【要注意】Google公認バッジ付きの拡張機能「FreeVPN.One」が盗撮スパイウェア化

「プライバシーを守るためのVPN」という看板を掲げながら、実際はユーザーの画面を密かに撮影して外部サーバーに送信していた──そんな信じがたい事件が明らかになりました。

Chrome拡張機能「FreeVPN.One」が、ユーザーの許可なくスクリーンショットを撮影し、外部サーバーに送信していることが発覚しています。この拡張機能は10万回以上インストールされ、Googleの「身元確認済みバッジ」および「おすすめバッジ」が付与されていました。つまり、Google公認の「安全な拡張機能」として推奨されていたにもかかわらず、実際には危険なスパイウェアだったのです。

そこで、今回の事件の詳細な経緯と技術的な仕組み、そしてユーザーが学ぶべき教訓について詳しく解説していきますね。無料VPNや拡張機能の利用を検討している方は、ぜひ最後まで読んでいただければと思います。

事件の発覚と経緯
- 何が発覚したのか？
- 被害規模の深刻さ
FreeVPN.Oneの実態──技術的解析
偽物の「正当性」──Googleバッジの落とし穴
段階的な悪質化のタイムライン
ユーザーへの具体的な被害とリスク
- 漏洩する可能性のある情報
- データの悪用可能性
取るべき対応策
拡張機能選択時の注意点
無料VPNサービスへの警鐘
なぜ「便利」と「危険」は背中合わせなのか
まとめ：常に警戒心を忘れずに

事件の発覚と経緯

今回の問題を最初に発見したのは、セキュリティ企業のKoi Securityです。2025年8月19日にKoi Securityが発表した調査レポートによって、この深刻な問題が明らかになりました。

何が発覚したのか？

FreeVPN.Oneの問題行動は次の通りです。

Chrome の特権APIである「chrome.tabs.captureVisibleTab」を使用してウェブサイトのスクリーンショットをひそかに撮影
遅延を挟むなどしてウェブサイトがレンダリングされるのを待ってスクリーンショットの品質を高め、ページURL、タブID、ユーザー固有のIDなどのメタデータをバンドルした後、「aitd[.]one/brange.php」というサーバーに送信

特に問題なのは、プライバシーポリシーでは「ユーザーデータは収集・使用しない」と明記しているにもかかわらず、実際には正反対の行為を行っていたことです。

被害規模の深刻さ

FreeVPN.Oneは10万回以上インストールされており、相当数のユーザーが被害を受けた可能性があります。さらに深刻なのは、この拡張機能がGoogleの「身元確認済みバッジ」および「おすすめバッジ」が付与されていたため、多くのユーザーが安全だと信じて使用していた点です。ちなみに、現時点（2025年8月22日）でも、「身元確認済みバッジ」および「おすすめバッジ」が付与された状態でダウンロード可能です。

FreeVPN.Oneの実態──技術的解析

ここからは、FreeVPN.Oneが実際にどのような仕組みでユーザーのスクリーンショットを盗撮していたのか、技術的な詳細を見ていきましょう。「技術的な話は難しそう…」と思われるかもしれませんが、できるだけわかりやすく解説していきますので、ぜひお付き合いください。この仕組みを理解することで、今後同様の脅威を見抜く力が身につくと思います。

二段階スパイ構造の仕組み

まず、この仕組みを身近な例えで説明してみますね。ユーザーがが本屋さんを経営していて、お客さんが店内のどの本を手に取ったかを密かに記録したいとします。

普通なら店員がお客さんの後をついて回るしかありませんが、それでは怪しまれてしまいますよね。そこで、もっと巧妙な方法を思いつきました。

ステップ1：見張り役の配置
店内のあらゆる本棚に、見た目は普通の本だけど、実は小さなカメラが仕込まれた「偽の本」を忍び込ませます。お客さんがどの本棚に近づいても、必ず見張り役がいる状態にします。

ステップ2：本部への報告
偽の本（見張り役）がお客さんの行動を発見すると、店の奥にいる「記録係」に「客が来たので写真を撮ってください」と連絡します。記録係は高性能カメラで客が手にした本を撮影し、どこかに送信してしまいます。

