800万人のユーザーのAI会話が「プライバシー」拡張機能によって営利目的で販売される

 (koi.ai)
2 ポイント 投稿者 GN⁺ 2025-12-17 | 1件のコメント | WhatsAppで共有
  • Urban VPN Proxy など8つのブラウザ拡張機能が、AIプラットフォーム上の会話内容を収集・販売していたことが確認された
  • これらの拡張機能は、ChatGPT、Claude、Gemini、Copilot など10のAIサービスの会話データを自動収集し、ユーザーがこれを無効化するオプションはない
  • データ収集はVPN機能とは無関係にバックグラウンドで継続的に実行され、すべてのプロンプト・応答・タイムスタンプ・セッション情報が送信される
  • 運営会社 Urban Cyber Security Inc. とその関連会社 BiScience は、当該データをマーケティング分析用として第三者に販売
  • Google と Microsoft の**「Featured」バッジの審査を通過した拡張機能が数か月間流通**しており、ユーザー保護体制の欠陥を露呈した

発見の経緯

  • Koi の Wings AI リスクエンジンが、AI会話データを外部へ送信しうるブラウザ拡張機能を探索した結果、予想に反して大規模なユーザーベースを持つ Urban VPN Proxy が上位に位置していた
  • Urban VPN Proxy は、600万人以上のユーザー4.7の評価Google の「Featured」バッジを持つ無料VPN拡張機能で、プライバシー保護をうたっている
  • 調査の結果、この拡張機能はAIプラットフォーム会話の盗聴機能をデフォルトで有効化した状態で配布されていた

収集方法

  • 拡張機能はVPN接続の有無に関係なく継続的にデータを収集する
  • ユーザーが ChatGPT、Claude、Gemini などのAIサイトにアクセスすると、**専用スクリプト(chatgpt.js、claude.js など)**を注入する
  • このスクリプトは fetch()XMLHttpRequest を再定義して、すべてのネットワークリクエストとレスポンスを横取りし、プロンプト・応答・会話ID・タイムスタンプを抽出する
  • 抽出されたデータは window.postMessage を通じてコンテンツスクリプトに渡され、その後 **バックグラウンドワーカーが Urban VPN のサーバー(analytics.urban-vpn.com など)**へ送信する
  • 収集項目には、すべての入力・出力、セッションのメタデータ、使用モデル情報が含まれる

バージョンのタイムライン

  • 5.5.0 以前のバージョンにはAI収集機能はない
  • 2025年7月9日に配布された 5.5.0 バージョンから、AI会話収集がデフォルトで有効化された
  • その後、自動更新によって既存ユーザーにも別途の同意なしでデータ収集コードが追加された
  • 2025年7月以降、Urban VPN をインストールした状態でAIサービスを利用したユーザーは、会話内容がサーバーに保存され、第三者と共有されたものとみなされる

「AI保護」機能の実態

  • 拡張機能の説明には、**「AI保護機能」**が個人情報の漏えいを防ぎ、危険なリンクを警告すると明記されている
  • しかし実際のコード分析の結果、警告機能とデータ収集機能は別々に動作しており、警告機能をオフにしても収集は続く
  • 拡張機能は、ユーザーがメールアドレスや電話番号を共有しようとすると警告する一方で、同時にそのデータを Urban VPN のサーバーへ送信していた
  • つまり、保護を装ったデータ抽出構造であることが確認された

同一コードの拡散

  • 同一のAI収集コードが他の7つの拡張機能でも発見された
    • Chrome: Urban VPN Proxy, 1ClickVPN Proxy, Urban Browser Guard, Urban Ad Blocker
    • Edge: 同じ4種
  • 合計800万人以上のユーザーが影響を受ける
  • これらの拡張機能は、VPN、広告ブロッカー、セキュリティ補助ツールなど異なるカテゴリに偽装されているが、共通の監視バックエンドを共有している
  • その大半がGoogle・Microsoft ストアの「Featured」バッジを保有しており、ユーザーの信頼を獲得した状態で流通していた

