TokyoBlackHatNews

koi.ai 12分で読了

「プライバシー」拡張機能が800万人のAI会話を利益目的で販売

数週間前、私は人生の大きな決断に悩んでいました。いつものようにClaudeを開き、声に出して考え始めました。選択肢を並べ、トレードオフを比較し、見解を求めました。

会話の途中で、私は手を止めました。自分がどれほど多くを共有していたかに気づいたのです。この決断だけでなく、何か月分もの会話——個人的な葛藤、健康の相談、金銭の詳細、仕事の不満、他の誰にも話していないことまで。私はAIアシスタントに対して、人生のほとんどの人には持てないほどの率直さを育てていました。

そして、不快な考えがよぎりました。もし誰かがこれを全部読んでいたら?

その考えは頭から離れませんでした。セキュリティ研究者として、私はその疑問に答えるための手段を持っています。

発見

私たちは、エージェント型AIリスクエンジン「Wings」に、AIチャットプラットフォームから会話を読み取り、外部へ持ち出す能力を持つブラウザ拡張機能をスキャンさせました。見つかるのは、インストール数が少ない無名の拡張機能や、怪しい発行元、いわゆる“いつもの面々”が数件だろうと予想していました。

ところが、結果はまったく別物でした。

リストの上位にあったのはUrban VPN Proxy。ユーザー数600万人超のChrome拡張機能です。レビュー58,000件で評価4.7。さらにGoogleの「Featured」バッジ付き——手動審査を通過し、Googleが「ユーザー体験とデザインの高い基準」と説明する要件を満たしたことを意味します。

プライバシーとセキュリティをうたう無料VPN。まさに、オンラインで自分を守りたい人がインストールする類のツールです。

私たちは、さらに詳しく調べることにしました。

Image

GoogleにFeaturedとして掲載され、信頼されている

判明したこと

Urban VPN Proxyは、10のAIプラットフォームにわたる会話を標的にしています:

  • ChatGPT
  • Claude
  • Gemini
  • Microsoft Copilot
  • Perplexity
  • DeepSeek
  • Grok(xAI)
  • Meta AI

各プラットフォームごとに、この拡張機能には会話を傍受して取得するために設計された専用の「executor」スクリプトが含まれています。収集は、拡張機能の設定にハードコードされたフラグによってデフォルトで有効化されています:

Image

これを無効化するユーザー向けの切り替えはありません。データ収集を止める唯一の方法は、拡張機能を完全にアンインストールすることです。

仕組み

データ収集はVPN機能とは独立して動作します。VPNが接続されているかどうかに関係なく、収集はバックグラウンドで継続的に実行されます。

技術的な内訳は次のとおりです:

1. AIプラットフォームへのスクリプト注入

拡張機能はブラウザのタブを監視します。標的となるAIプラットフォーム(ChatGPT、Claude、Geminiなど)にアクセスすると、「executor」スクリプトをページへ直接注入します。各プラットフォームには専用スクリプトがあり、chatgpt.js、claude.js、gemini.jsなどが用意されています。

Image

2. ネイティブのブラウザ関数の上書き

注入後、スクリプトはfetch()とXMLHttpRequest——すべてのネットワークリクエストを処理する基本的なブラウザAPI——を上書きします。これは攻撃的な手法です。スクリプトは元の関数をラップし、そのページ上のあらゆるネットワークリクエストとレスポンスが、まず拡張機能のコードを通るようにします。

Image

つまり、Claudeがあなたに返信を送るとき、あるいはあなたがChatGPTにプロンプトを送信するとき、拡張機能はブラウザが描画する前の生のAPI通信を見られるのです。

3. 解析とパッケージ化

注入されたスクリプトは傍受したAPIレスポンスを解析し、会話データ——あなたのプロンプト、AIの応答、タイムスタンプ、会話ID——を抽出します。このデータはパッケージ化され、識別子PANELOS_MESSAGEを付けてwindow.postMessage経由で拡張機能のコンテンツスクリプトへ送られます。

