無料アンチウイルスソフト「Avast」が集めたユーザーデータを匿名化して企業に販売していたことが明らかに|忍者猫 ブログ

無料アンチウイルスソフト「Avast」が集めたユーザーデータを匿名化して企業に販売していたことが明らかに

無料アンチウイルスソフト「Avast」が集めたユーザーデータを匿名化して企業に販売していたことが明らかに


無料で使用可能な「Avast Antivirus」は、全世界で4億人の利用者を抱えるアンチウイルスソフトの定番です。そんなAvast Antivirusを提供しているセキュリティ企業Avast Softwareが、ユーザーの個人情報を収集して20社を超える企業に販売していたことが判明しました。

技術系ニュースサイトのPC MagazineとMotherboardは2020年1月27日に、「共同調査により、Avastが無料のアンチウイルスソフト利用者のデータを他企業に販売していたことが分かりました」と発表しました。きっかけになったのは、Avast傘下のデータ販売会社Jumpshotから流出した内部文書です。Motherboardが入手した文書によると、JumpshotはAvast Antivirusが収集したユーザーのデータをさまざまな製品に作り替えて、複数の企業に販売していたとのこと。

Jumpshotの取引先企業には、GoogleやMicrosoftのほか、飲料メーカーのPepsi、レビューサイトYelp、住宅サービス会社Home Depot、広告やマーケティングを行うOmnicomなど、多種多様な業態の企業が名を連ねています。

また、これらの企業に販売されていたデータには、Googleでの検索ワード、Googleマップで検索した場所やGPS座標、Amazonでの購入履歴、SNSのLinkedInへの訪問履歴、YouTubeの特定のムービーの視聴履歴、YouPornやPornHubなどのポルノサイトの訪問履歴及び検索ワードといったデータが、ミリ秒単位のタイムスタンプとともに克明に記録されていたとのこと。

商品として販売されていたデータの中には、通販サイトで物品を購入した際のクリック情報もあります。例えば、以下のデータでは「abc123x」というIDのPCが、「Apple iPad Pro 10.5 256GB ローズゴールド」を2019年12月1日の12時3分5秒に、Amazon.comでカートに入れたことが分かります。

「abc123x」というデバイスIDがあるだけで氏名などはないので、一見すると匿名化されていて誰のデータか分からないようにも思えます。しかし、PC Magazineは「氏名やメールアドレス、IPアドレスには紐づけされていないものの、各ユーザー情報はデバイスIDという識別子に紐づけされています。このIDは他のサイトでのあらゆるアクティビティと照合することが可能なので、もはや匿名でもなんでもありません」と指摘しました。

Jumpshotは、Twitter上の宣伝で「あらゆる検索、あらゆるクリック、あらゆる購入を、あらゆるサイトで」とうたって、自社の製品がいかに網羅的に情報を収集しているかを誇示しています。

PC MagazineとMotherboardは、今回明らかになったJumpshotの取引先に問い合わせを行いましたが、GoogleやOmnicomは応答をせず、Microsoftも「当社とJumpshotは関わりがありません」と述べた以外はコメントを拒否。まともに取り合ったのはごく一握りでした。

Motherboardの問い合わせに応じた中の1社であるHome Depotの広報担当者は、「当社は、当社の営業や製品、サービスの改善のため、第三者のプロバイダーから得た情報を使用する場合があります。当社は、そうしたプロバイダーに対し、正当な権利を有する情報を当社と共有するよう要請しています。そのため、匿名化されたデータを受け取ることはありますが、個別の顧客を特定することはできません」と回答しました。

また、Yelpの広報担当者は「Yelpのポリシーチームは、反トラスト当局が2018年に行った調査の一環として、Googleの反競争的行動が各地域の検索市場に及ぼす影響を見積もるよう求められました。これに関連して、Googleがウェブトラフィックを収集しているという情報を検証するため、高いレベルのトレンドデータのレポートが必要になり、Jumpshotと一度限りの取引を行いました。個人を特定可能な情報については、要求もアクセスもしていません」と述べています。

一方、Avastは「ブラウザ履歴の収集はオプションです。ユーザーはいつでもJumpshotとの情報共有をオプトアウトすることが可能でした。また、2019年7月から、Avast Antivirusによるすべてのデータ収集について明示的にオプトインできる設定の実装を開始しています。これは2020年2月までには完了する予定です」と述べました。

以下は、Avast Antivirusのインストール時に表示されるオプション画面で、「Jumpshotが匿名のブラウザ履歴を収集することに同意するかどうか」を尋ねるというもの。しかし、PC Magazineは「データを組み合わせて、収集されたブラウザ履歴と自分のIDを紐付ける方法があることには触れられていません。それに、Jumpshotがデータを3年間保持することにも言及されていません」と指摘しています。(続きはソース)

関連記事
| このブログの読者になる | 更新情報をチェックする
にほんブログ村 ニュースブログ トレンドニュースへ


Copyright © 忍者猫 ブログ All Rights Reserved.
テキストや画像等すべての転載転用販売を固く禁じます