人気のGoogle Chrome ブラウザ拡張機能が、ユーザーが大手AIツールのほとんどに入力した内容をすべて収集し、チャットボットの応答も収集していることが判明しました。これらはすべて、所有者に数ドルの利益をもたらすためだと思われます。
Urban VPN Proxyは600万回以上インストールされており、Google Chromeウェブストアで4.7/5の評価を受けています。また、Microsoft Edgeアドオンマーケットプレイスでは、さらに130万回インストールされています。
以前は、ユー�ザーの実際のIPアドレスを隠し、ジオブロックやその他のさまざまな制限を回避することで、通常のVPNとして機能していました。しかし、Koiのセキュリティ研究者が発見した、2025年7月9日に拡張機能がバージョン5.5.0にアップデートされ、AIによるデータ収集がデフォルトで導入されました。
プライバシーポリシーの更新
ChatGPT、Anthropic Claude、Microsoft Copilot、DeepSeek、Google Gemini、Grok、Meta AI、Perplexityにユーザーが入力した内容に加え、これらのツールから返される内容も収集されます。さらに、この拡張機能は会話識別子、タイムスタンプ、セッションメタデータ、使用されたAIプラットフォームとモデルも抽出します。
この拡張機能を開発しているUrban Cyber Security社は、その実態を隠そうとはせず、プライバシーポリシー文書の中で「匿名化」されたデータを収集し、傘下のBIScienceと共有していることを明記しています。
この会社は、広告インテリジェンスおよびブランドモニタリング関連の組織です。つまり、大規模かつ匿名化されたオンライン行動を分析し、企業が広告のパフォーマンス、消費者行動、競合他社の動向を把握できるよう支援しています。
Urbanは個人を特定できるデータを削除し、機密情報を共有しないよう最善を尽くしていると述べていますが、これは保証できないことを強調しています。
プライバシーポリシーには、「ただし、この処理の目的は個人情報や個人を特定できるデータの収集ではなく、すべての機密情報や個人情報の削除を完全に保証することはできません。当社は、プロ��ンプトを通じてお客様が送信する可能性のある識別子や個人データをフィルタリングまたは削除し、データを匿名化して集約するための措置を講じています」と記載されています。
Koiの研究者によると、同じ会社が複数の拡張機能(1ClickVPN Proxy、Urban Browser Guard、Urban Ad Blocker)を所有しており、すべて同じデータを収集しています。