ウイルス対策ソフト「アバスト」がユーザーデータを収集し、Googleなどに販売していた

Avast のウイルス対策ソフトウェアは、世の中に出回っている多くのコンピューターにインストールされていますが、新たな調査により、ユーザーデータに関してあまり良いとは言えない実績が明らかになりました。

この調査はViceと PC Magが共同で行ったもので 、GoogleだけでなくMicrosoftやIntuitを含む大手サードパーティ企業にユーザーデータを販売する、利益の高い市場が存在することが明らかになりました。AvastがMac、Windows PC、さらにはモバイルデバイス向けに提供するツールを利用しているユーザーは4億3500万人を超えています。

調査の結果、Avastがユーザーデータを収集し、Jumpshotという子会社を通じて売却していたことが判明しました。これは、契約書やユーザーデータなどが記載された漏洩文書に基づいています。収集された情報には、GoogleマップのGPS座標、YouTube動画リスト、LinkedInページのデータ、位置情報検索、さらにはGoogle検索も含まれます。

マザーボードとPCMagが取得したデータには、Google検索、Googleマップでの位置情報とGPS座標の検索、企業のLinkedInページへのアクセス、特定のYouTube動画、ポルノサイトへのアクセスなどが含まれます。収集されたデータから、匿名化されたユーザーがYouPornとPornHubにアクセスした日時、場合によってはポルノサイトに入力した検索語句、視聴した動画を特定することが可能となります。

すべてはJumpshotによって販売されているパッケージに細分化されています。同社によると、Jumpshotは1億台のデバイスからデータを保有しているとのこと。調査の結果、JumpshotはAvastから収集したユーザーデータを再パッケージ化し、他のパッケージ内のさらに多くのデータと組み合わせることで、すべてをひとまとめにしていることが明らかになりました。クライアントは、インターネット上でのユーザーの行動を追跡する「All Clicks Feed」オプションに「数百万ドル」を支払うことができるようです。

ごく最近まで、Avastのウェブブラウザプラグインによってデータが収集されていました。10月にこの現象が報告され、その結果、Google、Mozilla、Operaはいずれもブラウザからプラグインオプションを削除しました。

Avastは、プラグインを使ったデータ収集を停止しました。しかし、ユーザーからのデータ収集は停止していません。現在は、ウイルス対策ソフトウェア自体を使ってデータを収集しています。データ収集の一部は無料オプションから行われており、Avastは無料オプションのユーザーにユーザーデータを収集できるよう通知しているとのことです。

しかし、情報源と文書によると、データ収集は継続中とのことだ。アバストはブラウザに付属するソフトウェアではなく、アンチウイルスソフト自体を通じて情報を収集している。ブラウザ拡張機能を使ってJumpshotにデータを送信していたことが発覚してから数ヶ月後の先週、アバストは既存の無料アンチウイルスソフト利用者に対し、データ収集へのオプトインを求め始めたと、内部文書は伝えている。

「オプトインすると、そのデバイスはJumpshotパネルの一部となり、ブラウザベースのインターネットアクティビティはすべてJumpshotに報告されます」と、社内向け製品ハンドブックには記載されています。さらに、「これらのデバイスはどのURLを、どのような順序で、いつ訪問したのか？」と、製品が回答できる可能性のある質問がまとめられています。

ユーザーデータを購入することは、儲かるビジネスです。多くの企業がそれを欲しがり、それを手に入れるためにどれほどのことをするかを考えると、当然のことです。例えば、調査によると、ある企業が2019年にユーザーデータへのアクセスに200 万ドル以上を支払ったこと が明らかになりました。その結果、世界14大陸、最大20のドメインからデータが取得されました。

ここで、Jumpshot のマーケティング ビデオをご覧ください。

https://youtu.be/ST1J8eRaLrU

マイクロソフトは、Jumpshotから製品を購入した理由の詳細についてコメントを控えたが、同社とは現在の関係はないと述べた。Yelpの広報担当者はメールで次のように述べている。「2018年、反トラスト当局の情報開示要請の一環として、Yelpのポリシーチームは、Googleの反競争的行為がローカル検索市場に与える影響を推定するよう依頼されました。Jumpshotは、匿名化された高レベルのトレンドデータを含むレポートを作成するため、単発の業務委託を受けました。このレポートは、Googleによるウェブトラフィックの吸い上げに関する他の推定を裏付けるものでした。個人情報（PII）の提供は求められず、アクセスもされませんでした。」

朗報となるかもしれないが、すべての企業がJumpshotの波に乗る準備ができているわけではない。例えば、サウスウエスト航空はJumpshotと交渉したものの、実際にはそのサービスを利用しなかった。

Avastについては、調査の一環として、収集するデータには氏名、メールアドレス、さらには連絡先情報さえも含まれていないと述べています。また、無料ソフトウェアのユーザーは、希望に応じてデータ収集をオプトアウトできると述べています。2019年7月現在、明確なオプトインオプションが用意されています。

完全な調査は絶対に読む価値があるので、ぜひ読んでみてください。

これらについてどう思いますか？データ収集／収集について、あなたはどうお考えですか？コメント欄で教えてください。