TokyoBlackHatNews

koi.ai 12分で読了

800万ユーザーのAI会話が「プライバシー」拡張機能によって利益のために販売されている

数週間前、私は人生の大きな決断に直面していました。いつものように、Claudeを開いて考えを声に出して整理し始めました。選択肢を並べたり、トレードオフを考慮したり、視点を求めたりしながら。

会話の途中で、私は立ち止まりました。どれだけ多くの情報を共有したかに気づきました。この決定だけでなく、数ヶ月間の会話のことです。個人的なジレンマ、健康に関する質問、財務の詳細、仕事の悩み、他の誰にも話していないことです。AI アシスタントとの率直さのレベルが、人生の大部分の人々とは違う関係を構築していました。

そしてその時、不快な考えが浮かびました。誰かがこれらすべてを読んでいたらどうしよう?

その考えは頭から離れませんでした。セキュリティ研究者として、その質問に答えるためのツールを持っています。

発見

私たちは、AIリスク検出エンジンのWingsに、AIチャットプラットフォームからの会話を読んで流出させる機能を持つブラウザ拡張機能をスキャンするよう依頼しました。私たちは、わずかなインストール数を持つ少数の曖昧な拡張機能を見つけることを期待していました。スケッチなしのパブリッシャー、いつもの容疑者。

結果は完全に異なるものでした。

リストの上部近くに:Urban VPN Proxy。600万人以上のユーザーを持つChrome拡張機能。58,000件のレビューから4.7つ星の評価。Google からの「おすすめ」バッジ。これはGoogleの手動レビューに合格し、Googleが説明する「ユーザー体験とデザインの高い基準」を満たしていることを意味します。

プライバシーとセキュリティを約束する無料VPN。オンラインで自分を守りたい人がインストールする典型的なツール。

私たちはさらに詳しく調べることにしました。

Image

発見内容

Urban VPN Proxyは10のAIプラットフォーム全体の会話をターゲットにしています:

  • ChatGPT
  • Claude
  • Gemini
  • Microsoft Copilot
  • Perplexity
  • DeepSeek
  • Grok (xAI)
  • Meta AI

各プラットフォームについて、拡張機能には会話を傍受してキャプチャするために設計された専用の「実行スクリプト」が含まれています。データ収集は、拡張機能の設定にハードコードされたフラグを通じてデフォルトで有効になります。

Image

これを無効にするためのユーザー向けのトグルはありません。データ収集を停止する唯一の方法は、拡張機能を完全にアンインストールすることです。

仕組み

データ収集はVPN機能とは独立して動作します。VPNが接続されているかどうかに関わらず、データ収集はバックグラウンドで継続的に実行されます。

技術的な詳細は以下の通りです:

1. AIプラットフォームへのスクリプト挿入

拡張機能はブラウザタブを監視します。ターゲットされたAIプラットフォーム(ChatGPT、Claude、Geminiなど)のいずれかにアクセスすると、「実行スクリプト」をページに直接挿入します。各プラットフォームには独自の専用スクリプト(chatgpt.js、claude.js、gemini.jsなど)があります。

Image

2. ネイティブブラウザ関数の上書き

挿入されると、スクリプトはfetch()とXMLHttpRequestをオーバーライドします。これらはすべてのネットワークリクエストを処理する基本的なブラウザAPIです。これは積極的な技術です。スクリプトは元の関数をラップするため、そのページのすべてのネットワークリクエストとレスポンスが拡張機能のコードを通じて最初に渡されます。

Image

つまり、Claudeがレスポンスを送信するとき、またはChatGPTにプロンプトを送信するときは、拡張機能がブラウザがレンダリングする前に生のAPIトラフィックを見ます。

3. 解析とパッケージング

挿入されたスクリプトは、傍受されたAPIレスポンスを解析して会話データを抽出します。プロンプト、AIの応答、タイムスタンプ、会話ID。このデータはwindow.postMessageを使用して拡張機能のコンテントスクリプトに送信され、PANELOS_MESSAGEという識別子でタグ付けされます。

