Google Chromeの人気拡張機能が実はスパイウェア、10万DL超、おすすめバッジもついている無償VPN

「Google Chrome」用の拡張機能「FreeVPN.One」

　イスラエルのセキュリティ企業Koi Securityは8月19日（現地時間）、「Google Chrome」用の拡張機能「FreeVPN.One」が密かにスクリーンをキャプチャーし、外部へ送信していたことを明らかにした。「FreeVPN.One」はプライバシー保護を謳う無料のVPNソリューションで、10万件以上ものインストール数を誇っていた。

　「VPN」（Virtual Private Network）は、公共空間であるインターネットに仮想の私的ネットワークを構成し、安全かつ専用線よりも安価に情報をやり取りするための技術。もともとは企業が拠点間を結んだり、イントラネットへのリモート接続を行うために利用されるソリューションだが、公衆無線LANの安全性を高めたり、特定の国からアクセスできないWebサービスへ第三国を経由してアクセスするといった用途にも用いられる。

　「FreeVPN.One」は当初、まっとうなVPNツールとして「Chrome ウェブストア」に登録されていたようだ。無償でVPNが利用できるとして人気は上々で、「Chrome ウェブストア」の「Featured」（おすすめ）バッジまで獲得している。

　しかし、2025年4月のv3.0.3ですべてのサイトにアクセスできるように権限が変更。6月リリースのv3.1.1では「AI 脅威検出」の機能が追加された。これはページ全体をキャプチャーしてサーバーへ送信し、信頼性をAIにチェックしてもらうというソリューションで、一見するとセキュリティの強化に見えるが、実際にはユーザーに気づかれないようにスパイウェア化する準備だったようだ。このアップデートではスクリーンをキャプチャーする機能やさらなる権限の追加などが行われた。

　そして7月17日公開のv3.1.3で、すべてのサイトで秘密裏にスクリーンショットを撮影し、個人を特定できる情報とともに外部へ送信するようになった。7月25日のv3.1.4では、さらにデータ詐取の検出を難しくするため、送出データを暗号化してRSAキーに見せかけるなどの細工がされてたという。また、インストールと起動する際には地理的な位置情報も送出していた。

すべてのサイトで秘密裏にスクリーンショットを撮影していた

　「FreeVPN.One」は、執筆時現在も「Chrome ウェブストア」で公開中。この件を知ったユーザーが低評価レビューを投稿しているが、それでもまだ「3.7」という高い評価がついている。

「FreeVPN.One」は、執筆時現在も「Chrome ウェブストア」で公開中

　「Chrome ウェブストア」には自動スキャンや人間によるレビュー、ユーザーによる評価システムなど、マルウェアを排除する仕組みがそろっているが、それでもなお、こうしてすり抜けてしまう可能性があることを浮き彫りにしたといえるだろう。