機能を導入、拡張機能の不正アップロードを防止へ

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• GoogleがChrome ウェブストアに新しい検証機能を導入
• 拡張機能アップロード時に信頼できる秘密鍵による署名が必須に
• 開発者アカウント乗っ取り対策としてRSA公開鍵の登録が可能に

Chrome ウェブストアに追加された新しい検証機能

米Googleは2025年5月7日、Chrome ウェブストアへGoogle Chrome用の拡張機能をアップロードする際に信頼できる秘密鍵による署名を必須とする追加の検証機能を導入したと発表した。この新機能により開発者はRSA公開鍵をChrome ウェブストアに登録することで、偽のパッケージがアップロードされることを防止できるようになった。^[1]

従来のChrome ウェブストアでは、拡張機能のパッケージは自動的にGoogleによって署名され、開発者アカウントにアクセスできる者なら誰でもアップロードが可能な状態だった。新機能の導入により開発者は事前に登録したRSA公開鍵による署名検証を必須とすることができ、アカウントが乗っ取られた場合のリスクを大幅に軽減することが可能になった。

アップロードされたパッケージは検証に合格すると既存の秘密鍵で自動的に再パッケージ化され、拡張機能のIDを維持したまま公開される仕組みとなっている。なお、この新機能はオプトイン形式で提供されており、機能を有効化しない場合は従来通りGoogleによる署名のみで拡張機能のアップロードが可能となっている。

Chrome ウェブストアの新機能まとめ

RSA公開鍵について

RSA公開鍵とは、公開鍵暗号方式の一つで、データの暗号化や電子署名の検証に使用される暗号技術のことを指す。主な特徴として以下のような点が挙げられる。

• 公開鍵と秘密鍵のペアで構成される非対称暗号方式
• 公開鍵は広く公開可能で、秘密鍵は厳重に管理する必要がある
• 数学的な素因数分解の困難性に基づく高い安全性

Chrome ウェブストアの新機能では、開発者が事前に登録したRSA公開鍵を用いて拡張機能パッケージの署名を検証することで、正規の開発者以外によるアップロードを防止している。この仕組みにより、開発者アカウントが乗っ取られた場合でも、秘密鍵を持たない攻撃者は有効な署名を生成できず、不正なパッケージの公開を防ぐことが可能となっている。

Chrome ウェブストアの新機能に関する考察

Chrome ウェブストアに導入された新しい検証機能は、拡張機能の開発者とユーザーの双方にとって重要な意味を持つセキュリティ強化策となっている。開発者にとっては自身のアカウントが乗っ取られた場合でも、秘密鍵による署名が必要となることで不正なパッケージの公開を防ぐことが可能となり、ユーザーにとっては信頼できる開発者による正規の拡張機能のみが公開されることが保証されるだろう。

一方で、この新機能の導入により開発者は秘密鍵の管理という新たな責任を負うことになり、鍵の紛失や漏洩のリスクにも対処する必要が出てくる。特に個人開発者や小規模な開発チームにとっては、適切な鍵管理の実施が課題となる可能性があるため、Googleには秘密鍵の管理や更新に関するベストプラクティスの提供が期待されるだろう。

また、オプトイン形式での提供は開発者に選択の自由を与える一方で、セキュリティ意識の低い開発者が新機能を有効化しない可能性もある。将来的には全ての開発者に対して署名検証を必須化することで、Chrome ウェブストア全体のセキュリティレベルを底上げすることも検討に値するのではないだろうか。

参考サイト

1. ^ Chrome for Developers. 「Verified uploads in the Chrome Web Store | Blog | Chrome for Developers」. https://developer.chrome.com/blog/verified-uploads-cws?hl=en, (参照 25-05-11).
2246
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