運営会社とデータの流れ

  • Urban VPN は Urban Cyber Security Inc. が運営しており、**データブローカー BiScience(B.I Science Ltd.)**と提携関係にある
  • BiScience は過去にもクリックストリームデータの収集と再販売でセキュリティ研究者の注目を集めていた
  • BiScience は AdClarityClickstream OS などの製品を通じて収集データを商用化している
  • 今回の事例は、閲覧履歴の収集からAI会話の収集へと拡張された形
  • プライバシーポリシーには、**「収集されたWeb閲覧データは BiScience に共有され、商業的インサイトに活用される」**と明記されている

ユーザー通知の問題

  • インストール時に表示される同意ポップアップには「ChatAI 通信処理」への言及があるが、AI会話収集の目的は明確に説明されていない
  • プライバシーポリシーには、**「AIの入力と出力データをマーケティング分析目的で開示する」**という文言が含まれている
  • 一方で、Chrome ウェブストアの説明には**「データは第三者に販売されない」**と明記されており、矛盾した情報提供になっている
  • 2025年7月以前にインストールしたユーザーは、新たな同意ポップアップを見ることなく、自動更新で収集機能が追加された
  • ユーザーにはAI収集だけを無効化する選択肢がなく、VPNをオフにしても保護機能を無効にしても、収集は継続する

Google の審査問題

  • Urban VPN Proxy は Google Chrome Web Store の「Featured」バッジを保有していた
  • Google はこのバッジについて、技術的ベストプラクティスと高いユーザー体験基準を満たした拡張機能に付与すると説明している
  • つまり、Google の手動審査を通過した状態でAI会話収集コードが含まれていたことになる
  • Chrome Web Store のポリシーは、データブローカーや広告プラットフォームへのユーザーデータ送信を禁止しているが、BiScience は自らをデータブローカーと定義している
  • それにもかかわらず、拡張機能は現在もストアに掲載されたまま

結論と勧告

  • ブラウザ拡張機能は、広範な権限と自動更新機能を持つため、高い信頼性が求められる
  • 今回の事例は、800万人規模の機微なAI会話データが「セキュリティ」の名目で収集・販売された事件
  • Google と Microsoft の審査体制が、ユーザー保護よりも信頼の錯覚に寄与した事例として指摘されている
  • ユーザーは Urban VPN および関連拡張機能を直ちに削除し、2025年7月以降のAI会話が第三者に共有された可能性を考慮すべきだ

IOC(Indicator of Compromise)

  • Chrome: Urban VPN Proxy (eppiocemhmnlbhjplcgkofciiegomcon), Urban Browser Guard (almalgbpmcfpdaopimbdchdliminoign), Urban Ad Blocker (feflcgofneboehfdeebcfglbodaceghj), 1ClickVPN Proxy (pphgdbgldlmicfdkhondlafkiomnelnk)
  • Edge: Urban VPN Proxy (nimlmejbmnecnaghgmbahmbaddhjbecg), Urban Browser Guard (jckkfbfmofganecnnpfndfjifnimpcel), Urban Ad Blocker (gcogpdjkkamgkakkjgeefgpcheonclca), 1ClickVPN Proxy (deopfbighgnpgfmhjeccdifdmhcjckoe)

関連記事

1件のコメント

 
GN⁺ 2025-12-17
Hacker Newsのコメント

  • 私は Mozillaの推奨拡張機能 だけを使うようにしている
    このプログラムには、Mozillaのセキュリティ専門家が直接コードレビューを行った拡張機能だけが含まれている
    Googleは人を雇いたがらないが、こういう領域は 自動スキャンではなく人の目 がどうしても必要だ
    Mozilla Recommended Extensions Program