FreeVPN.Oneがやっていたことは、まさにこれと同じです。ユーザーが訪問するすべてのウェブサイトに「見張り役」を配置し、バックグラウンドで「記録係」がスクリーンショットを撮影していたのです。

それでは、実際の技術的な仕組みを見ていきましょう。

第1段階：コンテンツスクリプトの注入（見張り役の配置）

ブロードマッチングパターン[“http:///“, “https:///“]によって、すべてのHTTPおよびHTTPSウェブサイトにコンテンツスクリプトが自動的に注入される
ページ読み込み時に、コンテンツスクリプトが遅延トリガーを実行

第2段階：バックグラウンドでの撮影（記録係による撮影）

ページ初期化から正確に1.1秒待機した後、内部メッセージ「captureViewport」をバックグラウンドサービスワーカーに送信してスクリーンショット撮影を要求
遅延により、撮影前にページが完全にレンダリングされることを保証し、収集される機密情報の品質を最大化

悪用されたChrome API

Chromeには画面を撮影する「chrome.tabs.captureVisibleTab()」というAPIがあります。これは、正当なスクリーンショット拡張機能などが「ユーザーが撮影ボタンを押した時だけ」画面を撮影するために使われるものです。

ところがFreeVPN.Oneは、このAPIを悪用し、勝手に画面をスクショしていました。先ほどの例に例えると、バックグラウンドサービスワーカーが前述の「見張り役」からの連絡を受信すると、ユーザーに何も告げずに勝手にこのAPIを使ってスクリーンショットを撮影し続けていたのです。

つまり、「撮影してもいいですか？」と聞くこともなく、ユーザーが気づかないうちに写真を撮り続けていた、ということになります。これが今回の悪用の正体です。

偽装された「AI脅威検出」機能

FreeVPN.Oneには「AI脅威検出スキャン」という機能がありました。この機能は、1回限り画像を撮影して、ローカルで画像をスキャンするという風に説明されていましたが、実際は偽装でした。

「AI脅威検出スキャン」をクリックの有無にも関わらず、拡張機能は前述の通りにページのスクリーンショットを撮影し、画像を分析するために用意されたサーバー（aitd[.]one/analyze.php）にアップロードします。つまり、このボタンはただの飾りで、「このボタンを押したときだけスクショが撮影される」と思わせるために用意されたフェイクのボタンだったというわけです。

検出回避のための暗号化

開発者は途中から発覚を恐れたのか、検出を困難にする措置を講じました。最新版では、開発者が転送中のデータを暗号化（AES-256-GCM暗号化とRSAキーラッピング）し、転送していることを隠蔽したのです。

これにより動作は変わらずスクリーンショットを撮影し続けているものの、ネットワーク監視による検出がはるかに困難になりました。

偽物の「正当性」──Googleバッジの落とし穴

ここまで解説してきて「そんな危険な拡張機能が、なぜ多くの人にダウンロードされたの？」と思ってしまいますが、FreeVPN.OneにはGoogle公式の認証バッジが付いていたのが大きな問題点です。さらに、多くのレビューも投稿されており、表面的には「安全そう」に見えていたんですよね。これが非常に大きな落とし穴として機能してしまいました。

公式認証の意味とは

今回の件で最も不味いのは、FreeVPN.OneがGoogleの「身元確認済みバッジ」および「おすすめバッジ」が付与されていたことです。このバッジがついていれば、Googleによる認証が通っていて、「Google公認の安全な拡張機能」とユーザーは認識してしまいます。

レビューとスコアの信頼性

また、FreeVPN.Oneは10万回以上のインストール数、「認証済み」ステータス、そして1,110件のレビューから3.8/5の評価を獲得していました。表面的には非常に信頼できる拡張機能に見えてしまいます。

開発元情報の不透明性

しかし、FreeVPN.One開発元の情報は不透明でした。あるセキュリティ専門家が開発者の正当性を証明するように「会社のプロフィール」「GitHub」「LinkedIn」などの提示を求めたことがあったそうですが、開発者はその専門家に対しては返信を行わなかったとのこと。