Image

4. バックグラウンドワーカーによる外部送信(エクスフィルトレーション)

コンテンツスクリプトはデータを拡張機能のバックグラウンドサービスワーカーへ転送し、そこで実際の外部送信が行われます。データは圧縮され、analytics.urban-vpn.comやstats.urban-vpn.comを含むエンドポイントを通じてUrban VPNのサーバーへ送信されます。

Image

取得されるもの:

  • AIに送信するすべてのプロンプト
  • 受け取るすべての応答
  • 会話識別子とタイムスタンプ
  • セッションのメタデータ
  • 使用したAIプラットフォームとモデルの特定情報

タイムライン

AI会話の収集は、最初から存在していたわけではありません。私たちの分析によると:

  • バージョン5.5.0以前:AI収集機能なし
  • 2025年7月9日:バージョン5.5.0がリリースされ、AI収集がデフォルトで有効化
  • 2025年7月〜現在:標的AIプラットフォームでの全ユーザー会話が取得され、外部送信

ChromeとEdgeの拡張機能はデフォルトで自動更新されます。Urban VPNを本来の目的——VPN機能——のためにインストールしたユーザーは、ある日目覚めると、新しいコードが静かにAI会話を収集している状態になっていました。

Image

Urban VPN Proxyに関するKoidexレポート

2025年7月9日以降にUrban VPNがインストールされた状態でChatGPT、Claude、Gemini、または他の標的プラットフォームを使用した人は、それらの会話が現在Urban VPNのサーバー上にあり、第三者と共有されたと考えるべきです。医療の相談、金銭の詳細、独自コード、個人的な葛藤——そのすべてが「マーケティング分析目的」で販売されました。

「AI保護」が実際にしていること

Urban VPNのChrome Web Store掲載ページでは、「AI保護」を機能として宣伝しています:

「高度なVPN保護 – 当社のVPNは、フィッシングの試み、マルウェア、侵入的な広告、そしてAI保護(メールアドレスや電話番号などの個人データが含まれていないかプロンプトをチェックし、AIチャットの応答に不審または安全でないリンクがないか確認し、クリックまたはプロンプト送信の前に警告を表示)から、あなたのブラウジング体験を守るための追加のセキュリティ機能を提供します。」

この説明は、AI監視があなたを守るために存在する——誤って共有してしまう可能性のある機微情報をチェックし、応答内の不審なリンクについて警告する——という印象を与えます。

しかし、コードが語るのは別の話です。データ収集と「保護」通知は独立して動作します。警告機能を有効/無効にしても、会話が取得され外部送信されるかどうかには影響しません。拡張機能は、設定に関係なくすべてを収集します。

Image

「それで先生、私は信用問題を抱えているんです」

保護機能は、ときどきAI企業に機微情報を共有することへの警告を表示します。一方で収集機能は、その同じ機微情報——そしてそれ以外のすべて——をUrban VPN自身のサーバーへ送信し、広告主に販売します。この拡張機能は、ChatGPTにメールアドレスを共有するなと警告しながら、同時にあなたの会話全体をデータブローカーへ外部送信しているのです。

さらに悪いことに

Urban VPN Proxyの挙動を記録した後、同じコードが他にも存在するかを確認しました。

存在しました。同一のAI会話収集機能が、同じ発行元による他の7つの拡張機能にも、ChromeとEdgeの両方で見つかりました:

Chrome Web Store:

  • Urban VPN Proxy – 6,000,000ユーザー
  • 1ClickVPN Proxy – 600,000ユーザー
  • Urban Browser Guard – 40,000ユーザー
  • Urban Ad Blocker – 10,000ユーザー

Microsoft Edge Add-ons:

  • Urban VPN Proxy – 1,323,622ユーザー
  • 1ClickVPN Proxy – 36,459ユーザー
  • Urban Browser Guard – 12,624ユーザー
  • Urban Ad Blocker – 6,476ユーザー

