セキュリティ

無料アンチウイルスソフト「Avast」がユーザーデータをGoogleやMicrosoftに販売していたことが明らかに

by poungsaed_eco

無料で使用可能な「Avast Antivirus」は、全世界で4億人の利用者を抱えるアンチウイルスソフトの定番です。そんなAvast Antivirusを提供しているセキュリティ企業Avast Softwareが、ユーザーの個人情報を収集して20社を超える企業に販売していたことが判明しました。

The Cost of Avast's Free Antivirus: Companies Can Spy on Your Clicks | PCMag
https://www.pcmag.com/news/the-cost-of-avasts-free-antivirus-companies-can-spy-on-your-clicks

Leaked Documents Expose the Secretive Market for Your Web Browsing Data - VICE
https://www.vice.com/en_us/article/qjdkq7/avast-antivirus-sells-user-browsing-data-investigation

技術系ニュースサイトのPC MagazineとMotherboardは2020年1月27日に、「共同調査により、Avastが無料のアンチウイルスソフト利用者のデータを他企業に販売していたことが分かりました」と発表しました。きっかけになったのは、Avast傘下のデータ販売会社Jumpshotから流出した内部文書です。Motherboardが入手した文書によると、JumpshotはAvast Antivirusが収集したユーザーのデータをさまざまな製品に作り替えて、複数の企業に販売していたとのこと。

Jumpshotの取引先企業には、GoogleやMicrosoftのほか、飲料メーカーのPepsi、レビューサイトYelp、住宅サービス会社Home Depot、広告やマーケティングを行うOmnicomなど、多種多様な業態の企業が名を連ねています。


また、これらの企業に販売されていたデータには、Googleでの検索ワード、Googleマップで検索した場所やGPS座標、Amazonでの購入履歴、SNSのLinkedInへの訪問履歴、YouTubeの特定のムービーの視聴履歴、YouPornやPornHubなどのポルノサイトの訪問履歴及び検索ワードといったデータが、ミリ秒単位のタイムスタンプとともに克明に記録されていたとのこと。

商品として販売されていたデータの中には、通販サイトで物品を購入した際のクリック情報もあります。例えば、以下のデータでは「abc123x」というIDのPCが、「Apple iPad Pro 10.5 256GB ローズゴールド」を2019年12月1日の12時3分5秒に、Amazon.comでカートに入れたことが分かります。


「abc123x」というデバイスIDがあるだけで氏名などはないので、一見すると匿名化されていて誰のデータか分からないようにも思えます。しかし、PC Magazineは「氏名やメールアドレス、IPアドレスには紐づけされていないものの、各ユーザー情報はデバイスIDという識別子に紐づけされています。このIDは他のサイトでのあらゆるアクティビティと照合することが可能なので、もはや匿名でもなんでもありません」と指摘しました。

Jumpshotは、Twitter上の宣伝で「あらゆる検索、あらゆるクリック、あらゆる購入を、あらゆるサイトで」とうたって、自社の製品がいかに網羅的に情報を収集しているかを誇示しています。


PC MagazineとMotherboardは、今回明らかになったJumpshotの取引先に問い合わせを行いましたが、GoogleやOmnicomは応答をせず、Microsoftも「当社とJumpshotは関わりがありません」と述べた以外はコメントを拒否。まともに取り合ったのはごく一握りでした。


Motherboardの問い合わせに応じた中の1社であるHome Depotの広報担当者は、「当社は、当社の営業や製品、サービスの改善のため、第三者のプロバイダーから得た情報を使用する場合があります。当社は、そうしたプロバイダーに対し、正当な権利を有する情報を当社と共有するよう要請しています。そのため、匿名化されたデータを受け取ることはありますが、個別の顧客を特定することはできません」と回答しました。

