Avast Online Security がMozilla によりFirefox のアドオンストアから削除される、という事象がありました。これについて、私なりの見解をまとめたので、フォーラムだけでなくこちらにも投稿しておきます。
非常に長いので、読む方はご注意ください。なお、これは完全に私の私見です。
事の発端
Mozilla がアドオンの規則(ポリシー)を改定したことがきっかけです。
これにより、以前のポリシーであれば許可されていた動作について、新ポリシーの下では許可されなくなり、新ポリシーに合致しないと判断されたアドオンが削除(公開停止)されました。
この対象の中に、Avast のアドオンが含まれていた、というものです。
聞いた話では、これまでは「動作に必要な情報を収集します」と書いておけば、何を収集しているのか(例えばURL等)は明示せずとも良かったものが、新ポリシーではそれを明示しなければ許可されなくなり、Avast のアドオンでは明示されていなかったために違反と見なされたそうです。
ポリシーの改定からアドオンの削除まで1日無かったそうで、対応する時間が無かったという意味では若干かわいそうな気もしますが、記載が不十分だったという意味ではAvast 側の手落ちなのかもしれません。
報道
聞こえてくる話からは直接的な削除の理由としては上記の通りだったようですが、1月ほど前に当該アドオンについて「必要以上に情報を送信しているのでは無いか」との疑念が一部研究者から示された(Avast 側は「動作に必要な情報だから送信している」と否定していましたが)こと、また新ポリシーの目玉が「アドオンによる情報収集について厳格化する」というものだったことから、報道ではこれらが結び付けられ「情報を過剰に送信していたから削除された」と騒がれたように見えます。
個人的には、この件に関する報道はミスリードと思います。Mozilla が情報送信が過剰だと判断したわけではなく、あくまである研究者の意見なのですから。
送信されている情報
報道によれば、送信されていた情報として、閲覧したページのURLのほか、ユーザの識別子、ブラウザやOSの情報、ページ遷移の内容(リファラ、ページの表示起因)などが入っていたとされています。これにより、ブラウジングの推移(どのページを開き、どのページに飛んだか等)を再現できるだろう、とされていました。
ほかにもいくつかのパラメータが送信されていたという記事もありましたが、私も一覧を持っているわけではないので確かなことは言えません。
ただ、URLとユーザの識別子に関しては、似たような話題が1年以上前に出た際に、Avast の開発陣がその必要性の説明とともに送信を認めていたと記憶しています。
情報の必要性(過剰なのかどうか)
本件と似たような話題が出るのはこれが初めてではなく、記憶が正しければ数年前からあったように思います(その意味で、今回の件に目新しさはありませんでした)。確か「ユーザー識別子を使ってトラッキングを行っているのでは?」と指摘された際だったと思いますが、Avast の開発陣から、なぜそれが必要なのかの説明がなされていました。
そこでなされた説明は、悪意のある挙動の検知には「流れ」を把握することが必要なのだ、ということでした。「流れ」というのはつまり、各項目1つ1つの内容だけでなく、その前後にどういう挙動があり、その結果として今の状況があるのか、を考える必要がある。これらを一連の流れと認識するためには、同じユーザーの行動であると紐づける必要があり、それがユーザー識別子の役割である、ということです。
私なりの理解をもとに例えて言えば、
1. 電話を受ける
2. 銀行でお金をおろす
3. ATMでお金を振り込む
というそれぞれの動作は、1つ1つは至って普通の行動で、それぞれ別人がやっているのであれば怪しいとは言えませんが、一人の人がやっている流れとしてみると、典型的な(少し古いですが)振り込め詐欺になる、といった具合です。
上で出てきたブラウジングの再現も同じことで、この場合、行動1つ1つがURLで、人を区別する服なり顔なりというのが識別子ということになります。
収集している項目全てが必須かと言えば、聞くところによれば必ずしもそうではないようですが、少なくとも機能の提供のために「ブラウジングの再現ができる」だけの情報を収集するのは妥当と考えます。
また、Google のセーフブラウジング機能と比べて、送信している情報が多いという批判もありました。
これについていえば、セーフブラウジングがAvast と同等の機能/性能を提供しているのならばともかく、そうではない(提供できているのであればアンチウイルス製品の需要は今ほど無いでしょう)以上、比較対象としては不適切だと思います。
情報の取り扱い
これについてはAvast 側の言い分しかありませんが、Avast は少なくとも、個人を特定できる形で情報を外部に提供することは無い、と宣言しています。
例えば、ページの遷移情報を使って、キャンペーンページへのアクセスを分析してキャンペーンの成果を見る、といったことは行われているようですが、あくまで統計的な情報のインプットとして使用している模様です。
URLの送信の際には、ホワイトリストをもとに個人情報を含まないパラメータのみを残している(ホワイトリストに載っていないパラメータをすべて削除している)とされていますし、URLのパラメータから個人情報が追跡されるということも無いものと思います。
クラウド化の流れ
情報がローカルだけでなく、サーバに送信されていることを問題視する意見もあります。
ただ、これはあえて言わせてもらえば、近年のセキュリティ業界のトレンドを認識していないだけだと思います。
アンチウイルスという製品は、もはやクラウドなしでは成り立たない(ローカルで完結しない)というのは開発陣からも1年以上前にコメントされていましたし、クラウドの話題の少ないWindows Defenderは、Avast よりもクラウド偏重だという調査結果もありました。
(余談ですが、この調査結果では、Avast はクラウド依存が低い部類に入ります。もっとも、それは収集している情報の多寡とは直接関係はありませんが)
好む好まざるとに関わらず、世の中がそういう方向に進んでいるのだということは認識しなければならないと思います。
最後に
今の世の中で、個人情報(どこまでが個人情報かという議論はありますが)について、完全にローカルに留めたり、自分のコントロール下に置くのはもはや不可能だと思います。
Avast をはじめとするセキュリティソフトは、やろうと思えばブラウジング履歴(今回のように)やPCの動作履歴等を収集できますし、フリーメール(Google, Yahoo! etc.)を使えばそのプロバイダーはメールの中身を見て、広告配信等に使うことができます。スマホに電話帳を登録して同期すれば、電話帳の情報はGoogleなりAppleなりのサーバに送信されるでしょうし、検索すれば検索履歴が残ります。
フリーのサービスは、こういう情報を何らかの形で利用して利益を上げ、それを元手にサービスを提供しているという側面があるので、そういうサービスを使用する限り避けるのは難しいでしょう。
そう考えた際に、これから必要になる視点というのは、「誰を選んで情報を渡すのか」「どの情報を渡してどの情報を隠すのか」ではないかと思うのです。
広告ブロッカーをはじめ、様々なツールを使えば、多少なり情報の流出を防ぐことはできます。しかしそういうことができるということは、逆に言えばそのツールはそういう情報を見ることができるのです。
ツールを使う際にはそういう意識を持ったうえで、「自分が情報を渡しても良いと思う相手のツールを使う」「渡す情報を必要最低限に絞る」といった対応が必要なのではないでしょうか。
最後に、勘違いされる方が時々いるので改めて書いておきますが、私は(長らく関わってはいますが)Avast の社員ではありませんし、当然ながらAvast の公式見解を述べているわけでもありません。あくまで1ユーザーとしての私見です。