唯一確認できたのはphoenixsoftsol.comに紐づけられたメールだけで、このサイトにアクセスしてみると、実際の会社の痕跡がない無料のWixテンプレートページが表示されるだけでした。

段階的な悪質化のタイムライン

FreeVPN.Oneは最初は悪意のある拡張機能ではなく、説明されている機能（基本的なVPNツール）で動作していました。しかし、アップデートを重ねて、悪意のある拡張機能としての機能を備えていきました。具体的には、次のようにスパイウェアとしての機能を実装していったのです。

v3.0.3（2025年4月）——扉を開く

このバージョンで「all_urls」権限を変更しました。これは拡張機能が訪問するすべてのサイトにアクセスできるようにするものです。これにより、一般的なVPNアプリが必要とするよりもはるかに多くのアクセス権を要求できるようになりました。

ただし、この時点では権限はより広いアクセスを許可していたものの、コンテンツスクリプトはまだVPNプロバイダーのドメインに限定されていました。まだスパイ行為はありませんでしたが、扉は開かれた状態といえます。

v3.1.1（2025年6月）——限界をテストする

このバージョンで、「AI脅威検出」を含むリブランド、訪問するすべてのウェブサイトへのコンテンツスクリプトの拡張、そしてscripting権限の追加が行われました。

このアップデートはセキュリティアップデートのように見えましたが、実際には開発者が疑いを招くことなくどこまで行けるかを実験していたようです。

v3.1.3（2025年7月17日）——本格的なスパイ活動開始

このバージョンから、次のような挙動が認められています。つまり、スパイ活動を開始し、ユーザーの情報を不正に送信するようになりました。

すべてのサイトでの無音スクリーンショット撮影
位置情報の追跡とデバイス詳細の収集開始
新しいサーバーへのデータ流出開始

v3.1.4（2025年7月25日）——痕跡隠蔽

データ盗取が検出可能であることを認識した開発者は、前述のとおりに暗号化（AES-256暗号化、RSAキーラッピング）するようにし、データを送信するサーバーを別のもの（サブドメイン）に切り替えました。これにより、スパイ活動の検出がより困難になりました。

ユーザーへの具体的な被害とリスク

ここまでFreeVPN.Oneの仕組みについて解説してきましたが、「実際のところ、どんな情報が盗まれる可能性があったの？」という点が一番気になるところです。残念ながら、この拡張機能によって非常に幅広い個人情報や機密情報が危険にさらされていました。普段何気なく見ているウェブページの内容が、すべてスクリーンショットとして撮影・送信されていたのですから、その被害の深刻さは計り知れません。

漏洩する可能性のある情報

Googleスプレッドシートで機密の会社情報を開いたり、銀行口座にログインしたり、デートアプリを閲覧したり、プライベートな家族写真を見たりする日常的なブラウジングなど、あらゆる場面でスクリーンショットが撮影される可能性がありました。

具体的には次のような情報が危険にさらされていました。

オンラインバンキングの画面
クレジットカード情報
パスワードやログイン情報
プライベートなメッセージやメール
家族や個人の写真
企業の機密文書
医療情報

データの悪用可能性

撮影されたスクリーンショットは外部サーバーに送信されるため、次のようなリスクが考えられます。

ダークウェブでの情報転売
なりすまし犯罪への利用
企業情報の競合他社への流出
個人情報を使った詐欺行為

開発者はスクリーンショットは保存されておらず、脅威の可能性についてのみ簡潔に分析されていると主張していますが、この主張は独立して検証することができません。スクリーンショットがユーザーのデバイスを離れると、それらが保持されていないことを確認する方法はありません。

取るべき対応策

万が一、FreeVPN.Oneを利用していた場合は、すぐに次の対策を行なってください。

拡張機能の即座削除
- Chromeの設定→拡張機能→FreeVPN.Oneを削除
キャッシュとデータのクリア
- ブラウザのキャッシュ、クッキー、保存されたデータをすべてクリア
パスワードの変更
- 重要なアカウント（銀行、メール、SNSなど）のパスワードを変更
二段階認証の設定
- 可能な限り多くのアカウントで二段階認証を有効化

