PCを安全に使用するためのセキュリティソフトが重大な脆弱性を抱えていたことをGoogleが発見

インターネットを安全に使用するために、多くの人たちがセキュリティツールを使用しています。そんなセキュリティツールのひとつが、重大な脆弱性を抱えていることをGoogleの研究者が発見しました。

Google finds AVG Chrome extension to bypass malware checks, possibly exposing browsing data
http://www.neowin.net/news/google-finds-avg-chrome-extension-to-bypass-malware-checks-possibly-exposing-browsing-data

1991年にオランダで設立されたセキュリティソフトメーカー「AVG」が提供している無料で使えるブラウザ向けのセキュリティツールが「AVG Web TuneUp」です。これはWindows XP、Vista、7のChromeおよびFirefoxで使用できる拡張機能で、ブラウザを高速化し、危険なサイトをユーザーに警告したりウェブトラッカーをブロックしたりできます。なお、「AVG Web TuneUp」は同じAVGが提供している検索エンジンの「AVG Secure Search」をデフォルトの検索エンジンに推奨してくる模様。

AVG セキュリティソフト | アンチウイルスソフト | Web TuneUp

この「AVG Web TuneUp」のChrome拡張機能は、世界中で約900万ものアクティブユーザーが使用しているそうですが、Googleの研究者であるTavis Ormandy氏はこの機能に重大な脆弱性が存在していることを発見しました。

Ormandy氏によると、AVGのアンチウイルスソフトである「AVG アンチウイルス」をインストールすると、Chrome拡張機能の「AVG Web TuneUp」が強制的にインストールされます。GoogleはChrome Web Store以外にホストされているChrome拡張機能のブロックを実施していますが、AVG アンチウイルスをインストールすると複数のJavaScript APIがChromeに追加され、このAPIがChromeに備わっているマルウェアチェックを回避して「AVG Web TuneUp」をインストールしてしまいます。

「AVG Web TuneUp」はユーザーが訪れようとするウェブサイトのURLをAVGのサーバーに送信し、悪意のあるサイトを閲覧しようとしていないかチェックするのですが、悪意のある第三者がこの情報を盗み見ることが可能となっており、「クロスサイトスクリプティング」のような攻撃のターゲットになる可能性も指摘されました。

AVGはこれらの指摘を受けて、緊急のバグフィックスを実施したことを明らかにしています。AVGでセキュリティ管理にあたるTony Anscombe氏は「問題に気づいてから、フィックスを公開することを最優先に取り組んできた」と述べたそうで、ソフトウェアの安全性を確保するプロセスを見直していることも明らかにしました。しかし、Ormandy氏はAVGが公開した最初のフィックスは「中間者攻撃を受ける恐れがある」と主張しています。

By Donnie Ray Jones

一連の騒動に対して海外ニュースメディアのNeowinは「『AVG Web TuneUp』は表向きはセキュリティツールとして提供されているが、実際は検索クエリをAVGの自サイトに流すことで利益を得ている」と、「AVG Web TuneUp」を痛烈に批判。また、AVGは数ヶ月前にプライバシーポリシーを変更しており、この際に「ユーザーの検索履歴やクエリをサードパーティーに売却する」と、ユーザーの個人情報利用に関する項目を変更したことも指摘しています。

なお、AVGのプライバシーポリシーは以下からチェック可能です。

プライバシー ポリシー | ユーザーのプライバシー保護に全力で取り組んでいます | AVG

ユーザーのデータは共有されますか?

はい。しかし、共有される場合と方法は、それが個人データまたは非個人データのいずれであるかにより異なります。 AVG は非個人データをサードパーティと共有し、 集約された情報または匿名情報を公開することがあります。

弊社がユーザーの個人情報をサードパーティに販売または賃貸することはありません。

「ユーザーの個人情報を販売することはない」とされていますが、非個人データをサードパーティと共有することはある模様。検索履歴や検索クエリはこの非個人データに属する、ということのようです。