影響を受けるユーザー総数:800万人超。

拡張機能はVPN、広告ブロッカー、「ブラウザガード」系のセキュリティツールなど異なるカテゴリにまたがっていますが、同じ監視バックエンドを共有しています。広告ブロッカーをインストールしたユーザーが、自分のClaudeの会話が収集されているとは思う理由がありません。

これらの拡張機能は、Edge向けのUrban Ad Blockerを除き、各ストアで「Featured」バッジを付与されています。これらのバッジは、拡張機能が審査され、プラットフォームの品質基準を満たしていることをユーザーに示します。多くのユーザーにとって、Featuredバッジはインストールするか見送るかの分かれ目であり、GoogleやMicrosoftからの暗黙の推奨に等しいものです。

背後にいるのは誰か

Urban VPNはUrban Cyber Security Inc.によって運営されており、データブローカー企業であるBiScience(B.I Science (2009) Ltd.)と関係があります。

この企業は以前から研究者の注目を集めていました。Secure AnnexのJohn Tucknerなどのセキュリティ研究者が、BiScienceのデータ収集慣行を過去に記録しています。彼らの研究で確立された点は次のとおりです:

  • BiScienceは数百万人のユーザーからクリックストリームデータ(閲覧履歴)を収集している
  • データは永続的なデバイス識別子に紐づけられ、再識別が可能
  • BiScienceは、ユーザーデータを収集して販売するためのSDKを第三者の拡張機能開発者に提供している
  • BiScienceはAdClarityやClickstream OSのような製品を通じてこのデータを販売している

今回の発見は、このオペレーションの拡大を示しています。BiScienceは閲覧履歴の収集から、完全なAI会話の収集へと移行しました——これははるかに機微性の高いデータカテゴリです。

プライバシーポリシーは、このデータフローを確認しています:

「当社はWeb閲覧データを当社の関連会社…BiScienceと共有します。BiScienceはこの生データを使用してインサイトを作成し、商業的に利用され、ビジネスパートナーと共有されます」

開示の問題

公平を期すなら、Urban VPNはこの一部を開示しています——どこを見ればよいか知っていれば、ですが。

同意プロンプト(拡張機能のセットアップ中に表示)では、拡張機能が「ChatAI communication」を「訪問するページ」や「セキュリティシグナル」とともに処理すると述べています。これは「これらの保護を提供するため」だとしています。

Image

スクリーンショット:Urban VPNの同意プロンプト

プライバシーポリシーはさらに踏み込み、文書の深いところにこう記しています:

「AI Inputs and Outputs. Browsing Dataの一部として、該当する場合、エンドユーザーが問い合わせた、またはAIチャット提供者によって生成されたプロンプトおよび出力を収集します。」

そして:

「当社はマーケティング分析目的でAIプロンプトも開示します。」

しかし、Chrome Web Storeの掲載ページ——ユーザーが実際にインストールするかどうかを決める場所——では、異なる印象が示されています:

「この開発者は、承認された利用目的の範囲外で、あなたのデータが第三者に販売されていないことを宣言しています」

掲載ページでは、拡張機能が「Web履歴」と「ウェブサイトのコンテンツ」を扱うと述べています。AI会話については具体的に何も書かれていません。

矛盾は重大です:

  1. 同意プロンプトはAI監視を保護目的として位置づける。プライバシーポリシーはデータがマーケティング目的で販売されることを明かしている。
  2. ストア掲載はデータが第三者に販売されないとしている。プライバシーポリシーはBiScienceや「ビジネスパートナー」との共有、および「マーケティング分析」用途を説明している。
  3. 2025年7月以前にインストールしたユーザーは更新された同意プロンプトを一度も見ていない——AI収集はバージョン5.5.0でサイレント更新により追加された。
  4. 同意プロンプトを見るユーザーであっても、細かな制御はできない。VPNは受け入れてAI収集は拒否する、といった選択はできない。すべて受け入れるか、何も受け入れないかの二択だ。
  5. VPNが切断され、AI保護機能がオフでもデータ収集が続くことは、ユーザーに何も示されない。ユーザーがどの機能を有効にしているかに関係なく、収集はバックグラウンドで静かに動き続ける。

