Google Chrome VPN、ユーザーの閲覧習慣を密かにスクリーンショットしたとして非難を浴びる
Koi Security のサイバーセキュリティ調査員らは最近、ほとんどのユーザーにとっておそらく最悪のセキュリティとプライバシーの悪夢と言えるものを発見した。10 万回以上インストールされている人気の Google Chrome 拡張機能 FreeVPN.One が、ユーザーが訪問するすべての Web サイトのスクリーンショットを密かに取得し、そのソフトウェアの匿名の開発者が管理するドメインに送信していたのである。
さらに懸念されるのは、この拡張機能が「 Chrome向け最速無料VPN」と謳われていることです。また、このツールは「注目」バッジも獲得しています。これは、Googleの技術的ベストプラクティスに準拠しながらも、「高水準」のユーザーエクスペリエンスとデザインを維持しているソフトウェアにGoogleが与える賞です。
しかし、どうやらFreeVPN.Oneはこのルールに違反し、何ヶ月もの間ユーザーのプライバシーを侵害し続けているようです。
FreeVPN.Oneは、プライバシーブランディングがいかに罠にかけられるかを示しています。Chromeウェブストアでは認証済みステータスを獲得し、注目のサービスとして掲載されています。Chromeは拡張機能の新バージョンに対して、自動スキャン、人間によるレビュー、悪意のあるコードや動作変更の監視といったセキュリティチェックを実施していると主張していますが、実際にはこれらの安全対策は機能していません。この事例は、たとえこれらの保護対策が施されていても、危険な拡張機能がすり抜けてしまう可能性があることを示しており、主要なブラウザマーケットプレイスにおけるセキュリティの深刻な欠陥を浮き彫りにしています。
コイセキュリティ
サイバーセキュリティ専門家の報告によると、この拡張機能は、ユーザーが訪問した各ウェブサイトのページが読み込まれた1秒後にスクリーンショットを静かに取得し、それをリモートサーバーに送信するという。
セキュリティ専門家は、VPN 拡張機能が機能するにはプロキシやストレージなどの権限が必要であることを認めていますが、FreeVPN.Online は、タブやスクリプトなど、欺瞞的なデータ収集策略を容易にする権限をさらに要求することで、限界をさらに押し広げています。
これにより、拡張機能はユーザーがアクセスするすべてのウェブサイトにスクリプトを挿入し、スクリーンショットを取得できるようになります。「ユーザー操作やUIヒントは一切なく、スクリーンショットはユーザーが気付かないうちにバックグラウンドで撮影されます」とKoi Securityは付け加えています。この奇妙な現象は、7月頃のマイナーアップデートで発生し、追加の権限を要求することで難易度が上昇したと報じられています。
FreeVPN.Oneのプライバシーポリシーによると、この拡張機能はインターネット使用中のアクティビティのスクリーンショットを取得できますが、これはAI脅威検出機能が有効になっている場合にのみ行われます。基本的に、スクリーンショットと関連ページ情報(URLとページコンテンツを含む)を取得し、ブラウザからプラットフォームのサーバーに送信してアナリストによる精査を行います。
しかし、拡張機能の開発者は、AI を利用した機能を有効にしているかどうかに関係なく、プラットフォームの脅威インテリジェンス データベースを構築するために「匿名化された使用状況データを使用する」可能性があると述べています。
FreeVPN.Oneのプライバシーポリシーは7月20日に更新されましたが、匿名化された使用状況データに関する重要なセクションが欠落しています。「このシステムはベータ版であり、『現状のまま』提供されるものであり、明示的または黙示的を問わず、正確性、信頼性、特定目的への適合性など、いかなる種類の保証も保証するものではありません」と、セキュリティ企業は付け加えています。
FreeVPN.One のプライバシー ポリシーによれば、拡張機能はインターネット使用中のアクティビティのスクリーンショットを取得できますが、これは AI 脅威検出機能が有効になっている場合にのみ行われます。
