有名アンチウィルスソフト "Avast" が Web 閲覧データなどの機微情報を子会社を通じて販売=ポルノ視聴から Amazon 購入履歴まで
「ウイルス対策ソフトこそがウイルスだ」という話は皮肉を込めてよく耳にする。ウイルスソフトを入れるとコンピュータの動作が重くなったり、時としてウイルスソフトそのものが標的になることさえもある。
また、インストールしたからといって100%の安全が保障されるものでもない。ウイルスソフトが攻撃された時には、すべての権限を失う可能性が高いのだ。
最近では Windows にはデフォルトで高度なセキュリティ機能が組み込まれているし、Mac にも Security チップが組み込まれており、通常使用であれば(更新さえしっかり行っていれば)、特に何もしなくとも安全度はかなり高いといえるのが現実だ。
さて今回、無料版ウイルス対策ソフトで知られる Avast で、収集した Web 閲覧に関する機密データを子会社を通じて大手企業に販売していたことが明らかになり、大きな波紋を呼んでいる。これは Motherboard と PCMag による共同調査によって明らかになった。
1か月あたり4億3,500万人以上のアクティブユーザを誇る人気ツールでいったい何が起こっているのか。
Avast がウイルス対策ソフト経由で集めた情報には、Google 検索、Google Maps の場所検索や GPS 座標、LinkedIn 閲覧ページ、YouTube ビデオリスト、Amazon や Ebay での買い物情報、Facebook や Instagram の閲覧ページなど多岐にわたるもので、サイトでのクリック情報や滞在時間、行動を詳細に追跡して記録していた。
Avast はこれらの機微情報をマーケティングの材料として販売していたことになる。
また、収集されて共有された情報のなかには、ポルノサイトの訪問記録までもが含まれており、例えば、YouPorn や PornHub へのアクセス日時、ポルノサイトに入力した検索ワード、さらには視聴した特定のビデオさえも判別できるというから始末が悪い。
Avast はこれらのデータ共有に関して、「ユーザの同意を得ていた」というが、ほとんどのユーザは気づいていなかったようだ。
同社は集めた情報を「再パッケージ化」して、子会社の Jumpshot を通じ、多くの大企業に販売していたとされる。
クライアントには Google、Yelp、Microsoft、マッキンゼー、ペプシ、セフォラ、ホームデポ、コンデナスト、イントゥイットなど世界を代表する大企業が含まれている。
Jumpshot は世界中の1億台を超えるデバイスから情報を集めていたという。
「All Clicks Feed」などのパッケージ製品は、数百万ドルもの値段が付けられたデータベースもある。
実際に購入した企業 Omnicom Media Group は2019年、2,075,000ドルを支払ったとされる。
Avast は「ユーザの許可を得たうえでの情報収集」だとして正当性を訴えているが、インストール時のライセンスに関する文書で「承諾する、または拒否する」部分は、長い文章のなかに埋もれており、非常に解りづらいのが実情だ。
2020年1月28日現在、同社の "非常に長い" プライバシーポリシーのなかには、以下のような記載がある。ただ、この部分を見つけ出すのは極めて困難であると言わざるを得ない。
アバストは、おおよその位置、郵便番号、市外局番、タイムゾーン、URL、およびオンラインでユーザーが訪問したサイトのURLに関する情報などを含む、弊社の製品やサービスが使用されている場所に関する情報を使用するために、自社の子会社である Jumpshot Inc.と提携関係にあります。弊社は、これらの情報を、総称して“クリックストリームデータ”と呼んでいます。
Jumpshot は、企業にトレンド分析を提供するための製品およびサービスを構築するために、このクリックストリームデータを使用します。クリックストリームデータからはすべての直接識別子が削除されるため、Jumpshot が入手する情報は、オンライントレンドに関する非特定化された集合的なデータセットに留まります。
Avast は「2019年7月時点で、新たにダウンロードする際には、データ共有を既に拒否可能であった。また、既存の無料ユーザに承諾または拒否の選択を促している。このプロセスは2020年2月に完了する」とのコメントを出している。
匿名化は解除 "可能" =専門家が警鐘
実際に販売されたデータベースにはユーザ名やメアド、IP アドレスなどの個人識別情報は含まれおらず、「完全に匿名化している」というが、ソフトウェアがインストールされている限りは、肝心な「デバイス ID」が変更・削除されない仕様であり、専門家によれば「(単一の ID では)データの匿名化はほとんど不可能」だという。つまりは、例え匿名化された Web 閲覧データであっても、身元が特定されない可能性は決して高いとはいえないようだ。
Avast は最近まで、ブラウザのプラグイン経由で顧客の閲覧データや行動情報を収集していた。
ただ、必要以上のトラフィックデータを収集しているとして、Mozilla、Opera、Google の各社は、ブラウザ拡張ストアから Avast とその子会社 AVG のセキュリティ関連のアドオンを削除していた。
ただ、Avast はその後も、アンチウィルスソフトを介して情報を収集している。これは現在進行形である。
個人情報保護管理の観点から、Avast をアンインストールする場合、Windows ユーザは「アプリと機能」から、Macユーザは(ゴミ箱に捨てるのではなく)画面左上のメニューバーから「アンインストール]を選択する必要がある。
アンインストールすることではじめて、「デバイス ID」の識別子は完全に削除されて、この件に関するプライバシーが守られることになる。
今回の騒動が与えるインパクトは非常に大きい。また、利用者数の多さがさらに衝撃を強くするだろう。
無料版とはいえ(有料版もあるが)、ユーザの機微情報を収集したうえで、さらにマーケティング会社に高額で売るという姿勢は、セキュリティ会社としての資質を問われても仕方あるまい。
透明性確保が担保されない限り、Avast への不安は払しょくされそうにない。
<Update>
Jumpshot の事業打ち切りへ
Avast は30日、Jumpshot へのデータ提供を終了して、Jumpshot の事業を終了すると発表。声明の中で同社は、ユーザの利益とプライバシー保護のために製品を強化すると約束した。
コロナウィルス並みに恐ろしい。
返信削除