2025/08/20 gbhackers — FreeVPN.One として提供される Chrome エクステンションは、10 万件以上のインストール数/認証バッジなどにより Chrome Web Store 注目を集めていたが、その実態は、ユーザーのブラウジング・アクティビティのスクリーンショットを密かに取得し、リモート・サーバへと送信するスパイウェアだった。
そのプライバシー・ポリシーでは、開発者によるユーザー・データの収集/使用は行われないと明記されていたが、フォレンジック分析により、明らかな矛盾が確認されたという。このエクステンションは、ユーザーとの間の同意や通知を行うことなく、銀行口座情報/個人メッセージ/プライベート文書などの機密データを、継続的に収集して監視しているという。
情報流出のための高度な手法
この拡張機能は、スクリーンショットを取得するために、2段階アーキテクチャを利用している。
まず、インストール直後から、広範なマニフェスト・マッチングを通じて、すべての HTTP/HTTPS ページにコンテンツ・スクリプトを挿入し、ページの完全なレンダリングの 1.1 秒後に、遅延キャプチャを自動的に実行する。
このスクリプトは、バックグラウンド・サービス・ワーカーと通信し、”chrome.tabs.captureVisibleTab()” API を呼び出してスクリーンショットを作成した後に、ページ URL/タブ ID/ユーザー ID などと一緒に、”aitd[.]one/brange.php” へと送信する。
さらに、”Scan with AI Threat Detection” として提供されるオンデマンド機能は、ページ全体のスクリーンショットを取得して、 “aitd[.]one/analyze.php” にアップロードするが、それは表面的な機能に過ぎず、実際のバックグラウンドでの監視を隠す仕組みである。
このエクステンションは、その起動時に IP 位置情報 API を照会し、デバイスのメタデータを収集し、base64 でエンコードされた結果を “aitd[.]one/bainit.php” に送信していた。
FreeVPN.One の最新バージョン v3.1.4 では、RSA キー・ラッピングによる AES-256-GCM 暗号化が導入され、送信データが難読化されているため、これまで以上にネットワーク・レベルでの検出が困難になっている。
このエクステンションが要求するものには、ユニバーサル・サイト・アクセスのための <all_urls> 権限/スクリーンショット生成のためのタブ権限/動的 JavaScript インジェクションを行うためのスクリプト権限といった、過剰な権限がある。
それらにより、パスワードや個人写真といった機密性の高い情報の窃取が可能となり、VPN ツールに期待されるプライバシー保護の役割に対して、真っ向から反する悪意の動作が実行されていく。
このエクステンションの提供が開始された当初は、正当なプロキシ・ベースの VPN であったが、その後の段階的な更新により変質してきた。2025年4月の v3.0.3 では <all_urls> 権限が導入され、2025年6月の v3.1.1 では、AI 強化を装うかたちでコンテンツ・スクリプトとスクリプトの機能が追加された。
さらに、2025年7月の v3.1.3 では、aitd.one ドメインを利用した完全な監視が開始され、その後の v3.1.4 では scan.aitd.one への移行と暗号化の強化により、さらに活動が秘匿化された。
開発者の主張は的外れ
FreeVPN.One の開発者の主張はと言うと、自動キャプチャはバックグラウンド・スキャンの一部であり、疑わしいドメインのみに適用しており、将来的にはオプトインによる同意を導入する意向を示している。
しかし、テストにおいては、Google Sheets/Photos などの安全なサイトでも、キャプチャが確認されている。また、”保存せずに一時的な分析を行う” という説明も、管理外のサーバへとデータが送信されるため、検証が不能である。
KOI のレポートによると、FreeVPN.One の開発者の所属先は “phoenixsoftsol.com” だが、この会社は信頼できる情報を提供していない簡素な Wix サイトであり、検証可能なプロフィールの提供要請にも応じていない。
このインシデントが浮き彫りにするのは、Chrome エクステンションの審査プロセスにおける限界である。5年間にわたり、安全な VPN として公開されてきた FreeVPN.One のスパイウェア化は、自動的なスキャンと人間によるレビューでは見抜けなかった。
この調査を実施した Koi Security の研究者たちは、ブラウザ・エコシステムにおけるサードパーティ・エクステンション依存のリスクを改めて警告している。
この種のツールを利用するユーザー企業は、深刻化する脅威に直面している。したがって、市場全体のリスクを監視/軽減するためのガバナンス・プラットフォーム強化が求められている。
侵害指標 (IoC)
| Indicator Type | Value |
|---|---|
| Extension ID | jcbiifklmgnkppebelchllpdbnibihel |
| Domain | aitd.one |
| Domain | extrahefty.com |
| Domain | freevpn.one |
| Domain | scan.aitd.one |
正規の VPN エクステンションを装う FreeVPN.One が、実際にはスパイウェアとして機能していたことが判明したようです。このエクステンションであれば、不要なはずの権限 <all_urls>/タブ操作/スクリプト実行などを要求し、それらを悪用することで、ユーザーの画面を密かにキャプチャしていたと指摘されています。もし、インストールされていると、とても危険な状況に陥っていると考えられますので、ご確認ください。よろしければ、Chrome Extension で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.