    • ITの専門家やパワーユーザーならこうした対策を取れるが、一般ユーザーは派手な機能説明にだまされて悪意ある拡張機能をインストールしがちだ
      ソーシャルエンジニアリング攻撃 は技術的手段だけでは防げず、結局は一般ユーザーのセキュリティ意識が高まるか、あるいはコンピューティング機器がますます閉鎖的な構造になってしまう危険がある
    • さらに徹底するなら、XPIファイルを 自分で展開してコードレビュー するのも方法だ
      単純な機能の拡張なのにコードが過度に複雑なら疑うべきだ
      拡張機能が クローズドなブラックボックス に変わる瞬間が来たら逃げ時だ
    • ただ、Mozillaがすべての更新を毎回レビューしているのかは疑問だ
      一度だけ審査して、その後の更新で悪意ある機能を追加しても「推奨」バッジを維持できるなら危険だ
    • たいていのコードベースは数百万行あるので、手動レビューは事実上不可能
      TypeScriptのような言語でコンパイルされている場合、元のソースを手に入れてもビルド工程が複雑で検証が難しい
      悪意あるコードは決してmain.tsにはなく、深いライブラリチェーンの中に隠れている可能性が高い
    • 興味深いことに記事によれば、この拡張機能は実際に 手動レビューを通過した「Featured」バッジ を受けていたという

  • この拡張機能の背後にいる会社は Urban Cyber Security Inc. で、デラウェア州に登録された実在の法人のように見える
    住所と電話番号まで公開されている
    会社情報, 公式サイト, 事業登録情報
    見た目には非常に合法的に見えるので、もしかすると彼ら自身も被害者である可能性がある

    • ただし、こうした外見だけで 合法性を判断するのは危険
      数百ドルあればこうした法人は作れるし、バーチャルオフィスの住所と簡単なWebサイトだけでも十分それらしく見せられる
      インターネットで見える情報は常に疑うべきだ
    • Manhattan Virtual Officeを見るとニューヨークの住所はバーチャルオフィスで、
      The Mill Spaceのデラウェアの住所もコワーキングスペースだ
    • 実際、Urban VPNは BiScience というデータブローカー企業と関連している
      この企業は過去にも ユーザーのクリックストリームデータ収集 で研究者の注目を集めていた
      同じデータ収集機能が複数の拡張機能で見つかっており、無料サービスである点から見ても非常に怪しい
      「1回なら偶然、2回なら一致、3回なら敵対行為」という言葉を思い出す
    • 米国内の住所登録と電話番号の確保は月15ドルで可能で、法人設立も数百ドルあれば十分だ
    • 登録代理人の住所は実在の法律事務所の住所に似ているが、完全には一致していない
      参考リンク

  • Googleの審査チームが私の拡張機能の半分を却下しているのを見て驚いた
    Uber Driverアプリはバックグラウンドでの位置情報アクセスを常に許可しなければならないのに、設定で変更する方法がない
    関連フォーラム投稿

    • Googleが本気でユーザー保護を考えているなら、WhatsAppのようなアプリによる 継続的なマイク権限要求 を止めるべきだった
      Meta製アプリだけが「毎回確認」オプションを無視している
      Googleはユーザーより広告主のほうを気にしているようだ
    • おそらく「While using」権限にバックグラウンドでのナビゲーション実行が含まれるからだろう
      Appleの 開発者ドキュメント に説明がある
    • アプリの権限区分が曖昧な場合もある
      たとえばBluetooth接続だけが必要なのに、「位置データへのアクセス」権限を要求するようなものだ

  • ブラウザ拡張機能の 権限モデルは根本的に間違っている
    インストール時にすべての権限を一度に与えてしまい、その後の更新で何が起きるか分からない
    iOSのような ランタイム権限要求 が必要だ
    「Recommended」バッジはその場しのぎにすぎず、「すべてのサイトのデータを読み取り・変更する」権限が必要な拡張機能はそもそも存在すべきではない

