Malicious ‘Free’ VPN Extension with 9 Million Installs Hijacks Traffic and Steals Browsing Data
2025/11/20 gbhackers — LayerX Security のセキュリティ研究者が公表したのは、ユーザー・トラフィックを傍受して閲覧データを盗み出すことを目的とする、悪意の VPN/広告ブロック・エクステンションを介した巧妙なキャンペーンである。このキャンペーンは、憂慮すべきパターンを示している。これらのエクステンションを背後で操る脅威アクターは、繰り返されてきた検出と削除の後も、より高度な回避機能を備える亜種を継続的にリリースしている。
現在のキャンペーンは、31,000 件のインストール数を誇っているが、以前のバージョンは Chrome Web Store 全体で、合計 900 万件以上のインストール数を達成していた。
この執拗な脅威が浮き彫りにするのは、ブラウザ・エクステンションが攻撃対象として極めて脆弱であること、そして、無料のプライバシー・ツールに対するユーザーの信頼を、悪意の開発者が容易に悪用してきたことである。
無料で無制限の VPN サービスと謳う3つのエクステンションは、Chrome Web Store で約6年間も公開され続けた後に検出された。
これらのエクステンションへの信頼性を高めるために、プロフェッショナルなブランドイメージ/正当に見える説明/統一感のあるアイコンデザインなどが採用されていた。しかし、この洗練された外観の下には、侵入型の監視コードが潜んでいた。
そのうちの2つのエクステンションは、2025年5月まで Chrome Web Store に残っていたが、最終的にフラグが付けられ、削除された。
しかし、驚くべきことにそれから2ヶ月後には、ほぼ同じ説明/アイコン・スタイル/内部動作を備えた3つ目のエクステンションが再登場し、この記事を書いている時点でも入手が可能な状況にある。
単純なプロキシ・マスカレードの先へ
前述のとおり、それらは通常の VPN エクステンションではない。LayerX による分析の結果として明らかにされたのは、隠された更新チャネルと、一般的な VPN をはるかに超える隠蔽機能を備えた、リモート制御のプロキシ・リダイレクタとしての機能である。
これらのエクステンションは、攻撃者が管理するサーバから秘密の設定ファイルを取得し、プロキシ・コンフィグをリアルタイムで変更していた。また、ブラウザのナビゲーション・イベントの傍受により、ユーザー・トラフィックを監視してリダイレクトしていた。
2025年における、それらの亜種の技術的な高度さは極めて憂慮すべきものである。これまでの機能に追加された、設定とコンフィグの変数を含むコア・プロキシ・ルーティング・ロジックが、実行時にダウンロードされ動的に実行されるようになっている。
この新しいエクステンションは、旧バージョンに存在した明らかに疑わしいコードの一部を削除している。その一方で、プロキシの遅延アクティベーション/実行時に走り出す動的なコード・ダウンロード/競合するプロキシ・エクステンションの無効化といった、よりステルス性の高いメカニズムを組み込んでいるという。これらのメカニズムにより、攻撃者が残すフォレンジック証拠は最小限となり、また、ユーザーのブラウジングの大半を完全に制御できるようになる。
これらのエクステンションがインストールされると、ユーザーがアクセスする全ページの傍受とリダイレクトが生じ、包括的なブラウジング・データとインストールされているエクステンションのリストの収集などが行われる。さらに、正規のセキュリティ・ツールの無効化や、攻撃者が管理するサーバを経由したトラフィックのルーティングなどが生じ、プライベートなアクティビティが監視/操作の対象になる可能性がある。
このマルウェアが採用する高度な回避手法には、サンドボックス検出を回避するためのタイミングゲート/リダイレクトの痕跡を消すための履歴改竄/分析を回避するためのサーバ主導の自動アンインストール・メカニズムなどがある。
この攻撃者は、webRequest/proxy/declarativeNetRequest などの広範なブラウザ権限を利用することで、ユーザー・トラフィックの完全な可視化と制御を実現している。
プライバシー侵害とアクティブな脅威
これらのエクステンションの機能として挙げられるのは、被害者のプロファイリングのために C2 (Command and Control) サーバに定期的に送信されるハッシュ化された URL の収集や、インストール済みのエクステンションの列挙、フィッシング・ページの選択とリダイレクト、マルウェア・ダウンロードページへの誘導、広告ファームへのリダイレクトなどである。
これらのすべては、インストール後にユーザーに知られないまま実行されるという。
一連のエクステンションが示すのは、ブラウザ・ベースの悪意の監視が、単純な認証情報の窃取から包括的なトラフィック傍受と行動プロファイリングへと進化している状況である。
それに加えて、同一の悪意を持つ6つのエクステンション (広告ブロッカーや音楽ダウンローダーに偽装) が発見された。それが示唆するのは、このキャンペーンは当初に想定されていたよりも、はるかに広範囲に及んでいることである。
検出 → 削除 → 再登場の繰り返しが示すのは、事後対応型のセキュリティ対策の不十分さである。
ユーザー組織にとって必要なことは、エクステンションに対する継続的な監視を実施し、行動の異常をリアルタイムで分析し、ブラウザ・エクステンションに対して厳格な審査基準を適用することだ。
その一方で、一般ユーザーは、無料のプライバシー・ツールに対して細心の注意を払い、エクステンションの身元や開発者を公式チャネルを通じて確認すべきである。さらに、インストールされた拡張機能における疑わしい権限の有無を定期的に監査する必要がある。
VPN や広告ブロッカーに偽装するエクステンションが、その内部で悪意のコードを巧妙に動かしているようです。外部サーバから設定を動的に取得する攻撃者が、プロキシを秘密裏に書き換える仕組みは深刻なものであり、ユーザーの通信に対する完全な操作が可能になってしまいます。それに加えて、コンフィグ・ファイルの更新やコードの遅延実行といった、発見を回避するための数多くの工夫が実装され、気付かれにくい構造になっていると、この記事は指摘しています。よろしければ、Extension で検索を、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.