このブラウザ拡張機能はスクリプトを注入し、VPN機能が無効になっている場合でもAIのプロンプトと応答を取得する。
セキュリティ研究者は、数百万件のインストールを誇る広く利用されている無料のブラウザVPN拡張機能「Urban VPN Proxy」が、ユーザーのブラウザからAIチャットの会話全文を収集し、外部へ送信していたことを突き止めた。
従業員が社内の文脈、コード断片、顧客情報、調査メモなどを日常的にAIツールへ貼り付ける組織にとって、この挙動は、従来の企業向けセキュリティ統制の外側で完全に動作する、直接的なデータ流出(データ持ち出し)チャネルを意味する。
この問題はVPNトラフィックや暗号化セッションに限定されない。
Koi Securityの調査結果によれば、Urban VPNは、ユーザーが主要なAIプラットフォームとやり取りするたびに作動するスクリプトを注入し、VPN機能が無効であっても、プロンプトと応答の双方を取得する。
「プライバシー」装甲に潜む隠しスクリプト
VPNサービスを提供するだけでなく、Urban VPN Proxyは、ユーザーがChatGPT、Claude、Gemini、Perplexity、GrokなどのAIチャットプラットフォームを開くと作動する「executor(実行)」スクリプトを展開していた。「各プラットフォームには専用のスクリプト(chatgpt.js、claude.js、gemini.jsなど)がある」とKoiの研究者はブログ投稿で述べている。
これらのスクリプトは、ブラウザの主要なネットワークAPIを上書きして、ユーザーが入力し受け取るものをすべて傍受し、パッケージ化してUrban VPNのバックエンドシステムへ送信する。基盤となるコードはAI会話の内容と関連メタデータを継続的に監視し、VPNの利用有無にかかわらずアップロードする。
研究者によれば、このChrome拡張機能は高い評価とGoogleによる「注目(Featured)」バッジを備えており、ユーザーに暗黙の信頼シグナルを与えている。「Googleのバッジは、手動レビューを通過し、Googleが説明する高いユーザー体験とデザインの基準を満たしたことを意味する」と彼らは述べた。
GoogleはCSOからのコメント要請に直ちには応じなかった。
この拡張機能のChrome版とEdge版はいずれも、Chrome Web StoreおよびEdge Add-onsストアでそれぞれ公開されたままだ。
Urbanのストアフロントのマーケティングでは、ユーザーのプロンプトに機密データが含まれていないか確認すると主張する「AI保護」機能まで強調している。しかしKoiは、この保護をうたう枠組みが監視レイヤーとは独立して動作しており、ユーザーが収集を望むかどうかに関係なく、すべてのAI対話データを持ち出していることを突き止めた。
犯罪者が800万アカウントからチャットを盗んだ
Koiの研究者は、Urban VPNがUrban Cyber Security Inc.によって運営されており、データブローカー企業であるBiScience(B.I Science Ltd)と関係があることを明らかにした。
研究者は「この会社は以前から研究者の監視対象になっていた」と付け加えた。「Secure Annexのセキュリティ研究者Wladimir Palant氏とJohn Tuckner氏は、BiScienceのデータ収集慣行を以前に記録している」。彼らの調査によれば、BiScienceは再識別可能なクリックストリームデータを大規模に収集し、SDKやAdClarity、Clickstream OSといった製品を通じて収益化している。
翻訳元: https://www.csoonline.com/article/4106949/featured-urban-vpn-caught-stealing-private-ai-chats.html
