ブラウザ拡張機能が800万人のAIチャットボットデータを収集

出典：Alex Photo Stock（Alamy Stock Photo経由）

ユーザーのプライバシーを守るVPNとして機能する人気のブラウザ拡張機能が、実際にはAIチャットボットアシスタントとの会話データを収集し、その販売を助長している。

Koi Securityの研究者は、Google Web Storeで評価4.7を獲得しているChromeおよびEdge拡張機能「Urban VPN Proxy」が、8つの人気AIチャットボットからデータを収集していたことを発見した。対象はChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、DeepSeek、Grok（xAI）、Meta AIで、月曜日に公開されたブログ投稿で明らかにした。

7月にリリースされたバージョン5.5.0以前の拡張機能にはAI収集機能はないが、このバージョン以降のすべてのアップデートでは当該機能がデフォルトで有効になっている。つまり、前述のAIプラットフォームにおけるユーザーの会話はすべて拡張機能によって取得され、外部へ持ち出されるとKoi Securityは述べている。

Koi Securityの共同創業者兼最高技術責任者（CTO）であるIdan Dardikman氏は投稿で、無料VPN拡張機能がGoogleから「featured（注目）」バッジを付与されている（手動レビューを通過し、同社が定める一定の高い基準を満たしていることを意味する）にもかかわらず、「データ収集はVPN機能とは独立して動作する」と記した。 

同氏は「VPNが接続されているかどうかに関係なく、収集はバックグラウンドで継続的に実行される」と書いている。「これを無効化するユーザー向けの切り替えはない。データ収集を止める唯一の方法は、拡張機能を完全にアンインストールすることだ。」

Dardikman氏によれば、この収集の影響を受けるのは合計で約800万人のユーザーだという。内訳は、Chrome上のUrban VPN Proxyのユーザーが600万人、さらに同一の発行元による他製品（同じAI収集機能を含む）にまたがる数十万人のユーザーが含まれる。対象には、Chrome Web Storeの1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blocker、ならびにMicrosoft Edgeのアドオンストアで見つかるUrban VPN Proxy、1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blockerが含まれる。

Urban VPN Proxyのデータ収集が行われる仕組み

この拡張機能は、人々のブラウザタブを監視し、ユーザーが標的とするAIプラットフォームのいずれかにアクセスするたびにページへ「executor」スクリプトを注入することで動作する。各プラットフォームには専用のスクリプトが用意されている。

Dardikman氏は「注入されると、スクリプトはfetch()とXMLHttpRequest――すべてのネットワークリクエストを処理する基本的なブラウザAPI――を上書きする。これは攻撃的な手法だ」と書いている。「スクリプトは元の関数をラップし、そのページ上のあらゆるネットワークリクエストとレスポンスが、まず拡張機能のコードを通過するようにする。」

つまり、チャットボットが応答を返すたび、あるいはプロンプトが送信されるたびに、「拡張機能はブラウザが描画する前に生のAPIトラフィックを見る」ことになる、と同氏は述べている。

注入されたスクリプトは、傍受したAPIレスポンスを解析して会話データを抽出する。これには、AIに送信されたプロンプト、ユーザーが受け取った応答、会話の識別子とタイムスタンプ、セッションのメタデータ、使用された特定のAIプラットフォームのモデルが含まれる。 

その後スクリプトはこれらのデータをパッケージ化し、拡張機能のバックグラウンドのサービスワーカーへ送信する。サービスワーカーはデータを圧縮し、analytics.urban-vpn.comやstats.urban-vpn.comを含むエンドポイント（分析用途を含む）でUrban VPNのサーバーへ送ることで外部送信（持ち出し）を処理すると、Koiは述べている。

収集はアプリの挙動として開示されている

データ収集は、Urban VPNの開発者の目的と矛盾するものではない。製品はUrban Cyber Security Inc.によって公開・保守されており、同社はデータブローカー企業であるBiScience（B.I Science (2009) Ltd.としても知られる）と提携関係にある。 

実際、BiScienceのデータ収集方針は以前からセキュリティ研究者に指摘されてきたとDardikman氏は書いている。具体的には、Wladimir Palant氏とSecure AnnexのJohn Tuckner氏が、同社が数百万人のユーザーからクリックストリームデータ／閲覧履歴を収集し、そのデータを永続的なデバイス識別子に結び付けて再識別を可能にしていることを以前に明らかにしている。

さらに研究者は、同社がサードパーティの拡張機能開発者に対しユーザーデータを収集・販売するためのSDKを提供していること、またAdClarityやClickstream OSといった製品を通じて同社自身もデータを販売していることを記録している。

公平を期すなら、Urban VPNは拡張機能のセットアップ中にチャットボットAIの会話が一定程度処理されることを開示している。しかしDardikman氏は、データ収集に対する完全な同意はプライバシーフォームの中にいくらか「埋もれて」おり、ユーザーにとって必ずしも明確ではないと指摘した。Chrome Web Storeの掲載情報では、開発者は拡張機能から得たデータを「承認された利用目的の範囲外で第三者に販売しない」としている。 

BiScienceは、Urban VPN Proxyのデータ収集の挙動に関するコメント要請に直ちには応じなかった。

Dardikman氏によれば、Koiはこの拡張機能の挙動についてGoogleやMicrosoftに連絡していない。これは「ユーザーの期待には反するとしても、明示されたポリシーの範囲内だと主張できる」グレーゾーンにあるためだという。まさにその期待こそが、データ収集が問題となる理由であり、「プライバシー保護をうたうツール」から行われているからだと、同氏はDark Readingに語っている。

同氏は「プライバシーポリシーに技術的には開示されているという事実は、ユーザー体験を変えない。あなたはプライバシー保護のためにVPNをインストールし、『AI Protection』の警告を見てAI企業に共有する内容に注意するよう促される。その一方で、あなたが入力するすべての言葉がデータブローカーに送られている」と述べている。 

チャットボット利用時のプライバシー保護

Dardikman氏によれば、AIアシスタントは親しい友人のような存在になりつつあり、人々は極めて機微な情報をますます共有するようになっている。そのため、データ収集は個人面・業務面の双方で、より侵襲的になり得るという。 

同氏はDark Readingに「人々は、検索エンジンや通常のブラウジングでは見せない率直さをAIアシスタントに対して持つようになった」と語る。「医療上の懸念、財務の詳細、関係の悩み、専有コードを共有する。そこには、それが自分とAI提供者の間にとどまるという前提がある。」

Dardikman氏は、組織は社内全体のAIチャットボット利用のセキュリティを、社用デバイスにインストールされている拡張機能を監査すること、エンタープライズ向けブラウザポリシーで承認済み拡張機能をホワイトリスト化すること、既知の問題ある拡張機能をブロックすることで保護できると述べている。 

しかし、Urban VPNのようにGoogleとMicrosoftの両方のアプリストアで注目扱いになっていたケースでは、「マーケットプレイスの承認だけでは不十分だ」とDardikman氏は付け加える。「組織は……評判だけでなく、実際の拡張機能の挙動を見る必要がある。」