Avastによる顧客個人情報の漏洩

[tosiy]

昨日2023年10月28日、アバストより以下のような顧客個人情報を漏洩したとのアラート情報メールが配信されました（発信者emails.avast.com）。この件に関してAvast Forum（英語版）に投稿しましたが、本日ここに日本語版があることに気付きまして、再投稿します。
　この漏洩事件について、Avastによる、個人情報漏洩の詳細な説明がなく、「ご自身を守る最善の方法をご存知であることを確認したい」と、他人事のようなメッセージで不審な内容で唖然としてしています。セキュリティ企業であるAvastを信頼して高額のソフト代金を支払ってきたのに、個人情報の管理ずさんで漏洩させたわけですから、重大問題ですが、お詫びの言葉もありません。
個人情報漏洩の被害として、毎日多数のフィッシング詐欺メールが着信し、その都度件名や発信者が変わるので、処理対応が煩雑で多大な被害が発生しています。
ダークウェブへの個人情報漏えいの影響は遠い将来までずっと続くと思いますが、
使用中のメールアドレスの変更に伴う手間を考えるとと思うとぞっとします。

Avastはデータの露出を非常に深刻に受け止めて、大切なお客様として、ブリーチガードによる追加の
ダークウェブ監視を 6 カ月間無料でご提供させていただきますと、メールで伝えてきましたが、
これでダークウェブに漏洩した個人情報が取り返せるわけでもないので、困惑しています。
今後のAvast側のセキュリティ対応状況や今後の損害賠償などの見通しはどうなっているのでしょうか。

＝＝＝引用
件名：個人情報の露出によるフィッシングにご注意ください
MOVEit の脆弱性に関する情報   
     氏名や連絡先などの個人情報の一部がダークウェブ上で露出していたため、ご連絡を差し上げています。弊社はお客様の安全を大変重視しています。そのため、お客様がフィッシングの潜在的な影響と、ご自身を守る最善の方法をご存じであることを確認したいと考えています。
今年に入ってから、多くの企業が MOVEit の脆弱性の影響を受けました。このソフトウェアのユーザーとして、弊社は直ちにシステムを保護し、潜在的な影響の調査に乗り出しました。最近になり、アバストをご利用いただいているお客様の、一部の個人情報がダークウェブ上で露出していることが判明しました。
＝＝＝

[NON]

こんばんは tosiy さん


まず、私はAvast の社員ではなく、ボランティアでこちらで回答をしている1ユーザーであることをお断りしておきます。
日本法人もあったのですが、昨年のNortonLifeLockとの合併で体制変更があったようで、現在も存続しているのかどうか定かではありません。


さて、ご質問の内容については、正式なお知らせ等が出ていないので正確なところは分からないのですが、以下トピック（英語）にてAvast のスタッフの方がメールの真偽等について投稿をしています。

MOVEit Data Breach and Avast Customers
https://forum.avast.com/index.php?topic=325259.msg1710897#msg1710897

Hi Everyone, We’re reaching out to help address some of the questions here. First, we can confirm that the email you received was valid and not a phishing scam. As part of the MOVEit incident, some customer information, such as name, email address and phone number, was impacted. Our systems are secure and operational, and the cause of this was addressed immediately when the MOVEit incident was discovered. While this information is not considered high risk, we take the safety of our customers extremely seriously. The best way to protect yourself is being vigilant against any potential phishing threats using this. Should you have questions related to your personal account, you can always reach out to our support team. You can also find more information about the Progress Software MOVEit vulnerability here.

意訳すると、

• MOVEit 脆弱性事案による情報流出で、確認された情報の中にAvastの顧客情報の一部が含まれていた
• 対象は一部顧客の氏名、メールアドレス、電話番号など
• MOVEit 脆弱性事案の発生直後に必要な対策を行い、システムのセキュリティを確保している
• 漏洩した情報は高リスクなものではない（訳注：ここでいう「高リスク情報」とは、クレジットカード情報等を言います）が、案件の重大性や漏洩した情報によるフィッシング詐欺等が発生する可能性を鑑み、注意喚起を行った
• 質問があればサポートに問い合わせてほしい

ということのようです。


なお、MOVEit 脆弱性事案とは、Progress Software 社のMOVEit という製品に未知の脆弱性（ゼロデイ脆弱性）があり、その脆弱性を狙った攻撃により、この製品を利用していたアメリカ政府機関をはじめとする多数の企業・団体が情報漏洩の被害を受けたものです。Avast（あるいはその親会社のGen Digital）もその被害を受けたということのようで、他社製品の不具合であってAvast 側の落ち度によって情報が流出したわけではなく、その点ではAvast 側も被害者であるということになろうかと思います。


ちなみに、これは個人的な意見ですが、私自身も、別なセキュリティソフト会社を含む複数の情報流出に遭っているようですが、メール等でその事実の通知が来た例はほぼありません。通知が来たのは、過去にAvastフォーラム（ここです）が攻撃を受けた際のものと、国内のとある企業からの情報流出の2例だけです。
その良し悪しは別として、実態として、正直に通知を出すだけAvast はまだ良心的なのかなという気がします。

