Home - blog - Chromeのおすすめ・認証済み拡張機能がAI対話データを収集(VPN、広告ブロック)

Chromeのおすすめ・認証済み拡張機能がAI対話データを収集(VPN、広告ブロック)

최종 업데이트 :
コメント 0 コメント
Contents

またも無料VPNによる個人情報収集が発覚

Chrome拡張機能(Extensions)が密かにユーザーのAI対話内容を傍受

このニュースを把握するのが遅くなりましたが、本日共有します。無料VPNプロバイダーは有料プランへの転換率が非常に低いため、加入者からの収益だけで運営を維持するのは困難です。そうなると、彼らの選択肢は2つしかありません。廃業するか、あるいは別の方法で収益を得る機会を狙うかです。

中小規模のVPN業者が独自の収益モデルを構築するのは難しく、利益を出すのはさらに至難の業です。業界トップ10に入るような業者でさえ様々な試行錯誤を続けていますが、市場においてユーザーから毎月料金を回収できるサービスは、現実的に極めて稀です。

知名度の低い会社となると、もはや絶望的と言わざるを得ません。無料VPNのランキング争いに踏み止まりながら、初心者ユーザーを最大限に集め、数パーセントでも有料プランへ誘導する以外に、これといった解決策は見当たらないのが現状です。

問題となったChrome拡張機能

今回、Koi Securityの研究チームによって特定された問題のChrome拡張機能は、計4つです。

  • Urban VPN Proxy
  • Urban Browser Guard
  • Urban Ad Blocker(削除済み)
  • 1ClickVPN Proxy:1ClickVPNという名称で2つ存在していましたが、末尾にProxyが付いていない方の動向は不明です。ただ、後述する本家の1ClickVPNも警戒が必要です。

3つの「Urban」ブランドは、米国デラウェア州に拠点を置く**Urban Cyber Security**の製品です。

ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、DeepSeek、Grok (xAI)、Meta AIなど、現在世界中で利用されている主要なAIプラットフォームにおける対話内容がすべて収集されていたとのことです。一介の無料VPN会社にこれほどまでのことが可能であれば、私たちが知らないだけで拡張機能ストアは地雷原であると考えて間違いありません。

さらに呆れるのは、依然としてUrban VPN ProxyがChromeウェブストアでダウンロード可能な状態にあることです。問題のコードは修正されたのでしょうが、これで済む話なのでしょうか。

特にUrban VPNの場合、事件が発覚する前はChromeストアで「Featured(おすすめ)」アプリとして配布されていました。過去のレビュー記事にもその事実が残っています。

収集されたデータの内容

  • 個人識別情報
    • 例:氏名、住所、メールアドレス、年齢、個人識別番号
  • 財務および決済情報
    • 例:取引内容、クレジットカード番号、信用格付け、財務諸表、決済履歴
  • 位置情報
    • 例:地域、IPアドレス、GPS座標、周辺機器に関する情報。および閲覧履歴(訪問したWebページ一覧、タイトル、訪問時刻など)
  • ユーザーのアクティビティ
    • 例:ネットワーク監視、クリック数、マウス位置、スクロール、キー入力ロギング
  • Webサイトのコンテンツ
    • 例:テキスト、画像、音声、動画、ハイパーリンク

もはや言葉もありません。

拡張機能によるデータ収集の手法

  • データ収集はVPN接続の有無に関わらず、バックグラウンドで継続的に実行
  • ユーザーがChatGPT、Claude、GeminiなどのAIプラットフォームにアクセスした際、プラットフォームごとの実行スクリプトを挿入
  • 挿入されたスクリプトがブラウザのネットワークAPI(fetch, XMLHttpRequest)を再定義し、すべてのAPIリクエスト・レスポンスを傍受
  • 傍受したデータからプロンプト(質問)、AIの回答、タイムスタンプ、対話IDなどを抽出・パッケージ化
  • window.postMessage (PANELOS_MESSAGE 識別子) を介してコンテンツスクリプトへデータを転送
  • バックグラウンドのサービスワーカーがデータを圧縮し、Urban VPNのサーバー(analytics.urban-vpn.com, stats.urban-vpn.com など)へ送信

身を守るための盾(ツール)は慎중な選択を

ユーザーを守ると謳いながら個人情報を収集・販売してきたソフトウェアの歴史は長く、かつてはアンチウイルスソフト会社が露骨にデータを収集していた時期もありました。現在もVPNや広告ブロック、各種セキュリティ拡張機能がこのような問題を起こしている現状、私たちは細心の注意を払わなければなりません。

私は、業界で十分に検証され認められている企業のものか、あるいはオープンソースを最大限活用するようにしています。ユーザー側にできることは、慎重な選択以外にありません。

以前公開した「無料VPNの危険性」についての記事もぜひ読んでみてください。こうした手口は、過去から絶え間なく繰り返されてきたことなのです。

아직 댓글이 없습니다

댓글 남기기