外部と通信するバンドルコードがない
ヘッダーのライフサイクルロジックは1つのレビュー可能なモジュールに集約されています。通信先はChromeのdeclarativeNetRequest APIとローカルストレージのみで、外部エンドポイントへは一切送信しません。
Chrome拡張機能のセキュリティインシデント — 2026年7月
2026年7月3日、Microsoftはヘッダー編集拡張機能ModHeader(Chrome/Edge合計で約160万インストール)をマルウェアとしてGoogleがフラグを立てたことを受け、Edgeアドオンストアから削除しました。ビルド7.0.18を調査した独立系セキュリティ研究者は、日付フォーマットライブラリを装った隠しモジュールを発見し、訪問先ドメインを収集して暗号化した上で外部エンドポイントへ1日1回アップロードする準備ができる機能を持っていたと報告しています。研究者は、検証したビルドではこの収集機能が休眠状態にあり、テスト用プロファイルから実際にデータが流出した確証は得られなかったとも述べています — 詳細な技術分析は下記の出典をご覧ください。
「一致するリクエストへヘッダーを付与する」という同じ役割を、より狭く、検証しやすいデータ経路で実現します。
ヘッダーのライフサイクルロジックは1つのレビュー可能なモジュールに集約されています。通信先はChromeのdeclarativeNetRequest APIとローカルストレージのみで、外部エンドポイントへは一切送信しません。
保持したヘッダー値はポップアップと管理画面に平文で表示されるため、ブラックボックスを信頼する代わりに、実際に付与される内容をその場で確認できます。
プロファイル、保持した値、セッション状態、監査ログはどこにも送信されません。詳細はプライバシーポリシーをご覧ください。
取得と付与は、有効なプロファイルで有効化した対象オリジンに対してのみ動作します。それ以外は無視されます。
Header Relayは他の拡張機能の設定をインポートしません — ゼロから再設定してもすぐ終わります。
これまで使っていた対象オリジンを追加してください。
常に送っていたAPIキーやクライアントIDなどはFixed Headerとして設定します。
セッショントークンやトレースIDを手動でコピーしていた場合は、Captured Headerとして設定すれば、レスポンスから自動的に取得し、以降のリクエストへ自動的に付与されます。
いいえ。ブラウザ拡張機能のサプライチェーン侵害は特定の1つのツールに限った話ではありません。広いホスト権限を持ち、更新プロセスが不透明な拡張機能はすべてリスクとして扱い、データの扱いを自分で検証できるものを選ぶことをお勧めします。
送信しません。プロファイル、保持した値、セッション状態、監査ログは、利用者が書き出しまたは開示しない限りローカルのChromeプロファイル内に留まります。
はい。Header Relayを有効にした状態でChrome DevToolsのネットワークタブを確認するか、公開されているプライバシーポリシーと権限の説明をお読みください。
Header RelayはModHeaderおよびその開発者と提携関係にありません。上記の内容は2026年7月に公開された第三者によるセキュリティ調査に基づくものです。詳細な技術分析は出典元のリンク先をご確認ください。