Image

4. バックグラウンドワーカーを経由した流出

コンテントスクリプトはデータを拡張機能のバックグラウンドサービスワーカーに転送し、実際の流出を処理します。データは圧縮され、analytics.urban-vpn.comおよびstats.urban-vpn.comを含むエンドポイント経由でUrban VPNのサーバーに送信されます。

Image

キャプチャされるもの:

  • AIに送信するすべてのプロンプト
  • 受信するすべてのレスポンス
  • 会話識別子とタイムスタンプ
  • セッションメタデータ
  • 使用されるAIプラットフォームとモデル

タイムライン

AI会話の収集は常に存在していたわけではありません。分析に基づいて:

  • バージョン5.5.0より前:AI収集機能はありません
  • 2025年7月9日:デフォルトでAI収集が有効なバージョン5.5.0がリリースされました
  • 2025年7月~現在:対象のAIプラットフォームを持つすべてのユーザー会話がキャプチャおよび流出されました

ChromeとEdgeの拡張機能は、デフォルトで自動更新されます。Urban VPNをその目的のためにインストールしたユーザー(VPN機能)は、ある日目を覚ますと、新しいコードがAI会話を無音でハーベストしていました。

Image

2025年7月9日以降にUrban VPNがインストールされている間にChatGPT、Claude、Gemini、または他のターゲットプラットフォームを使用した人は、これらの会話がUrban VPNのサーバー上にあり、第三者と共有されていると考えるべきです。医療の質問、財務上の詳細、独自のコード、個人的なジレンマなど、すべてが「マーケティング分析の目的で」販売されました。

「AI保護」が実際に行うこと

Urban VPN ProxyのChrome Web Store リストは「AI保護」を機能として宣伝しています:

「高度なVPN保護-当社のVPNは、フィッシング詐欺、マルウェア、邪魔な広告、およびプロンプトを個人データ(メールアドレスや電話番号など)についてチェックし、AI チャット応答を疑わしいリンクや安全でないリンクをチェックし、クリックまたはプロンプト送信の前に警告を表示する機能を含むAI保護から閲覧体験を保護するために設計された追加のセキュリティ機能を提供します。」

フレーミングは、AIモニタリングがユーザーを保護するために存在することを示唆しています。誤って共有する可能性のある機密データをチェックしたり、応答内の疑わしいリンクについて警告したりします。

コードは別のストーリーを伝えています。データ収集と「保護」通知は独立して動作します。警告機能を有効または無効にすることは、会話がキャプチャおよび流出されるかどうかに影響しません。拡張機能は関係なくすべてをハーベストします。

Image

保護機能は、AIエンタープライズと機密データを共有することについての時折の警告を表示します。ハーベスト機能は、その正確な機密データを送信します-そしてそれ以外のすべて-Urban VPNの独自のサーバーに。ここでは広告主に販売されます。拡張機能は、ChatGPTとメール共有について警告しながら、同時に全会話をデータブローカーに流出させます。

さらに悪くなる

Urban VPN Proxyの行動を文書化した後、同じコードが他の場所に存在するかどうかをチェックしました。

存在しました。同じAIハーベスト機能は、同じパブリッシャーからのその他7つの拡張機能に表示されます。ChromeとEdge全体:

Chrome Web Store:

  • Urban VPN Proxy – 600万人のユーザー
  • 1ClickVPN Proxy – 60万人のユーザー
  • Urban Browser Guard – 4万人のユーザー
  • Urban Ad Blocker – 1万人のユーザー

Microsoft Edge Add-ons:

  • Urban VPN Proxy – 132万3,622人のユーザー
  • 1ClickVPN Proxy – 3万6,459人のユーザー
  • Urban Browser Guard – 1万2,624人のユーザー
  • Urban Ad Blocker – 6,476人のユーザー