また、Yelpの広報担当者は「Yelpのポリシーチームは、反トラスト当局が2018年に行った調査の一環として、Googleの反競争的行動が各地域の検索市場に及ぼす影響を見積もるよう求められました。これに関連して、Googleがウェブトラフィックを収集しているという情報を検証するため、高いレベルのトレンドデータのレポートが必要になり、Jumpshotと一度限りの取引を行いました。個人を特定可能な情報については、要求もアクセスもしていません」と述べています。

一方、Avastは「ブラウザ履歴の収集はオプションです。ユーザーはいつでもJumpshotとの情報共有をオプトアウトすることが可能でした。また、2019年7月から、Avast Antivirusによるすべてのデータ収集について明示的にオプトインできる設定の実装を開始しています。これは2020年2月までには完了する予定です」と述べました。

以下は、Avast Antivirusのインストール時に表示されるオプション画面で、「Jumpshotが匿名のブラウザ履歴を収集することに同意するかどうか」を尋ねるというもの。しかし、PC Magazineは「データを組み合わせて、収集されたブラウザ履歴と自分のIDを紐付ける方法があることには触れられていません。それに、Jumpshotがデータを3年間保持することにも言及されていません」と指摘しています。


2019年12月にも、Avastやその子会社のAVGがFirefox向けにリリースしていたアドオン(拡張機能)が、MozillaによってFirefox公式のアドオンストアから削除されていたことが明らかになっています。アドオンは、2020年1月にアドオンストアで配布が再開されており、これについてAvastはMotherboardに対し、「ブラウザの拡張機能が収集した情報については、Jumpshotへの共有を停止しています」と述べています。

Mozillaが人気アンチウイルスソフト「Avast!」と「AVG」を削除した理由とは? - GIGAZINE

by Umair Anwar

AvastはPC MagazineとMotherboardに送付した声明の中で、「当社は、ユーザーのデバイスとデータをマルウェアから保護することについて、長きにわたる実績を持っています。ユーザーのプライバシーとデータ利用のバランスを取ることに責任を負っていることを認識し、真剣に取り組んでいます」と述べました。

一方、サンタクララ大学ハイテク法研究所に勤めるエリック・ゴールドマン氏は「データの匿名化はほとんど不可能です。ウイルス対策企業による情報収集は、ひどい商習慣といえます。彼らは、インターネット上の脅威からユーザーを保護すべきであって、ユーザーを脅威にさらすべきではありません」と述べて、情報を保護するはずのアンチウイルスソフトが情報を販売していたことを非難しました。

◆2020年1月30日 13:10追記
2020年1月29日にAvastから以下の声明が発表されました。

一部報道について
https://blog.avast.com/jp/our-commitment-to-responsible-data-use

声明によると、「弊社が個人を特定できる情報を第三者に販売した事実は一切ございません」「アバスト製品の利用に際し、ユーザーの皆様は常にデータ共有を許可、または拒否することができます。プライバシー設定は、[メニュー]→[設定]→[個人のプライバシー]で、いつでも変更することが可能です」とのことです。

この記事のタイトルとURLをコピーする

・関連記事
Mozillaが人気アンチウイルスソフト「Avast!」と「AVG」を削除した理由とは? - GIGAZINE

「Microsoft以外のウイルス対策ソフトは害悪なので入れるべきではない」とMozillaの元開発者が告白 - GIGAZINE

アンチウイルスソフト「Avast!」がライバルの「AVG」を1300億円で買収へ - GIGAZINE

Appleが収集するユーザーの個人情報はどんなものなのか?開示請求してみたらこうなった、という記録 - GIGAZINE

ユーザーの同意なくブラウジング履歴などの個人情報をプロバイダが広告主に売れるようになる可能性 - GIGAZINE

良心のため960億円の報酬を捨てたWhatsApp創業者ブライアン・アクトン、Facebookとの決別を語る - GIGAZINE

Google検索が明るみにする人々の秘密や欲望をムービーで解説 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1l_ks

You can read the machine translated English article here.