    • 現状では特定の1サイトか全サイトかのどちらかしか選べず、極端すぎる
      一部のサイトにしか適用されない拡張機能でも、全サイトへのアクセス権限を要求する
      2025年ごろには、もっと細かい サンドボックスベースの権限モデル が必要だと思う

  • 「数週間前、人生の重要な決断をするときにClaudeを開いた」という一文を見て驚いた
    本当に私たちはそういう時代に生きているのだと思う

    • 昔はくじ引きで決断していたのに、今では 理解能力のない予測器 に任せる時代になった
      人間は思考の混乱を避けるため、ますますAIに依存するようになっている
    • 考えを文章にしないと整理できない人もいる
      その意味では、彼らの脳は LLMのように動作している とも言える
    • 私にはAIに決断を任せるのは狂気じみて感じる
      Claudeを2回使ってみたが、あまり役に立たなかった
      DuckDuckGoのAI要約をたまに使う程度だ
    • ただ、HBRの調査によれば、ChatGPTの 最も一般的な用途は「セラピー/話し相手」 だという
      出典
    • 人生の決断をAIに任せるのは愚かだが、考えを整理して問いを立てるための道具 としては有用だ

  • 過去にBiScienceの トラッキング行為 を直接見たことがあるので、今回の件も驚きではない
    以前のCyberhaven拡張機能ハッキング事件でも言及されていた
    関連ブログ 1, 関連ブログ 2

  • なぜそんなに多くの人が 無料VPNを信頼する のか理解できない
    「すべてのトラフィックを私たちに任せてください、私たちは無料です」だなんて、絶対にお断りだ

    • ISPは政府の要請に応じてすべての接続記録を提供するが、MullvadのようなVPN はKYCなしで運営されており、実際に捜索令状でも顧客データは流出しなかった
      関連事例
    • ISPもすべてのトラフィックを処理するのでVPNと変わらない
      だからこそ TLSが存在する
      インターネットトラフィックは基本的に盗聴されているものと考えるべきだ
    • 一部の低所得国ではアクセス制限のため無料VPNを使わざるを得ない
      だが個人的には Mullvad/IVPN/ProtonVPN 以外は信頼しない
    • 大半は単にブロックされたコンテンツ(トレント、成人向け、ギャンブルなど)を見るために無料VPNを使う
      こういう人たちは長期契約を避けるために「無料VPN」と検索してそのままインストールする
      実際、こういう習慣は 拡張機能の乱用 にも似ている
    • それでもTLSのおかげで銀行情報まで抜かれることはない

  • Googleはこうした拡張機能を もっと徹底的に審査し、削除すべき
    信頼性が核心であり、LastPassやWardのような拡張機能には実際に価値がある
    公開の拡張機能セキュリティディレクトリ のような仕組みが必要だ

    • ただ、コードレビューでこうした問題を捕まえられるのかは疑問だ
      拡張機能が「AI保護ツール」と称してデータを収集するのは、機能としては一貫している
      問題はコードではなく、ポリシーとデータ活用のやり方
    • 自動化された審査だけでは限界がある
      一定数以上のインストールがあれば 人が直接レビュー すべきだが、Googleはこうした方式を好まない
    • Googleが本当にコードレビューをしているのかも疑わしい
    • コードレビューでは、その後ユーザーの会話データがどう使われるかは分からない

  • Manifest V3がChrome拡張機能をより安全にすると聞いていたが、本当にそうなのか疑問だ

    • それでもManifest V3のおかげでコードが拡張機能内部に含まれるようになり、外部スクリプトの読み込みを防げるようになった
      以前はこうした検知は不可能だった
    • しかし結局は「彼らはどうやって金を稼いでいるのか?」という問いに戻る

  • 今回の件はシステムがハッキングされたのではなく、最初から詐欺的な拡張機能 だった
    昔はGreasemonkeyでカスタマイズを楽しんでいたが、今はPrivacy BadgerやUblock Originのような オープンソース拡張機能 しか信頼しない
    それでもなお、リスクは存在する