セキュリティソフト｢Avast｣と｢AVG｣のブラウザアドオンをすぐに消して！

セキュリティソフトだからって、安全とは限らない。

ユーザーのウェブ履歴を不必要に吸い出しているとの報告を受け、2つのブラウザがAvast（アバスト）とAVG（エーブイジー）のオンラインセキュリティ用アドオンをウェブストアから除外しました。

セキュリティアプリのブラウザ拡張が謎のデータ収集

この問題を最初に報告したのはAdblock Plusの開発者であるWladimir Palant氏で、問題はAvast Online Security（アバスト・オンライン・セキュリティ）やAvast SafePrice（アバスト・セーフプライス）、さらにAvastの所有しているAVG Online SecurityとAVG SafePriceなどのアドオンにまで及んでいます。彼は10月にブログ投稿でこの問題に言及し、2社にも直接報告しました。対処として、Mozilla（モジラ）とOpera（オペラ）は共にストアから影響のあるアドオンを除外しました。しかし、12月第1週現在、Chromeアドオンストアにはまだ存在しています。

Palant氏は、開発者ツールを使ってネットワークのトラフィックを調査しました。すると、問題のアドオンはユーザーのウェブ履歴や行動について、警戒に値する量のデータを収集していたことが分かったのです。データの内容は、閲覧したURL、そこへ飛ぶのに使われたURL、国名コード、あなたのデバイスのOSバージョンなどなどです。Palant氏によれば、これらのデータはアドオンが作業を行うためには不必要だそうです。

同氏の最初の投稿の段階では、2社のプライバシ規約にはこれらのデータ収集に関する文言があったのですが、現在では消えています。しかし、Wayback Machineが11月4日にアーカイブしたページにはこうあります：

同ソフトウェアは、貴方の使用しているコンピュータ、その上で動作している弊社の製品やサービスなどの情報を収集する可能性があります。また、デバイスの種類によっては、使用されているOS、デバイス設定、アプリケーション識別子、IPアドレス、地域情報、クッキーID、クラッシュデータ（弊社独自の解析ツールや、サードパーティから提供されたツール、例えばCrashlyriccsやFirebaseなどを通じて）などを収集します。デバイスとネットワークデータはインストールGUIDに繋がっています。

弊社は全てのユーザからデバイスとネットワークのデータを収集しています。弊社が収集して保管するのは、ソフトウェアの動作、製品やサービスのパフォーマンスの監視、研究、クラッシュの診断と修復、バグの検知、セキュリティやソフトウェアの脆弱性の修復に必要な（すなわち、貴方にサービスを提供する契約上必要な）ものに限ります。

Avastいわく｢URL履歴は必要｣

同社は、この古いバージョンのプライバシー規約の期間中はこれらのデータを収集していたことを認めています。しかし、どちらのバージョンでもどのくらいの期間データが保管されていたのかは明言していません。Avastのスポークスパーソンによれば、この規約は70ページに及んだ以前の規約を短くするために書き直されたとのこと。

｢内容の多くが重複していたので、ユーザが読みやすいように再編集しました。これはPalant氏がブログを投稿する前に行われたことで、一切無関係です｣とコメントしていますが、Palant氏も言うように、｢自身のユーザを監視するというのは、MozillaやGoogleがアドオンの開発者にサインさせる規約に明らかに違反しています。｣

Googleのストアになぜ残されていたのかは不明ですが、同社のスポークスパーソンは米Gizmodoに対してコメントしませんでした。

AvastがGizmodoに答えたところによると、現在同社はMozillaと連携して問題解決に取り組んでいるとのこと。

｢弊社はAvast Online SecurityとSafePriceを長年Mozillaストアを通じて配信してきました。Mozilllaが最近ストア規約をアップデートしたので、新たな必要条件をクリアするため、アドオンに必要な修正を行えるようMozillaと協力しているところです。すでにそのいくつかは実装されており、これから先の数日でアップデートを続けて完全に規則に沿ったものをリリースします｣としています。

Avastのスポークスパーソンが米Gizmodoにメールで回答したところによると、｢このサービスが期待通りの性能を発揮するには、URL履歴は必要です｣とのことですが、それでは地域情報まで収集していたことの理由にはなっていません。

しかしひとつハッキリしているのは、ChromeやFirefoxなどのストアにスパイウェアが入り込まないよう、契約書などのセーフガードがあるわけですが、時にそれでは不足ということです。

結局のところ、自分のデータを安全に保つ義務は、ユーザ本人にあるというわけですね。