[tosiy]

ひまわりNONさん　貴重な情報をありがとうございました。
英文の情報をわざわざ翻訳して提供してくださり、
MOVEitとはなんなのか、なんとかわかりました。
フォーラムのありがたみを感じました。感謝です。

個人情報の漏洩くらいではいちいち通知をすることはないという
セキュリティ業界の“常識”には驚きました。そういえば、
アバストは４年前には収集したユーザーデータ（商品の購入や
アダルトビデオ閲覧データ等）を第三者に販売していると
報道されましたが、もう二度とやりません、という発表があり、
引き続きユーザーを続けておりましたら、
今後は個人情報を漏洩しましたので
フィッシング詐欺に注意してという通知がきたわけです。
実際に最近は、毎日フィッシング詐欺のゴミメールが山のように押し寄せ、
仕事で使っているメールアドレスで、無料の使い捨てではないので、
廃止するわけにも行かず、たまりません。

プロバイダにはブロックできないか、問い合わせをしていますが、
詐欺メールはAMAZON、楽天、主要なクレジットカード会社の名前を次々に詐称してくるので
プロバイダでは対応しかねるので、お客様がメールのフィルター作成で
対処してくれとの、回答でした。今後、自力でずっとその迷惑フィルターを作り続けるというのは
きりがないので無駄な労力、被害深刻です。
メールのソースを分析すると、発信者の表記はAMAZON、楽天でも、発信元のドメインは
中国、米国などの別の偽装ドメイン（次々に変えてくる）なので、
プロバイダのメールサーバでなんとかならないかと交渉しましたが、らちがあきません。
この迷惑に、AVASTもユーザーが注意して詐欺メールに対処してくれというばかりでは納得がいきません。またアバストの営業は、パソコンを立ち上げるとしつこく商品販売の画面が勝手にパソコン画面を占拠し、消すのに時間を取られるのも迷惑しています。
このフォーラムでは、アバストの個人情報の漏洩に関するトピックが他にはないのも気になります。
被害は私だけではないと思いますが...

[NON]

返事が遅くなりました。

またアバストの営業は、パソコンを立ち上げるとしつこく商品販売の画面が勝手にパソコン画面を占拠し、消すのに時間を取られるのも迷惑しています。

こちらですが、使われている製品にもよりますが、有料版であれば、設定によって広告を止めることができます。

たとえば、Avast Premium Security であれば、
右上のメニュー -> 設定 -> 一般 -> 個人のプライバシー -> おすすめ
の項目のチェックを外すことで、広告は出なくなるはずです。

このフォーラムでは、アバストの個人情報の漏洩に関するトピックが他にはないのも気になります。
被害は私だけではないと思いますが...

英語のトピックは1つか2つあり、コメントがそちらに集約されているというのはあるかもしれません（とはいえ、投稿総数でも30未満ですが・・・）。
こちらも情報がないので推測ですが、対象ユーザーの人数がそこまで多くないということではないかなと。

[tosiy]

　昨年10月にAVASTにより、個人情報を漏洩されてから現在まで、毎日のように主要ネット通販サイト、主要クレジットカード会社を詐称するフィッシング詐欺メールが押し寄せ、大迷惑で辟易しています。発信元のドメインは次々に変わり、詐欺グループは途方もない資源の浪費をしていて、苦にならないのか、あきれています。
　AVASTからは、お詫びではなく、顧客サービスと称して「アバストブリーチガード」を6ヶ月間限定で無料提供されました。
　このブリーチガードの機能は、（１）個人情報漏洩の可能性を24時間年中無休でスキャン（２）お客様をスパイする企業がいないソーシャル ネットワーク（３）データ侵害に備えた専門家によるサポート（４）オンライン データベースからの個人情報を削除ーーとあります。
　私は、（４）の個人情報削除－に注目し、これ以上詐欺メール被害が広がらないために、オンラインデータベースから個人情報を削除してくれるよう、AVASTに依頼しました。また、AVASTはユーザーの個人情報を再び漏洩しないよう再発防止策をこうじたのかどうか、問い合わせておりますが、どちらも回答はありません。
　とりあえず、差し迫った問題として、AVASTブリーチガードでオンラインデータベースから個人情報を削除することが本当に可能なのかどうか、全く不明です。おわかりの方はいらっしゃるでしょうか？？
　

[NON]

おそらく「個人情報リムーバー」と呼ばれる機能だと思いますが、以下のFAQを見る限り、この機能はアメリカのみで使えるもののようです。

アバスト ブリーチガード - よくある質問
個人情報リムーバーとは何ですか？
https://support.avast.com/ja-jp/article/breachguard-faq/#pc

重要:個人情報リムーバーは現在、アメリカにお住まいの方のみご利用いただけます。

全米で有効な法令が見つかりませんでしたが、例えばカリフォルニア州では、州内で活動する名簿業者に対し、データ削除を命じることができると定められているようです。

カリフォルニアのDelete Actとデータブローカーへの影響
https://www.trustnow.co.jp/blog/california-delete-act/