Urban VPN ProxyがAIチャットボットの会話を盗み見

Chromeユーザー向けに無料のクライアントレスVPNをうたうブラウザ拡張機能が、人工知能チャットボットプラットフォームでの会話を収集し、そのデータを第三者のブローカーに販売していた。

Chrome Web Storeで4.7つ星評価と「注目」バッジを獲得しているUrban VPN Proxyは、7月以降、8つの主要AIプラットフォームから会話データを収集しており、複数の拡張機能を通じて約800万人のユーザーに影響を与えたと、Koi Securityが述べた。同アプリは、ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、DeepSeek、Grok、Meta AIにおいて、ユーザーが送信したすべてのプロンプトと受け取ったすべての応答を収集していた。

このデータ収集は、VPN機能そのものとは独立して動作する。ユーザーがVPNをオンにしていても切断していても、収集はユーザー側で無効化する選択肢がないまま、バックグラウンドで継続的に実行される。収集を止めたいユーザーは、拡張機能を完全にアンインストールする必要があると、Koi Securityの共同創業者兼CTOであるIdan Dardikmanは述べた。

同じ発行元によるChromeおよびEdge向けの1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blockerを含む追加の7つの拡張機能も、ユーザーを監視している。多くは各アプリストアから「注目」バッジを付与されており、これは拡張機能が手動レビューを受け、Googleがユーザー体験とデザインについて高い基準と説明する要件を満たしたことを示す。

無料VPNサービスには、以前から監視が付き物だった。Googleは11月、無料VPNには注意するようユーザーに警告し、プライベートメッセージやアカウント認証情報などの機微なデータを盗み得ると警告した。Facebookは、Onavo VPN子会社を通じて10代ユーザーに関するデータを収集したことで大きな反発を受け、2023年にはオーストラリアで2,000万豪ドルの罰金も科された。

Urban VPNの収集機能は、7月9日にリリースされたバージョン5.5.0で登場した。それ以前のバージョンにはAI会話を取得する機能は含まれていなかった。ChromeとEdgeの拡張機能は既定で自動更新されるため、VPN機能目的で拡張機能をインストールしたユーザーは、通知や同意なしに監視コードを受け取ったことになる。Koi Securityによれば、その日以降にUrban VPNを動作させた状態で対象のAIプラットフォームを利用した人は、自分の会話が取得され、第三者と共有されたと考えるべきだという。

この拡張機能はブラウザのタブを監視し、ユーザーが選定されたAIプラットフォームにアクセスすると、ページに専用の実行スクリプトを注入する。各プラットフォームにはchatgpt.jsやclaude.jsといった固有のスクリプトがある。注入後、これらのスクリプトは、ネットワークリクエストを処理する基本的なブラウザAPIであるfetchとXMLHttpRequestを上書きし、ブラウザが描画する前にページ上のすべてのネットワークトラフィックを拡張機能が傍受できるようにする。

AIチャットボットが応答を送信するか、ユーザーがプロンプトを送信すると、拡張機能は生のAPIトラフィックを捕捉する。注入されたスクリプトは、傍受したAPI応答を解析して、AIに送信されたすべてのプロンプト、受信したすべての応答、会話識別子、タイムスタンプ、セッションメタデータ、使用されたAIプラットフォームとモデルなどを含む会話データを抽出する。スクリプトはこのデータをパッケージ化し、識別子PANELOS_MESSAGEを付けてwindow.postMessage経由で拡張機能のコンテンツスクリプトに送信する。コンテンツスクリプトはデータをバックグラウンドのサービスワーカーに転送し、サービスワーカーが圧縮してUrban VPNサーバーへ送信する。

Urban VPN ProxyはUrban Cyber Security Inc.によって運営されており、データブローカー企業BiScienceと提携関係にある。Secure AnnexのWladimir PalantやJohn Tucknerを含むセキュリティ研究者は、BiScienceのデータ収集慣行をこれまでに文書化している。彼らの研究により、BiScienceが数百万人のユーザーからクリックストリームデータと閲覧履歴を収集し、再識別を可能にする永続的なデバイス識別子にデータを紐付け、第三者の拡張機能開発者がユーザーデータを収集・販売できるSDKを提供し、AdClarityやClickstream OSなどの製品を通じて集約データを販売していることが明らかになった。

Koi Securityの調査結果は、BiScienceのデータ収集が閲覧履歴から完全なAI会話へと拡大していることを示している。Urban VPNのプライバシーポリシーはこのデータの流れを認めており、同社が提携会社BiScienceとウェブ閲覧データを共有し、BiScienceが生データを用いて商業的に利用され、ビジネスパートナーと共有されるインサイトを作成すると述べている。

現在は無効化されているChrome Web StoreのUrban VPN Proxyの掲載ページでは、AI保護を機能として宣伝し、フィッシングの試み、マルウェア、侵入的な広告からブラウジング体験を守る高度なVPN保護を説明している。掲載ページは、AI保護がメールアドレスや電話番号などの個人データについてプロンプトをチェックし、AIチャットの応答に不審または安全でないリンクがないかを調べ、ユーザーがクリックしたりプロンプトを送信したりする前に警告を表示すると主張している。また、承認された利用目的以外で第三者にデータを販売していないとも記載している。

Dardikmanは、拡張機能の挙動についてGoogleやMicrosoftに連絡しなかったのは、ユーザーの期待には反していても、両社の明示されたポリシーの範囲内と主張し得るグレーゾーンに存在するためだと述べたと報じられている。監視がプライバシーポリシーで技術的に開示されているという事実は、ユーザー体験を変えないとDardikmanは言う。ユーザーはプライバシー保護のためにVPNをインストールし、AI企業に何を共有するか注意するよう促すAI保護の警告を目にする一方で、入力したすべての言葉がデータブローカーに送られている。

Dardikmanによれば、人々は検索エンジンには共有しない秘密をAIチャットボットには打ち明ける。ユーザーは医療上の懸念や金銭的な詳細について尋ねたり、恋愛関係の問題を抱えていることを告白したりしているという。