1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. 900万件ダウロードされている悪質なChrome VPN 拡張機能がユーザーの閲覧データを盗む

900万件ダウロードされている悪質なChrome VPN 拡張機能がユーザーの閲覧データを盗む

セキュリティニュース

投稿日時: 更新日時:

900万件ダウロードされている悪質なChrome VPN 拡張機能がユーザーの閲覧データを盗む

LayerX Security は 2025年11月18日、Chrome/Edge系ブラウザで配布される無料VPNや広告ブロッカーを装った拡張機能群について、継続的に再登場する悪性キャンペーンを確認しました。

これらはストアから削除後に名称・アイコン・説明文を小変更して再公開されており、現在も少なくとも約3.1万件の実稼働インストールが存在します。過去の派生を含めた累計導入は900万件超に達し、拡張は PAC スクリプト差し替えや全 URL の遷移傍受などにより、ブラウザ内へ“遠隔操作型プロキシ”を構築していました。

再出現の実態と拡張の同一性

過去に削除された「VPN Professional – Free Secure and Unlimited VPN Proxy」や「VPN-free.pro – Free Unlimited VPN」と、2025年7月21日に公開された「Free Unlimited VPN」は、説明文やアイコンの意匠、コード構造、連絡先ドメインの共通性から同系統と判定されています。

現在もストアから未削除の派生が複数確認され、Chrome ウェブストアと Microsoft Edge アドオン双方で配布が続いています。

拡張 ID と推定ユーザー数として、fgpecemjbefkjlcgnhjohdonijdkfooj(約3万)、kekfppnajjchccpkfaogiomfcncbgagc(約13万)、hfofhoffdcfcjgmilkpnhkamcgemaban(約10万)などが挙げられ、サポート連絡先は free-vpn.pro ドメインや Gmail アドレス等が用いられていました。

旧系統で確認された手口

旧系統は導入直後から複数の外部 URL から設定を周期取得し、取得した PAC を配布してブラウザのプロキシ設定を置き換えます。

これにより全通信が攻撃者管理の中継サーバを経由する状態となり、chrome.webRequest.onBeforeRequest によってメインフレームの全リクエストを捕捉・転送します。

declarativeNetRequest の動的ルール更新で誘導先を遠隔切替でき、history.replaceState による履歴改変で遷移痕跡を目立たなくします。権限変更や検査の兆候に応じて自己アンインストールするロジック、Manifest V3 のアンロード回避を目的としたキープアライブ注入も組み込まれていました。

2025年版での進化点

2025年7月公開の新系統は、PAC 適用に二秒遅延を入れて自動解析の回避を図り、プロキシ設定や判定ロジックを実行時にサーバから取得・実行する方式へ移行しました。

これにより公開後もストア審査なしで挙動を変更できます。加えて、インストール済み拡張一覧の収集と送信、プロキシ権限を持つ他拡張の無効化、訪問 URL のハッシュ化と周期送信が追加され、通信経路の単独支配と利用者プロファイルの作成が強化されています。

影響とリスク

PAC を用いた経路制御により、利用者の全ブラウジングが攻撃者管理の中継を通過します。

この構造ではコンテンツ改ざんやスクリプト注入が可能となり、認証クッキーやセッショントークンの露出リスクが生じます。onBeforeRequest と動的ルール更新の併用により、条件に応じたフィッシング誘導や“後から内容を差し替える”手口が成立します。履歴改ざんや自己削除は監査・解析の難度を高め、他拡張の無効化は防御機能の排除につながります。

確認された IOC(実例)

拡張 ID として、

fgpecemjbefkjlcgnhjohdonijdkfooj、kekfppnajjchccpkfaogiomfcncbgagc、nhiafglcjghpmcipelflfhkckdpcokid、hfofhoffdcfcjgmilkpnhkamcgemaban などが確認されています。

連絡先や関連ドメインは [email protected][email protected][email protected]ならびに free-vpn.pro、adsblocker.top、configanalytics.icu 等が収集されています。

過去に削除済みの派生には foiopecknacmiihiocgdjgbjokkpkohc(約10万)、bibjcjfmgapbfoljiojpipaooddpkpai(約900万)などが含まれます。

推奨される対処(個人ユーザー)

該当拡張のアンインストールを最優先とし、ブラウザの Cookie/ローカルストレージ/保存済み資格情報を削除してください。主要サービスのパスワードは変更し、多要素認証を有効化します。端末上でのマルウェア/アドウェア検査を実施し、ブラウザ設定に不審な PAC が残っていないかを確認します。

組織での対処(管理者・SOC)

収集済みドメインや推定 C2 を DNS/プロキシ/FW で一時遮断し、EDR/MDM テレメトリから拡張導入・PAC 設定変更の痕跡を照会します。

重要システムのセッションを失効させ再認証を求め、必要に応じてブラウザプロファイルの再構築を実施します。拡張の配布は許可リスト方式へ移行し、過剰権限の拡張を禁止します。確認された IOC はストア運営へ通報し、ユーザー向け注意喚起を継続します。

まとめ

本件拡張は、無料 VPN を装いながら外部設定と PAC 差し替えで通信路を恒常的に掌握し、検知回避と再出現を前提とした設計でした。再公開が繰り返される実態を踏まえ、拡張の導入管理と権限統制、ネットワーク側の監視・遮断、ユーザー教育を組み合わせて被害を最小化する必要があります。

参照

関連記事

Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信Apple、iPhoneを狙ったゼロデイ 攻撃に緊急対応 -iOSにセキュリティアップデートを配信 Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283) SalesforceとSalesloft Driftの連携で拡がった大規模サプライチェーン サイバー攻撃のまとめと解説Salesforce(セールスフォース)とSalesloft Drift 連携で拡がるサプライチェーン サイバー攻撃の解説 PR TIMES、不正アクセスによるサイバー攻撃で最大90万件超の個人情報漏洩の可能性-IPアドレス制御をすり抜けPR TIMES、不正アクセスによるサイバー攻撃で最大90万件超の個人情報漏洩の可能性-IPアドレス制御をすり抜け HOYA、2024年4月のサイバー攻撃で最大6,500件の個人情報が流出HOYA、2024年4月のサイバー攻撃で最大6,500件の個人情報が流出 Yogibo(ヨギボー)をかたる偽アカウントに注意 TikTok→LINEへ誘導し金銭・カード情報を詐取する手口を確認Yogibo(ヨギボー)をかたる偽アカウントに注意 TikTok→LINEへ誘導し金銭・カード情報を詐取する手口を確認 6000以上のワードプレスがサイバー攻撃とハッキング被害6000以上のワードプレスがサイバー攻撃とハッキングの被害 CISAがAppleのiOSとMicrosoftの脆弱性の積極的な悪用を警告CISAがAppleのiOSとMicrosoftの脆弱性の積極的な悪用を警告 npmパッケージ「rand-user-agent」にマルウェアが混入も週4万5000件のダウンロードを記録-サプライチェーン攻撃かnpm「rand-user-agent」にマルウェアが混入も週4万5000件のダウンロードを記録-サプライチェーン攻撃か