レポート 6825

関連インシデント

インシデント 13563 Report
Urban VPN Proxy Browser Extension Reportedly Harvested and Sold Private AI Chatbot Conversations via Silent Update

Loading...
800万人のユーザーのAI会話が「プライバシー」拡張機能によって営利目的で販売される
koi.ai · 2025

数週間前、私は人生の大きな決断に頭を悩ませていました。いつものように、Claudeを開いて、考えを声に出して書き始めました。選択肢を並べ、トレードオフを比較検討し、相手の視点を求めました。

会話の途中で、私は立ち止まりました。自分がどれだけ多くのことを共有してきたかに気づきました。この決断だけでなく、何ヶ月にもわたる会話――個人的なジレンマ、健康上の疑問、金銭面の詳細、仕事の不満など、誰にも話せなかったこと――。AIアシスタントには、人生でほとんどの人には決してできないほど率直に話せるようになっていたのです。

そして、ふと、ある不安な考えが頭から離れませんでした。「もし誰かがこれを全部読んでいたら?」

その考えは消えませんでした。セキュリティ研究者として、私はその疑問に答えるためのツールを持っているからです。

発見

私たちは、エージェントAIリスクエンジンであるWingsに、AIチャットプラットフォームの会話を読み取り、盗み出す機能を持つブラウザ拡張機能をスキャンするよう依頼しました。インストール数が少ない、怪しい発行元など、お決まりの、あまり知られていない拡張機能がいくつか見つかるだろうと予想していました。

結果は、全く異なるものでした。

リストの上位に表示されていたのは、Urban VPN Proxyです。600万人以上のユーザーを抱えるChrome拡張機能で、58,000件のレビューで4.7つ星の評価を獲得しています。Googleの「おすすめ」バッジも付いており、これは手動審査を通過し、Googleが「高いユーザーエクスペリエンスとデザイン基準」と表現する基準を満たしていることを意味します。

プライバシーとセキュリティを約束する無料VPN。まさに、オンラインで自分を守りたい人がインストールするツールと言えるでしょう。

さらに詳しく調べてみることにしました。

Google が推奨し、信頼を得ている

調査結果

Urban VPN Proxy は、10 種類の AI プラットフォームの会話に対応しています。

  • ChatGPT
  • Claude
  • Gemini
  • Microsoft Copilot
  • Perplexity
  • DeepSeek
  • Grok (xAI)
  • Meta AI

各プラットフォーム向けに、会話を傍受・キャプチャするための専用の「executor」スクリプトが含まれています。データ収集は、拡張機能の設定にハードコードされたフラグによってデフォルトで有効になっています。

これを無効にするためのユーザー向けの切り替えスイッチはありません。データ収集を停止する唯一の方法は、拡張機能を完全にアンインストールすることです。

仕組み

データ収集はVPN機能とは独立して動作します。VPN接続の有無にかかわらず、データ収集はバックグラウンドで継続的に実行されます。

技術的な詳細は次のとおりです。

  1. AIプラットフォームへのスクリプトインジェクション

拡張機能はブラウザのタブを監視します。標的のAIプラットフォーム(ChatGPT、Claude、Geminiなど)にアクセスすると、ページ内に「executor」スクリプトが直接挿入されます。各プラットフォームには、chatgpt.js、claude.js、gemini.jsなど、専用のスクリプトが用意されています。

  1. ネイティブブラウザ関数のオーバーライド

挿入されたスクリプトは、すべてのネットワークリクエストを処理する基本的なブラウザAPIであるfetch()とXMLHttpRequestをオーバーライドします。これは非常に攻撃的な手法です。このスクリプトは元の関数をラップすることで、そのページ上のすべてのネットワークリクエストとレスポンスが拡張機能のコードを最初に通過するようにします。

つまり、Claude がレスポンスを送信したり、ユーザーが ChatGPT にプロンプトを送信したりすると、ブラウザがレンダリングする前に、拡張機能は生の API トラフィックを参照します。