このアップデートでは、FreeVPN.Oneの運営者に関する情報も削除されました。以前のヘッダーには、プラットフォームはCMO Ltd.という会社によって運営されていると表示されていました。この情報のヒントを得る唯一の方法は、開発者に連絡して提供されたメールアドレスを確認することです。しかし、提供されたメールアドレスに関連付けられたドメインは、疑わしいURLを持つPhoenix Software Solutionsのページにリダイレクトされ、状況をさらに悪化させています。
FreeVPN.One の開発者は The Register に対し、この拡張機能は「Chrome ウェブストアのポリシーに完全に準拠しており、スクリーンショット機能はすべて当社のプライバシー ポリシーで公開されている」と主張した。
開発者によると:
収集されたすべてのデータは暗号化され、ブラウザ拡張機能の標準的な方法に従って処理されます。当社は透明性とユーザーのプライバシー保護に尽力しており、詳細については当社のドキュメントをご覧ください。
開発者は拡張機能が Google Chrome のウェブストア ポリシーに準拠していると主張しているが、Koi の研究者は、このツールが疑わしいドメインに遭遇した場合にのみスクリーンショットを取得するという主張を納得していない。
彼らはさらに調査結果を共有し、このツールがGoogleを含む信頼できるドメインのスクリーンショットを取得していることを強調しました。ただし、これらのスクリーンショットは使用も保存もされておらず、潜在的な脅威の有無を調べるために簡単に分析されているとのことです。
Koi Securityによるこれらの懸念すべき調査結果にもかかわらず、FreeVPN.Oneは本稿執筆時点では引き続きインストール可能です。Googleがこの報告を調査しているかどうか、また、ポリシー違反としてこの拡張機能をChromeウェブストアから削除する予定があるかどうかは不明です。
まるでWindowsのリコールが再び起こったようだ
昨年、マイクロソフトはCopilot+ PC専用の、Windows Recall、Live Captionsなど、画期的な次世代AI機能を多数発表しました。しかし、Windows Recallが最も注目を集め、このテクノロジー大手にとって最も物議を醸す機能になる可能性を秘めています。
Windows Recall は、PC の写真メモリのように動作し、ユーザーが見たものや行ったことのすべてをスナップショットとして記録する AI 搭載機能です。この機能はデバイス上の NPU(ニューラル・プロセッシング・ユニット)で実行され、プライバシー、セキュリティ、パフォーマンスといった機能のいずれにおいてもクラウドに依存しません。
この機能はセキュリティ専門家や一般ユーザーの間で大きな懸念を引き起こしており、彼らはこれを「セキュリティ上の悪夢」と呼び、 OSをハッカーの楽園に変えてしまったとしている。
マイクロソフトは、Windows Hello を必須要件にして「VBS エンクレーブ」に分離し(サードパーティ製アプリで読み取り不能にする)、パスワードやクレジットカード情報などの機密情報をフィルタリングするなどの入念な対策で Windows Recall のセキュリティを強化しているが、ユーザーは依然として Windows Recall を遠ざけているようだ。
FreeVPN.One経由でChromeウェブストアに影響を及ぼす重大なセキュリティとプライバシーの懸念に対し、Googleがどのように対応するのか、今後の動向が注目されます。コメント欄でご意見をお聞かせください。
Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。
ケビン・オケムワは、ケニアのナイロビを拠点とするベテランのテクノロジージャーナリストです。Windows Centralで業界の最新トレンドや動向を幅広く取材し、豊富な経験を有しています。イノベーションへの情熱と細部への鋭い洞察力を持つ彼は、OnMSFT、MakeUseOf、Windows Reportといった主要メディアに寄稿し、Microsoftエコシステムを取り巻くあらゆるトピックについて、洞察力に富んだ分析と最新ニュースを提供しています。常に変化するテクノロジーのトレンドを追っている暇な時は、世界を旅したり、音楽を聴いたりしています。