FTC が Avast を提訴:Web 閲覧記録の広告転用に対して $16.5 M の罰金

FTC to ban Avast from selling browsing data for advertising purposes

2024/02/22 BleepingComputer — 米国の連邦取引委員会 (FTC:Federal Trade Commission) が Avast に命じたのは、ユーザーの Web 閲覧データの販売および、広告目的でのライセンス供与の禁止、そして罰金 $16.5 million の支払いである。訴状によると、データを収集するために使用される Avast 製品は、オンライン追跡をブロックするという誤解を、結果的にユーザーに与えるものである。さらに同社は、消費者の認識や同意を得ることなしに、閲覧データを収集/保存/販売し、何百万人もの消費者の権利を侵害したという。


FTC の Chair である Lina M. Khan は、「FTC の個人情報保護に関する訴訟は、一般的に、データに関する不実表示を行った企業に対して行われる。しかし Avast は、自社製品について、閲覧記録を保護するものであり、追跡からデータを保護するものだと明示している。したがって、そこで得られた記録の販売は、とりわけ腹立たしいことである」と述べている。

さらに、Avast が公表したデータ量は驚異的であり、訴状によると Jumpshot は、2014年〜2020年の間に8ペタバイト以上の閲覧情報を 集めたという。

具体的には、英国に拠点を置く Avast Limited は、遅くとも 2014年以降もおいて、Avast ブラウザ・エクステンション/アンチウイルスを使用して、消費者の同意を得ることなく Web 閲覧情報を収集していたと、FTC は述べている。

Avast のデータ・フィードに含まれるのは、各 Web ブラウザの識別子および、訪問した全 Web サイトの情報の組み合わせ、タイムスタンプ、デバイス名、ブラウザ名などに加えて、ユーザーの住所 (都市/州/国) である。データ共有の慣行について説明する際に Avast は、ユーザーの個人情報について、集合的かつ匿名な形でのみ転送すると偽っていた。

さらに FTC は、Avast は一連の情報を無期限に保存し、2014年〜2020年において、Jumpshot の子会社を通じて 100社以上のサードパーティに販売したと述べている。

この訴状における一例として、Jumpshot は広告会社 Omnicom と契約を結び、米国/英国/メキシコ/オーストラリア/カナダ/ドイツのデータの 50% に、アクセスできるようにした主張されている。

また Avast は、サードパーティの追跡をブロックすることで、ユーザーのプライバシーを保護すると約束したが、ユーザーを欺いているとされる。その上、詳細かつ再特定が可能な閲覧データを、販売することも通知していなかった。

2019年12月に Mozilla は、Firefox エクステンション (Avast Online Security/Avast SafePrice/AVG Online Security/AVG SafePrice) が、ユーザーの Web 閲覧を追跡しているとの報告を受け、そのアドオン・リポジトリから削除した。つまり、同社のデータ収集慣行が暴露されたわけである。

その1ヶ月後の 2020年1月の、Motherboard と PCMag の共同調査により、Avast の子会社 Jumpshot が、顧客から収集した Web 閲覧データを、第三者に販売していることが判明した。

FTC Avast


そして Avast は、$16.5 million の支払いを命じられたほか、同社ブランドの製品を使用して収集した閲覧データを、広告目的で第三者にライセンス供与/販売することが禁止された。

また、Avast の製品から取得された閲覧データについては、販売またはライセンスする前に、すべての顧客から同意を得る必要がある。それに加えて、FTC が Avast に対して要求しているのは、Jumpshot と共有する全 Web 閲覧データなど使用して、 Jumpshot が開発した全製品とアルゴリズムの削除である。

Avast ユーザーにおける、閲覧データが同意なしに第三者に販売されたユーザーに対しては、今回の FTC による措置について、Avast から通知する必要がある。

FTC の Bureau of Consumer Protection である Samuel Levine は、「Avast はユーザーに対して、同社の製品によりブラウジング・データのプライバシーを保護すると約束したが、その逆を行った。Avast のおとり商法的な、監視戦術は消費者のプライバシーを侵害し、法律に違反するものだ」と指摘している。

Avast の広報担当者は、2020年1月に閉鎖された子会社 Jumpshot と共有したデータついて調査し、解決するために、すでに FTC との和解に至っていると、BleepingComputer に対して述べている。

彼は、「我々は、人々のデジタル・ライフを保護し、力を与えるという使命に全力を尽くしている。FTC の主張と事実の認定には同意できないが、この問題を解決できたことを喜ばしく思う。今後も、世界中の何百万人もの顧客に、サービスを提供できることを嬉しく思う」と述べている。

Update February 22, 11:57 EST: Avast の声明を追加。

これは、あまりにも酷いという話です。このブログが始まる前の 2020年に、Avast の詐欺行為が露見していたようです。そして、なぜ、そこまでと思ってしまいますが、セキュリティ業界は儲からないのでしょうか?さまざまなビジネスの形態がありますが、アンチウィルスは曲がり角なのかもしれません。よろしければ、EDR で検索も、ご利用ください。