拡張機能選択時の注意点

拡張機能は便利なものですが、今回のように「一見安全に見えるけど、実は危険」というものは少なくありません。そのため、拡張機能をインストールするときは、次の点に注意しましょう。

権限の確認

拡張機能が要求する権限が本来の機能に必要な範囲を超えていないか確認
特に「すべてのサイトにアクセス」のような広範囲な権限を要求する場合は慎重に検討

開発元の透明性

開発者や開発企業の実在性を確認
公式ウェブサイト、サポート体制の有無を確認
GitHubなどでオープンソース化されているかを確認

レビューの質

単純な星の数だけでなく、レビューの内容を精査
不自然に高評価ばかりの場合は疑う

代替手段の検討

本当にその拡張機能が必要か再検討
信頼できる有料サービスの利用も選択肢にする

無料VPNサービスへの警鐘

今回の事件は、無料VPNサービス全般に対する警鐘でもあります。VPNサービスは本来プライバシー保護のためのツールですが、運営にはサーバー代などのコストがかかります。にも関わらず、無料で提供されているということは、必ず何かしらの裏があるということです。

無料VPNは基本的に使わないことが重要です。無料VPNの危険性については、以下の記事で詳しく解説していますので、併せてご覧ください。

VPNサービスについては、有料かつ安全性が認められているサービスを使うのがベストです。例えば大手のVPNサービス「NordVPN」の場合、公式サイトやアプリが日本語に対応しているため、初心者でも簡単に導入できるのが大きな魅力です。また、NordVPNは世界111か国に6,400台以上のサーバーを展開しており、通信速度が速いのもいい点ですね。

さらに、ノーログポリシーを採用しており、第三者機関からも検証されているため安心ですし、メッシュネットワーク・キルスイッチ・マルウェア保護など、数多くの便利な機能を利用できます。

NordVPNの場合、長期で利用する場合は公式サイトで申し込むのが最もお得です。ただし、セール時期などでは、Amazonなどで販売されているオンラインコード版の方が安くなることもあるので、こちらをチェックした方がいいでしょう。1ヶ月版なども用意されているので、お試しで使うのもありだと思います。

Amazon.co.jp: 【NordVPN公式】セキュリティソフト+VPN | NordVPNスタンダード 1か月10台版 | Win/Mac/iOS/Android対応【PC/スマホ対応】| オンラインコード版 : PCソフト

なぜ「便利」と「危険」は背中合わせなのか

今回の事件を通じて改めて感じるのは、デジタルツールの「便利さ」と「危険性」が表裏一体だということです。

FreeVPN.Oneが多くのユーザーに支持されていたのは、無料で使えて、Googleの公式認証も受けており、一見すると非常に便利なツールだったからです。しかし、その便利さの裏では、ユーザーのプライバシーが密かに侵害されていました。

今回の件で学ぶべきなのは、「無料だから」「公式認証があるから」「多くの人が使っているから」といった理由だけで安全性を判断してはいけないという点です。特にプライバシーに関わるツールを選ぶ際は、慎重すぎるくらいの検討が必要かもしれません。

まとめ：常に警戒心を忘れずに

今回の件で思ったことは、常に警戒心を持ち続け、自分自身でセキュリティを守る意識を高めることです。便利なツールを完全に避ける必要はありませんが、「なぜ無料なのか」「本当に信頼できるのか」といった疑問を持ち続けることが大切ですね。

また、今回のようなことが発覚した際は、速やかに情報を共有し、被害の拡大を防ぐことも重要です。一人ひとりのセキュリティ意識の向上が、より安全なデジタル環境の構築につながるのではないでしょうか。

最後に、現在FreeVPN.Oneをお使いの方は、直ちにアンインストールして必要な対策を講じてください。そして、今後拡張機能やVPNサービスを選ぶ際は、今回の教訓を活かして慎重に検討してもらえればと思います。