Header Relay

Chrome拡張機能のセキュリティインシデント — 2026年7月

ModHeaderのマルウェア判定後、代替を探していますか?

2026年7月3日、Microsoftはヘッダー編集拡張機能ModHeader(Chrome/Edge合計で約160万インストール)をマルウェアとしてGoogleがフラグを立てたことを受け、Edgeアドオンストアから削除しました。ビルド7.0.18を調査した独立系セキュリティ研究者は、日付フォーマットライブラリを装った隠しモジュールを発見し、訪問先ドメインを収集して暗号化した上で外部エンドポイントへ1日1回アップロードする準備ができる機能を持っていたと報告しています。研究者は、検証したビルドではこの収集機能が休眠状態にあり、テスト用プロファイルから実際にデータが流出した確証は得られなかったとも述べています — 詳細な技術分析は下記の出典をご覧ください。

Header Relayが違う点。

「一致するリクエストへヘッダーを付与する」という同じ役割を、より狭く、検証しやすいデータ経路で実現します。

外部と通信するバンドルコードがない

ヘッダーのライフサイクルロジックは1つのレビュー可能なモジュールに集約されています。通信先はChromeのdeclarativeNetRequest APIとローカルストレージのみで、外部エンドポイントへは一切送信しません。

保持した値は非表示にしない

保持したヘッダー値はポップアップと管理画面に平文で表示されるため、ブラックボックスを信頼する代わりに、実際に付与される内容をその場で確認できます。

何もあなたの端末から出ていかない

プロファイル、保持した値、セッション状態、監査ログはどこにも送信されません。詳細はプライバシーポリシーをご覧ください。

設計上スコープが限定されている

取得と付与は、有効なプロファイルで有効化した対象オリジンに対してのみ動作します。それ以外は無視されます。

移行は3ステップで完了します。

Header Relayは他の拡張機能の設定をインポートしません — ゼロから再設定してもすぐ終わります。

01

プロファイルを作成する

これまで使っていた対象オリジンを追加してください。

02

固定ヘッダーを再設定する

常に送っていたAPIキーやクライアントIDなどはFixed Headerとして設定します。

03

コピペしていた作業を自動化する

セッショントークンやトレースIDを手動でコピーしていた場合は、Captured Headerとして設定すれば、レスポンスから自動的に取得し、以降のリクエストへ自動的に付与されます。

乗り換え前によくある質問。

この種の問題が起きているのはこの拡張機能だけですか?

いいえ。ブラウザ拡張機能のサプライチェーン侵害は特定の1つのツールに限った話ではありません。広いホスト権限を持ち、更新プロセスが不透明な拡張機能はすべてリスクとして扱い、データの扱いを自分で検証できるものを選ぶことをお勧めします。

Header Relayは外部サーバーへデータを送信しますか?

送信しません。プロファイル、保持した値、セッション状態、監査ログは、利用者が書き出しまたは開示しない限りローカルのChromeプロファイル内に留まります。

自分で確認できますか?

はい。Header Relayを有効にした状態でChrome DevToolsのネットワークタブを確認するか、公開されているプライバシーポリシーと権限の説明をお読みください。

出典

Header RelayはModHeaderおよびその開発者と提携関係にありません。上記の内容は2026年7月に公開された第三者によるセキュリティ調査に基づくものです。詳細な技術分析は出典元のリンク先をご確認ください。