コンテンツにスキップするには Enter キーを押してください

注目のChrome拡張機能FreeVPN.Oneがユーザーデータの取得・送信を行っていたことが発覚

投稿日 2025年8月22日

FreeVPN.Oneがユーザーのアクティビティのスクリーンショットを密かに取得し、リモートサーバーへ送信していたことが判明。企業のデータ漏洩リスクが懸念される。

Koi Securityによると、Chrome拡張機能FreeVPN.Oneが、ユーザーの同意なしにブラウジングセッションのスクリーンショットを密かに取得し、リモートサーバーへ送信していたことが判明しました。

この拡張機能は、最近までChromeウェブストアで認証バッジを表示しており、現在も「注目」ラベルが付いています。これはChrome拡張機能の推奨される運用方法に従っていることを示しています。

二段階アーキテクチャ

この拡張機能は、スクリーンショットを取得するために高度な二段階アーキテクチャを採用していると、ブログ記事は指摘しています。

「まず、manifest内の広範なパターンにより、コンテントスクリプトがすべてのHTTPおよびHTTPSウェブサイトに自動的に挿入されます。ページの読み込み時に、コンテントスクリプトは遅延トリガーを実行します。このコードはページ初期化から正確に1.1秒待機し、その後、スクリーンショット取得を要求する内部メッセージcaptureViewportをバックグラウンドサービスワーカーに送信します。バックグラウンドサービスワーカーはこのメッセージを受信し、Chromeの特権API chrome.tabs.captureVisibleTab()を使用して実際のスクリーンショット取得を実行します」とKoi Securityは述べています。

このVPNは「AI脅威検出」機能も提供しており、VPN側はAIを使ってサイトを分析すると主張しています。しかしKoi Securityによると、この機能を使用すると拡張機能がページ全体のスクリーンショットを取得し、それをaitd[.]one/analyze.phpにアップロードしてサーバー側で分析しているとのことです。

同様の内容がFreeVPN.Oneのプライバシーポリシーにも記載されており、「ページのスクリーンショットやURLをセキュアなサーバーにアップロードする場合がある」としています。Koi Securityは「UI上では一度きりのローカルスキャンとして表示されているが、監視はすでに進行中だ」と指摘しています。

Koi Securityへの回答として、FreeVPN.oneは「自動スクリーンショット取得はバックグラウンドスキャン機能の一部であり、本来はドメインが疑わしい場合のみ発動するはずだった。バックグラウンドスキャンは当初すべてのユーザーでデフォルト有効だったが、今後のアップデートでは明示的な同意が必要となるよう変更予定」と説明しました。

FreeVPN.Oneはコメント要請にはすぐには応じませんでした。

管理されていない拡張機能が企業を危険にさらす

このような事例は、管理されていないブラウザ拡張機能が、機密性の高い企業情報を流出させる隠れたデータ流出経路となり得ることを浮き彫りにしています。企業は通常、安全性が高く監視やアクセス制御が付いたライセンス済みの企業向けVPNを導入していますが、従業員は個人利用のために無料VPN拡張機能をインストールすることがよくあります。

「これは、モバイル、リモート、ハイブリッドワークフォースを抱える金融、医療、法律、テクノロジー、コンサルティング、メディアなどの業界にとって大きな脅威となります。頻繁に出張する従業員やBYOD(私物端末持ち込み)を利用する場合、個人のプライバシー確保やジオブロック回避のために無料VPNをダウンロードするリスクがさらに高まります」とEIIRTrend & Pareekh ConsultingのCEO、Pareekh Jain氏は述べています。

また、若くてITリテラシーの高い従業員が多い組織では、従業員がIT部門の目が届かないところで消費者向けツールを試す傾向があり、無料VPNの利用が増える可能性があるとRawat氏は付け加えています。

多くの企業ではブラウザ拡張機能の正式なガバナンスも不足しています。Jain氏は、一部の成熟した組織ではエンドポイント管理やセキュアブラウザポリシーを活用しているが、多くはデフォルトのChrome/Edge設定に頼っていると指摘します。これにより、拡張機能がセキュリティレビューなしでインストールされ、悪意ある動作に変化しても残り続け、従来の脆弱性管理システムから見えなくなるという大きな死角が生まれます。

封じ込め対策は迅速かつ積極的に行う必要がある

最高情報セキュリティ責任者(CISO)にとって、この事例はより強力なセキュリティ対策の必要性を改めて示しています。

「CISOは直ちに拡張機能の棚卸しを開始し、全サイトアクセス、スクリプト、キャプチャAPIなどの権限や最近のバージョン変更でランク付けし、スクリーンショットAPIの使用や不審な外部通信を調査すべきです」とAnkura Consultingインド担当シニアマネージングディレクターのAmit Jaju氏は述べています。「封じ込めには、リスクの高いVPN/クーポン/検索補助拡張機能のブロックリスト化と削除、被害ユーザーの強制サインアウトと認証情報の変更、ブラウザデータの消去が含まれます。」

Jaju氏はさらに、ガバナンス強化には企業ポリシーによるデフォルト拒否の許可リスト適用、権限昇格時の自動隔離、開発者モードやサイドローディングの無効化、リスクの高いカテゴリのユーザーインストール制限などが必要だと付け加えています。

専門家によれば、企業はユーザー教育を定期的に実施し、無料VPNに関連するリスクを強調し、管理ブラウザや分離環境を通じて契約社員やBYODにもポリシーを拡張すべきです。

ニュースレターを購読する

編集部からあなたの受信箱へ

下にメールアドレスを入力してご登録ください。

翻訳元: https://www.csoonline.com/article/4044514/featured-chrome-extension-freevpn-one-caught-capturing-and-transmitting-user-data.html

Published in csoonline-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です