Googleの役割

Urban VPN ProxyはChrome Web StoreでGoogleの「Featured」バッジを付けています。Googleのドキュメントによれば:

「Featured拡張機能は当社の技術的ベストプラクティスに従い、ユーザー体験とデザインの高い基準を満たしています。」

「Featuredバッジを受け取る前に、Chrome Web Storeチームは各拡張機能をレビューしなければなりません。」

つまり、Googleの人間がUrban VPN Proxyをレビューし、基準を満たすと結論づけたということです。レビューがGoogle自身のAI製品(Gemini)から会話を収集するコードを調べなかったか、調べた上で問題ではないと判断したかのどちらかです。

Chrome Web StoreのLimited Useポリシーは、「広告プラットフォーム、データブローカー、その他の情報再販業者のような第三者へユーザーデータを移転または販売すること」を明確に禁止しています。BiScienceは、自らの説明によればデータブローカーです。

この拡張機能は、本稿執筆時点でも公開され、Featuredのままです。

最後に

ブラウザ拡張機能は、特別な信頼の位置を占めています。バックグラウンドで動作し、閲覧行動に広範にアクセスでき、確認なしに自動更新されます。拡張機能がプライバシーとセキュリティを約束するとき、ユーザーがそれが真逆のことをしていると疑う理由はほとんどありません。

この事例が注目に値するのは、規模——800万人のユーザー——やデータの機微性——完全なAI会話——だけではありません。これらの拡張機能が審査を通過し、Featuredバッジを獲得し、ユーザーがオンラインで生成する最も個人的なデータの一部を収集しながら何か月も公開され続けたことです。ユーザーを守るために設計されたマーケットプレイスが、代わりに承認の印を与えてしまいました。

これらの拡張機能をインストールしている場合は、今すぐアンインストールしてください。2025年7月以降に行ったAI会話は、取得され、第三者と共有されたと考えてください。

このレポートはKoiのリサーチチームによって執筆されました。

私たちはKoiを、まさにこの種の脅威——マーケットプレイスの審査をすり抜け、機微データを密かに外部送信する拡張機能——を検知するために構築しました。私たちのリスクエンジンWingsは、ブラウザ拡張機能を継続的に監視し、脅威があなたのチームに到達する前に捕捉します。

デモを予約して、静的レビューでは見逃されるものを行動分析がどう捉えるのかをご覧ください。

どうか安全に。

IOCs

Chrome:

  • Urban VPN Proxy: eppiocemhmnlbhjplcgkofciiegomcon
  • Urban Browser Guard: almalgbpmcfpdaopimbdchdliminoign
  • Urban Ad Blocker: feflcgofneboehfdeebcfglbodaceghj
  • Chrome向け1ClickVPN Proxy: pphgdbgldlmicfdkhondlafkiomnelnk

Edge:

  • Urban VPN Proxy: nimlmejbmnecnaghgmbahmbaddhjbecg
  • Urban Browser Guard: jckkfbfmofganecnnpfndfjifnimpcel
  • Urban Ad Blocker: gcogpdjkkamgkakkjgeefgpcheonclca
  • Edge向け1ClickVPN Proxy: deopfbighgnpgfmhjeccdifdmhcjckoe

翻訳元: https://www.koi.ai/blog/urban-vpn-browser-extension-ai-conversations-data-collection

ソース: koi.ai
#AIチャット #Chrome Web Store #Microsoft Edge アドオン #VPN #サイバーセキュリティ #データブローカー #プライバシー問題 #ブラウザ拡張機能 #会話データ収集 #個人情報漏えい

関連記事

Claudeがサイバー兵器となるときAI軍拡競争が始まった

野生の最初の悪意あるMCP:あなたのメールを盗んでいるPostmarkバックドア

目に見えないコードを使用した初の自己増殖ワーム、OpenVSXマーケットプレイスを襲う