3. 解析とパッケージ化

挿入されたスクリプトは、傍受した API レスポンスを解析し、会話データ(ユーザーのプロンプト、AI のレスポンス、タイムスタンプ、会話 ID)を抽出します。このデータはパッケージ化され、window.postMessage 経由で拡張機能のコンテンツスクリプトに送信され、PANELOS_MESSAGE という識別子がタグ付けされます。

4. バックグラウンドワーカーによるデータ流出

コンテンツスクリプトは、拡張機能のバックグラウンドサービスワーカーにデータを転送し、実際のデータ流出処理を行います。データは圧縮され、analytics.urban-vpn.com や stats.urban-vpn.com などのエンドポイントにある Urban VPN のサーバーに送信されます。

収集される情報:

  • AIに送信するすべてのプロンプト
  • 受信したすべての応答
  • 会話識別子とタイムスタンプ
  • セッションメタデータ
  • 使用されたAIプラットフォームとモデル

タイムライン

AIによる会話収集は、常に行われていたわけではありません。当社の分析に基づくと、以下のようになります。

  • バージョン 5.5.0 より前:AI 収集機能なし
  • 2025年7月9日:AI 収集機能がデフォルトで有効になったバージョン 5.5.0 がリリース
  • 2025年7月 - 現在:標的の AI プラットフォームとのすべてのユーザー会話がキャプチャされ、外部に漏洩

Chrome および Edge の拡張機能はデフォルトで自動更新されます。Urban VPN をその本来の目的である VPN 機能のためにインストールしたユーザーは、ある日突然、AI 会話を密かに収集する新しいコードに遭遇しました。

Urban VPN Proxy に関する Koidex レポート

2025年7月9日以降に Urban VPN がインストールされている間に ChatGPT、Claude、Gemini などの標的プラットフォームを利用した方は、それらの会話が Urban VPN のサーバーに保存され、第三者と共有されていると想定する必要があります。医療に関する質問、財務情報、独自のコード、個人的な悩みなど、すべてが「マーケティング分析目的」で販売されています。

「AI保護」の実際の機能

Urban VPNのChromeウェブストアのリスティングでは、「AI保護」を機能として次のように宣伝しています。

「高度なVPN保護 - 当社のVPNは、フィッシング攻撃、マルウェア、煩わしい広告からブラウジング体験を保護するための追加のセキュリティ機能を提供します。また、AI保護機能は、個人情報(メールアドレスや電話番号など)の入力を促すプロンプトをチェックし、AIチャットの応答に疑わしいリンクや安全でないリンクがないかチェックし、プロンプトをクリックまたは送信する前に警告を表示します。」

この文面からは、AI監視はユーザーを保護するために存在していると示唆されています。つまり、ユーザーが誤って共有してしまう可能性のある機密データをチェックし、応答内の疑わしいリンクについて警告するのです。

コードは別のことを示しています。データ収集と「保護」通知は独立して動作します。警告機能を有効または無効にしても、会話がキャプチャされ、外部に持ち出されるかどうかには影響しません。この拡張機能は、すべての情報を収集します。

「先生、それが私が信用できない理由です」

保護機能は、AI企業と機密データを共有することに関して時折警告を表示します。収集機能は、まさにその機密データとその他のすべてのデータをUrban VPNのサーバーに送信し、そこで広告主に販売します。拡張機能は、ChatGPTとメールアドレスを共有することに関して警告すると同時に、会話全体をデータブローカーに漏洩します。

さらに悪化

Urban VPN Proxyの動作を記録した後、同じコードが他の場所に存在するかどうかを確認しました。

存在しました。同一のAI収集機能は、ChromeとEdgeの両方で、同じパブリッシャーによる7つの拡張機能にも存在します。

Chromeウェブストア:

  • Urban VPN Proxy - ユーザー数 600万人
  • 1ClickVPN Proxy - ユーザー数 60万人
  • Urban Browser Guard - ユーザー数 4万人
  • Urban Ad Blocker - ユーザー数 1万人

Microsoft Edgeアドオン:

