Google公式バッジ付のChrome拡張機能が勝手に画面を撮影して送信…… 深刻なプライバシー侵害の詳細：セキュリティニュースアラート

Chrome拡張機能「FreeVPN.One」が、ユーザーの画面を無断で撮影し、外部に送信していたことが発覚した。Google公式バッジを取得しつつも、実際には「AI Threat Detection」機能を装い監視していた。

[後藤大地，有限会社オングス]

　Koi Securityは2025年8月19日（現地時間、以下同）、「Google Chrome」の拡張機能「FreeVPN.One」がユーザーの画面を秘密裏に撮影し、外部サーバに送信していたと報告した。同拡張機能はGoogle公式のバッジを取得し、「Chrome Web Store」での特集も受け、10万件以上のインストール数を記録していたが、その実態は利用者のプライバシーを侵害していたことが分かった。

Chrome拡張「FreeVPN.One」によるプライバシー侵害の詳細

　FreeVPN.Oneによるプライバシー侵害の詳細は以下の通りだ。

　この拡張機能は導入直後から利用者のIP情報や端末情報を収集し、Webページを開くたびに自動でスクリーンショットを撮影して外部ドメイン（aitd[.]one）へ送信していた。

　撮影はユーザーの操作や通知を伴わず、ページが完全に表示されている約1.1秒後に実行されるよう設計されていた。この挙動はChromeの特権API、chrome.tabs.captureVisibleTab（）を利用することで実現されており、結果として銀行口座へのログイン画面や社内文書、個人的な写真閲覧画面なども無断で撮影対象となる危険が確認されている。

　拡張機能には「AI Threat Detection」という名称の機能が実装されており、ユーザーがクリックすると全画面のスクリーンショットを取得し、サーバ側で解析を行う仕組みになっていた。表面的には利用者が操作した場合にのみ送信されるように見えるが、実際にはそれ以前から多数の画像が自動的に送信されていた。

　バージョン更新履歴からも挙動の変遷が確認されている。2025年4月に配布されているv3.0.3では拡張機能が全てのURLへアクセスできる<all_urls>権限を要求し始め、続くv3.1.1では「AI Threat Detection」機能が追加され、全てのWebサイトでスクリプトを実行する権限も取得していた。v3.1.3では無断スクリーンショットの撮影とデータ送信が開始され、利用者の位置情報や端末情報も収集されるようになっていたという。7月25日公開のv3.1.4では通信内容がAES-256-GCM暗号化およびRSA鍵ラッピングで難読化されている。

　拡張機能の開発者は問い合わせに対し「不審なドメインを検出するためのバックグラウンドスキャン機能であり、順次ユーザー同意を求める仕様へ変更する予定だ」と説明したとされる。しかし実際には「Google スプレッドシート」や「Google フォト」といった信頼性の高いサービスでもスクリーンショットが撮影されており、説明内容との整合性は確認できなかった。加えて「スクリーンショットは一時的に解析するだけで保存はしていない」との主張もなされているが、外部送信されている時点で利用者側では実際の取り扱いを検証できず、信頼性に欠けると指摘されている。開発者の身元を裏付ける企業情報や実績も提示されず、最終的には連絡が途絶えた。

　問題の拡張機能は本来「VPN」を名乗り通信の匿名化を目的とするものだが、実態としては利用者の画面情報を恒常的に収集する監視ツールとなっていた。Chrome Web Storeにおいては新規バージョンの自動スキャンや人手による審査が行われているとされるが、今回のケースではそれらの仕組みをすり抜けて公開されていた。これは主要ブラウザの拡張機能配布基盤における審査体制の限界を示すものといえる。

　Koi Securityは、この事例が示す通り、正規に配布されているVPN拡張機能であっても、過剰な権限要求や不審な挙動を伴う場合には利用者の情報流出につながる危険があると警告している。Chrome拡張機能のインストールにあたっては提供元の信頼性や権限内容を確認し、疑わしい挙動が見られた場合には即時に削除することが望ましいとしている。