ブラウザー拡張機能のUrban VPNは、VPN機能が無効になっていてもAIのプロンプトと回答を取得できる。
Lina Chekhovich – shutterstock.com
セキュリティベンダーKoiの研究者は、広く利用されている無料のブラウザー向けVPN拡張機能「Urban VPN Proxy」が、ユーザーのブラウザーからAIチャットの会話を丸ごと収集し、外部へエクスポートしていることを突き止めた。
従業員が社内の文脈情報、コード断片、顧客データ、研究メモなどをAIツールに日常的に入力している企業にとって、この機能はデータ窃取の危険をはらむ。このケースでは、流出(エクスフィルトレーション)の経路が従来の企業セキュリティ管理の枠外に完全に存在している。
しかし問題は、VPNトラフィックや暗号化セッションに限られない。Koiの調査によれば、Urban VPNは、ユーザーが人気のAIプラットフォームとやり取りするたびに有効化されるスクリプトを注入する。これにより、VPN機能が無効であっても、プロンプトと回答の双方が取得される。
「プライバシー」に潜む隠しスクリプト
VPNサービスの提供に加え、Urban VPN Proxyは、ユーザーがブラウザーでChatGPT、Claude、Gemini、Perplexity、GrokといったAIチャットプラットフォームにアクセスすると有効化される「Executor」スクリプトを使用している。「各プラットフォームには専用のスクリプトがあり、chatgpt.js、claude.js、gemini.jsなどがある」と研究者はブログ投稿で説明している。
これらのスクリプトは重要なブラウザーのネットワークAPIを上書きし、ユーザーが入力・受信するあらゆる内容を傍受してパッケージ化し、Urban VPNのバックエンドシステムへ送信する。基盤となるコードはAI会話の内容と関連メタデータを継続的に監視し、VPNの利用有無にかかわらずアップロードする。
「このChrome拡張機能は高評価で、Googleの『Featured』バッジも付与されており、ユーザーに暗黙の信頼シグナルを与えている」とセキュリティ専門家は指摘する。「Googleのバッジは、手動レビューに合格し、Googleが説明するユーザー体験とデザインに関する高い基準を満たしていることを意味する」。
この拡張機能のChrome版とEdge版はいずれも、引き続きChrome Web StoreおよびEdge Add-ons Storeで入手可能だ。
Urbanのストア上のマーケティングでは、ユーザーの入力に機微情報が含まれていないかをチェックするとされる「AI保護機能」まで強調している。しかしKoiは、この保護の枠組みは監視レイヤーとは独立して動作しており、ユーザーが望むかどうかに関係なく、すべてのAIインタラクションデータを流出させていることを確認した。
800万アカウントのチャットが盗まれた
Koiの研究者は、Urban VPNの発行元であるUrban Cyber Security Inc.が、データブローカーのBiScience(B.I Science Ltd)と密接に結び付いていることを突き止めた。
Koiの報告によれば、そのデータ収集の実態は、Secure Annexのセキュリティ研究者ウラジーミル・パラント氏とジョン・タックナー氏が以前から記録していた。彼らの調査では、BiScienceが識別可能なクリックストリームデータを大規模に収集し、SDKやAdClarity、Clickstream OSといった製品を通じて収益化していることが判明した。
この方法により、すでに数億件のAI会話が収集され、同一提供元の複数の拡張機能にまたがって束ねられ、合計ユーザーベースは800万人をはるかに超える規模に達したという。
Koiは、Urban VPNのAI会話機能が拡張機能のアップデートを通じて時間をかけて導入され、これらのツールが普及するにつれて、従来の閲覧テレメトリから生成AIインタラクションのより包括的な監視へと発展したと指摘している。今回の結果は、ブラウザー基盤のAIツールや拡張機能が企業にとって制御不能なリスク層となり、単なる利便機能ではなく攻撃対象領域の一部として捉えるべきだという、より一般的な警告を裏付けるものだ。(jm)
翻訳元: https://www.csoonline.com/article/4107076/urban-vpn-beim-diebstahl-privater-ki-chats-erwischt.html