影響を受けるユーザーの総数:800万人以上。

拡張機能は異なる製品カテゴリにまたがります。VPN、広告ブロッカー、「ブラウザガード」セキュリティツールですが、同じサーベイランスバックエンドを共有しています。広告ブロッカーをインストールするユーザーは、Claude会話が収集されていることを期待する理由がありません。

これらの拡張機能はすべて、それぞれのストアから「おすすめ」バッジを付けています。ただし、EdgeのUrban Ad Blockerを除きます。これらのバッジはユーザーに、拡張機能がレビューされ、プラットフォームの品質基準を満たしていることを示しています。多くのユーザーにとって、おすすめバッジは拡張機能をインストールするかどうかの違いです。GoogleとMicrosoftからの暗黙的な推奨です。

これの背後にいる人

Urban VPNはUrban Cyber Security Inc.によって運営されており、これはBiScience(B.I Science(2009)Ltd.)というデータブローカー企業と提携しています。

この会社は以前から研究者の注目を集めています。Secure AnnexのJohn Tucknerなどのセキュリティ研究者は、BiScienceのデータ収集慣行を以前に文書化しています。彼らの研究は、以下を確立しました:

  • BiScienceは数百万ユーザーからクリックストリームデータ(ブラウジング履歴)を収集します
  • データは永続的なデバイス識別子と結びついており、再識別を可能にします
  • 会社は第三者の拡張機能開発者にSDKを提供して、ユーザーデータを収集して販売します
  • BiScienceはAdClarityやClickstream OSなどの製品を通じてこのデータを販売しています

当社の発見は、この操作の拡大を示しています。BiScienceはブラウジング履歴の収集からAI会話全体の収集に移行しました。これは、より機密性の高いデータのカテゴリです。

プライバシーポリシーはデータフローを確認しています:

「私たちはウェブブラウジングデータを当社の関連会社と共有しています…BiScienceはこの生データを使用して、商業的に使用され、ビジネスパートナーと共有される洞察を作成しています」

開示の問題

公平に言うと、Urban VPNはこの一部を開示しています。どこを見つけるか知っていれば。

同意プロンプト(拡張機能セットアップ中に表示)は、拡張機能が「ChatAI通信」と「訪問ページ」および「セキュリティ信号」を処理することを言及しています。これは「これらの保護を提供するため」に行われると述べています。

Image

プライバシーポリシーは、ドキュメント内に深く埋め込まれているため、さらに進みます:

「AI入力と出力。ブラウジングデータの一部として、エンドユーザーによってクエリされるか、必要に応じてAIチャットプロバイダーによって生成されるプロンプトと出力を収集します。」

そして:

「また、マーケティング分析の目的でAIプロンプトを開示しています。」

ただし、Chrome Web Store リスト—ユーザーが実際にインストールするかどうかを決定する場所—は異なる図を示しています:

「この開発者は、あなたのデータが承認された使用例以外は第三者に販売されていないと宣言しています」

リストは拡張機能が「Web履歴」と「ウェブサイトのコンテンツ」を処理することに言及しています。AI会話については具体的には何も述べていません。

矛盾は重大です:

  1. 同意プロンプトはAIモニタリングを保護的にフレーミングしています。プライバシーポリシーは、データがマーケティングために販売されていることを明かします。
  2. ストア リストはデータが第三者に販売されていないと言っています。プライバシーポリシーはBiScience、「ビジネスパートナー」との共有と「マーケティング分析」の使用について説明しています。
  3. 2025年7月前にインストールしたユーザーは、更新された同意プロンプトを見たことはありません。AI収集はバージョン5.5.0で無音更新を通じて追加されました。
  4. 同意プロンプトを見るユーザーでさえ、細かいコントロールがありません。VPNを受け入れることはできますが、AI収集を辞退することはできません。すべてまたはなしです。
  5. データ収集が、VPNが接続されていないときや、AI保護機能が無効になっているときでさえ継続されていることをユーザーに示すものはありません。収集はユーザーが有効にしたかどうかに関わらず、バックグラウンドで無音実行されます。