  • Urban VPN Proxy - ユーザー数 132万3622人
  • 1ClickVPN Proxy - ユーザー数 3万6459人
  • Urban Browser Guard - ユーザー数 1万2624人
  • Urban Ad Blocker - ユーザー数 6476人

影響を受けるユーザー総数:800万人以上

これらの拡張機能は、VPN、広告ブロッカー、「ブラウザガード」セキュリティツールなど、異なる製品カテゴリーにまたがっていますが、監視バックエンドは同じです。広告ブロッカーをインストールしたユーザーが、Claudeとの会話が収集されていると考える理由はありません。

Urban Ad Blocker for Edge を除く、これらの拡張機能はすべて、それぞれのストアから「おすすめ」バッジを取得しています。これらのバッジは、拡張機能が審査済みであり、プラットフォームの品質基準を満たしていることをユーザーに知らせます。多くのユーザーにとって、おすすめバッジは、拡張機能をインストールするかインストールしないかの違いであり、Google と Microsoft からの暗黙の承認を意味します。

背後にいるのは誰か

Urban VPN は、データブローカー企業である BiScience (B.I Science (2009) Ltd.) と提携している Urban Cyber Security Inc. によって運営されています。

この企業は以前から研究者の注目を集めていました。Secure Annex の John Tuckner 氏をはじめとするセキュリティ研究者は、以前から BiScience のデータ収集方法について文書化しています。調査の結果、以下のことが明らかになりました。

  • BiScience は数百万人のユーザーからクリックストリームデータ(閲覧履歴)を収集しています。
  • データは永続的なデバイス識別子に紐付けられており、再識別が可能です。
  • 同社は、ユーザーデータを収集・販売するための SDK をサードパーティの拡張機能開発者に提供しています。
  • BiScience は、AdClarity や Clickstream OS などの製品を通じてこのデータを販売しています。

今回の調査結果は、この活動の拡大を示しています。BiScience は、閲覧履歴の収集から、より機密性の高いデータカテゴリーである AI 会話全体の収集へと移行しています。

プライバシーポリシーは、データの流れを次のように示しています。

「当社は、Web 閲覧データを関連会社である BiScience と共有します。BiScience は、この生データを使用して洞察を生み出し、商業的に利用し、ビジネスパートナーと共有します。」

開示に関する問題

公平を期すために言うと、Urban VPN は、どこを見ればわかるかという点において、こうした情報の一部を開示しています。

拡張機能の設定時に表示される同意プロンプトには、拡張機能が「ChatAI 通信」に加えて、「アクセスしたページ」と「セキュリティシグナル」を処理すると記載されています。これは「これらの保護を提供するため」に行われていると明記されています。

スクリーンショット:Urban VPN の同意プロンプト

プライバシーポリシーでは、さらに詳細な記述が文書の奥深くに埋もれています。

「AI の入力と出力。閲覧データの一部として、エンドユーザーが問い合わせたプロンプトと出力、または AI チャットプロバイダーによって生成されたプロンプトと出力を収集します。」

さらに、

「当社は、マーケティング分析の目的で AI プロンプトも開示します。」

しかし、Chromeウェブストアのリスティング(ユーザーが実際にインストールするかどうかを決定する場所)には、異なる見解が示されています。

「このデベロッパーは、承認されたユースケース以外では、ユーザーのデータが第三者に販売されないことを宣言します」

リスティングには、この拡張機能が「ウェブ履歴」と「ウェブサイトのコンテンツ」を処理すると記載されていますが、AIとの会話については具体的には何も述べられていません。

これらの矛盾は重大です。

  1. 同意プロンプトでは、AIによる監視は保護的な目的であるとされています。プライバシーポリシーでは、データがマーケティング目的で販売されることが示されています。

  2. ストアのリスティングでは、データは第三者に販売されないと記載されています。プライバシーポリシーでは、BiScience、「ビジネスパートナー」との共有、および「マーケティング分析」への使用について説明されています。

