アバスト、ユーザーデータの販売で1650万ドルの罰金

Avast Software は、1988 年に初めてリリースされた無料のウイルス対策プログラム「Avast Antivirus」で有名なソフトウェア会社です。米国連邦取引委員会 (FTC) は、この製品がオンライン トラッキングをブロックすると主張していたにもかかわらず、ユーザーの Web 閲覧データを広告主に販売したとして Avast に罰金を科しました。

罰金には、広告目的での閲覧データの販売やライセンス供与の禁止も含まれています。また、同意なく閲覧データが販売されたユーザーには、通知することが義務付けられています。

FTCは、アバストがブラウザ拡張機能やウイルス対策ソフトを通じてユーザーのウェブ閲覧情報を透明性なく収集し、その情報を無期限に保存し、適切な通知やユーザーの同意なしに販売していたと述べた。

FTCはまた、アバストが自社のソフトウェアがサードパーティのトラッキングをブロックしプライバシーを保護すると説明してユーザーを誤解させたと非難したが、子会社のジャンプショットを通じて100社以上のパートナーに詳細な閲覧データを販売することを明らかにしていなかった。このデータを購入する企業は、身元不明の情報をアバストユーザーの閲覧情報と関連付けることができ、閲覧履歴を通じて追跡され、ユーザーと関連付けられる可能性がある。

この誤解を招くセキュリティ作戦は、マザーボードとPCMagによる調査の後、2020年1月に発覚した。調査では、ジャンプショットの潜在的なパートナーとして、Google、Yelp、Microsoft、マッキンゼー、ペプシ、ホーム・デポ、コンデナスト、インテュイットが名指しされた。

1か月前、Google Chrome、Mozilla Firefox、OperaブラウザはAvastブラウザ拡張機能をストアから削除しました。セキュリティ研究者のウラジミール・パラント氏は、2019年10月にこれらの拡張機能をスパイウェアと分類しました。

FTCは、Jumpshotが販売する閲覧データには、ウェブ検索やユーザーが訪問したウェブサイトに関する情報が含まれており、宗教的信条、健康上の懸念、 政治的傾向、所在地、財務状況、子供向けコンテンツへのアクセス、その他の機密情報が明らかになると主張している。

ジャンプショットは、保護されたデータのロックを解除する唯一の企業であると自称しており、2018年8月時点で最大1億台のデバイスのデータを保有していると主張している。閲覧情報は少なくとも2014年から収集されていたと言われている。プライバシーに対する反発を受け、アバストはジャンプショットのデータ収集を直ちに停止した。

Avastは、別のサイバーセキュリティ企業であるNortonLifeLockと合併し、AVG、Avira、CCleanerといった人気製品を提供するGen Digitalという新会社を設立しました。これは、インターネット閲覧データの収集と販売によってGDPRデータ保護規則に違反したとして、チェコ共和国のデータ規制当局から1,370万ユーロの罰金を科されてからほぼ1年後のことです。