「無料VPNなんて存在しない」というあのミームをご存知ですか?究極の教訓となる逸話をご紹介します。
テルアビブに拠点を置くセキュリティ企業Koiによる最近の調査で、Google Chromeブラウザの任意拡張機能に関連した大規模なデータ収集活動が発覚しました。「Urban VPN Proxy」と呼ばれるこの無料拡張機能は、本稿執筆時点で約600万人のユーザーを抱え、Chromeウェブストアでは「おすすめ」バッジまで獲得しています。つまり、Google自身による推奨と言えるでしょう。
Koiの研究者Idan Dardikman氏によると、この拡張機能は一��般的なVPNの機能をはるかに超えています。内部には、OpenAIのChatGPT、AnthropicのClaude、GoogleのGemini、DeepSeek、xAIのGrokなど、主要なAIプラットフォームからの会話を傍受・キャプチャするために設計された「実行スクリプト」が詰め込まれています。
収集されるデータは、ユーザーが選択したAIチャットボットに尋ねる可能性のあるあらゆるものを含み、「医療に関する質問、財務情報、独自のコード、個人的なジレンマなど、すべてが『マーケティング分析目的』で販売される」とDardikman氏は述べています。
VPNのオン/オフに関わらず、Urban VPN Proxyは常に会話データをスクレイピングしています。このスクリプトはデフォルトで有効になっているため、拡張機能をダウンロードした瞬間から、チャットボットの会話は自由に収集できます。
さらに悪いことに、Forbesは、「これを無効にするためのユーザー向けのスイッチはありません。データ収集を停止する唯一の方法は、拡張機能を完全にアンインストールすることです。」と述べています。
Urban VPN Proxyを開発するUrban Cyber Security Incは、こうした点を隠そうとはしていません。Dardikman氏が指摘するように、同社のプライバシーポリシーには、「当社はウェブ閲覧データを関連会社であるBiScienceというデータブローカーと共有します。BiScienceは、この生データを使用して洞察を生み出し、それを商業的に利用し、ビジネスパートナーと共有します。」と明記されています。
にもかかわらず、Urban VPN ProxyのChromeウェブストアのページでは、「承認されたユースケース以外で、お客様のデータは第三者に販売されることはありません」、また「アイテムの主要機能と無関係な目的で使用または転送されることはありません」と宣言しています。
Urban VPN Proxyの600万人のユーザーにとっては驚くべき事実かもしれませんが、この手口を実行しているアプリはUrban VPN Proxyだけではありません。実際、Forbesによると、同じパブリッシャーによる7つのアプリが200万人以上のユーザーを抱えており、それぞれが「同一のAI収集機能」を備えています。そのうち1つを除くすべてのアプリには、Google Chromeウェブストアの「注目」バッジが表示されています。
KoiのDardikman氏は、「これらの拡張機能をインストールしている場合は、今すぐアンインストールしてください。2025年7月以降に行ったAIとの会話はすべて記録され、第三者と共有されていると想定してください」と述べています。
たとえあなたのアプリがこの会社によって開発されていないとしても、同様のスクレイピング許可について、それぞれのプライバシーポリシーを精査し始めるのが良いかもしれません。ダーディクマン氏が示したように、データ収集に関しては、すべてが不確実です。