  3. 2025年7月以前にインストールしたユーザーは、更新された同意プロンプトを目にしたことがありません。AIによるデータ収集は、バージョン5.5.0のサイレントアップデートで追加されたものです。

  4. 同意プロンプトが表示されたユーザーであっても、詳細な制御はできません。VPNの使用を許可しながらAIによるデータ収集を拒否することはできません。すべてかゼロかのどちらかです。

  5. VPNが切断され、AI保護機能がオフになっている場合でも、データ収集が継続していることをユーザーに通知する手段はありません。ユーザーがどの機能を有効にしているかに関係なく、データ収集はバックグラウンドで静かに実行されます。

Googleの役割

Urban VPN Proxyは、ChromeウェブストアでGoogleの「おすすめ」バッジを取得しています。Googleのドキュメントによると、

「おすすめ拡張機能は、我々の技術的なベストプラクティスに準拠し、ユーザーエクスペリエンスとデザインの高い基準を満たしています。」

「おすすめバッジを取得するには、Chromeウェブストアチームによる審査が必要です。」

これは、Googleの担当者がUrban VPN Proxyを審査し、Googleの基準を満たしていると結論付けたことを意味します。審査では、Google独自のAI製品(Gemini)から会話情報を収集するコードについては審査されなかったか、審査されたが問題とは見なされなかったかのどちらかです。

Chrome ウェブストアの限定使用ポリシーでは、「広告プラットフォーム、データブローカー、その他の情報再販業者などの第三者へのユーザーデータの転送または販売」が明確に禁止されています。BiScience は、その説明によればデータブローカーです。

この拡張機能は、本稿執筆時点では引き続き公開されており、おすすめとして掲載されています。

まとめ

ブラウザ拡張機能は、信頼という点で独特の地位を占めています。バックグラウンドで動作し、ユーザーの閲覧履歴に広範囲にアクセスでき、確認なしに自動更新されます。拡張機能がプライバシーとセキュリティを約束している場合、ユーザーがその約束を破っていると疑う理由はほとんどありません。

この事例が注目に値するのは、規模(800万人のユーザー)やデータの機密性(AIとの完全な対話)だけではありません。これらの拡張機能が審査を通過し、「おすすめ」バッジを獲得し、ユーザーがオンラインで生成する個人データの中でも特に重要なデータを収集しながら、数ヶ月間も公開されていたという事実です。ユーザー保護を目的として設計されたマーケットプレイスが、これらの拡張機能に承認を与えたのです。

これらの拡張機能をインストールしている場合は、今すぐアンインストールしてください。 2025年7月以降に行われたAIとの会話はすべて記録され、第三者と共有されていると想定してください。

この記事はKoiの研究チームによって執筆されました。

Koiはまさにこうした脅威、つまりマーケットプレイスのレビューをすり抜け、機密データを密かに盗み出す拡張機能を検出するために開発されました。KoiのリスクエンジンであるWingsは、ブラウザ拡張機能を継続的に監視し、脅威がチームに到達する前に捕捉します。

デモを予約 して、静的レビューでは見逃されるものを行動分析がどのように検出するかをご確認ください。

安全にお過ごしください。

IOC

Chrome:

  • Urban VPN プロキシ: eppiocemhmnlbhjplcgkofciiegomcon
  • Urban ブラウザガード: almalgbpmcfpdaopimbdchdliminoign
  • Urban 広告ブロッカー: feflcgofneboehfdeebcfglbodaceghj
  • Chrome 用 1ClickVPN プロキシ: pphgdbgldlmicfdkhondlafkiomnelnk

Edge:

  • Urban VPN プロキシ: nimlmejbmnecnaghgmbahmbaddhjbecg
  • Urban ブラウザガード: jckkfbfmofganecnnpfndfjifnimpcel
  • Urban 広告ブロッカー: gcogpdjkkamgkakkjgeefgpcheonclca
  • Edge 用 1ClickVPN プロキシ: deopfbighgnpgfmhjeccdifdmhcjckoe
情報源を読む