Googleの役割

Urban VPN ProxyはChrome Web StoreのGoogleの「おすすめ」バッジを付けています。Googleのドキュメントによると:

「おすすめ拡張機能は、技術的なベストプラクティスに従い、ユーザー体験とデザインの高い基準を満たしています。」

「おすすめバッジを受け取る前に、Chrome Web Storeチームは各拡張機能をレビューする必要があります。」

つまり、Google の人がUrban VPN Proxyをレビューし、それが基準を満たしていると結論付けました。レビューがGoogleの独自のAI製品(Gemini)から会話をハーベストするコードを調べなかったか、調べてこれを問題と見なしませんでした。

Chrome Web Storeの限定使用ポリシーは、「広告プラットフォーム、データブローカー、その他の情報再販売業者などの第三者へのユーザーデータの転送または販売」を明確に禁止しています。BiScienceは、その独自の説明により、データブローカーです。

拡張機能は執筆時点で引き続きライブ機能です。

最終的な考え

ブラウザ拡張機能は信頼の独特な立場を占めています。バックグラウンドで実行され、ブラウジング活動への広範なアクセス権があり、質問なしで自動更新します。拡張機能がプライバシーとセキュリティを約束する場合、ユーザーはそれが反対のことをしていることを疑う理由がほぼありません。

このケースを注目すべきものにしているのは、単なるスケール(800万人ユーザー)やデータの機密性(完全なAI会話)ではありません。これらの拡張機能がレビューに合格し、おすすめバッジを獲得し、ユーザーがオンラインで生成する最も個人的なデータの一部を収集している間、数ヶ月間ライブのままであったということです。ユーザーを保護するために設計されたマーケットプレイスは代わりに、これらの拡張機能に承認のスタンプを与えました。

これらの拡張機能のいずれかがインストールされている場合は、すぐにアンインストールしてください。2025年7月以降に使用したAI会話は、キャプチャされ、第三者と共有されていると仮定してください。

このレポートはKoiのリサーチチームによって作成されました。

Koiは、まさにこのような脅威を検出するために構築されました。マーケットプレイスレビューを通過し、機密データを静かに流出させる拡張機能です。当社のリスクエンジンであるWingsは、ブラウザ拡張機能を継続的に監視して、チームに到達する前に脅威をキャッチします。

デモを予約するして、行動分析がどのように静的レビューで見逃した脅威をキャッチするかを確認します。

安全に過ごしてください。

IOCs

Chrome:

  • Urban VPN Proxy: eppiocemhmnlbhjplcgkofciiegomcon
  • Urban Browser Guard: almalgbpmcfpdaopimbdchdliminoign
  • Urban Ad Blocker: feflcgofneboehfdeebcfglbodaceghj
  • 1ClickVPN Proxy for Chrome: pphgdbgldlmicfdkhondlafkiomnelnk

Edge:

  • Urban VPN Proxy: nimlmejbmnecnaghgmbahmbaddhjbecg
  • Urban Browser Guard: jckkfbfmofganecnnpfndfjifnimpcel
  • Urban Ad Blocker: gcogpdjkkamgkakkjgeefgpcheonclca
  • 1ClickVPN Proxy for Edge: deopfbighgnpgfmhjeccdifdmhcjckoe

翻訳元: https://www.koi.ai/blog/urban-vpn-browser-extension-ai-conversations-data-collection

ソース: koi.ai
#AI会話監視 #BIScience #Chrome Web Store #Urban VPN Proxy #セキュリティリスク #データブローカー #データ流出 #プライバシー侵害 #ブラウザ拡張機能 #ユーザー同意

関連記事

Claudeがサイバー兵器となるときAI軍拡競争が始まった

野生の最初の悪意あるMCP:あなたのメールを盗んでいるPostmarkバックドア

目に見えないコードを使用した初の自己増殖ワーム、OpenVSXマーケットプレイスを襲う