こんばんは tosiy さん
まず、私はAvast の社員ではなく、ボランティアでこちらで回答をしている1ユーザーであることをお断りしておきます。
日本法人もあったのですが、昨年のNortonLifeLockとの合併で体制変更があったようで、現在も存続しているのかどうか定かではありません。
さて、ご質問の内容については、正式なお知らせ等が出ていないので正確なところは分からないのですが、以下トピック(英語)にてAvast のスタッフの方がメールの真偽等について投稿をしています。
MOVEit Data Breach and Avast Customers
https://forum.avast.com/index.php?topic=325259.msg1710897#msg1710897Hi Everyone, We’re reaching out to help address some of the questions here. First, we can confirm that the email you received was valid and not a phishing scam. As part of the MOVEit incident, some customer information, such as name, email address and phone number, was impacted. Our systems are secure and operational, and the cause of this was addressed immediately when the MOVEit incident was discovered. While this information is not considered high risk, we take the safety of our customers extremely seriously. The best way to protect yourself is being vigilant against any potential phishing threats using this. Should you have questions related to your personal account, you can always reach out to our support team. You can also find more information about the Progress Software MOVEit vulnerability here.
意訳すると、
- MOVEit 脆弱性事案による情報流出で、確認された情報の中にAvastの顧客情報の一部が含まれていた
- 対象は一部顧客の氏名、メールアドレス、電話番号など
- MOVEit 脆弱性事案の発生直後に必要な対策を行い、システムのセキュリティを確保している
- 漏洩した情報は高リスクなものではない(訳注:ここでいう「高リスク情報」とは、クレジットカード情報等を言います)が、案件の重大性や漏洩した情報によるフィッシング詐欺等が発生する可能性を鑑み、注意喚起を行った
- 質問があればサポートに問い合わせてほしい
ということのようです。
なお、MOVEit 脆弱性事案とは、Progress Software 社のMOVEit という製品に未知の脆弱性(ゼロデイ脆弱性)があり、その脆弱性を狙った攻撃により、この製品を利用していたアメリカ政府機関をはじめとする多数の企業・団体が情報漏洩の被害を受けたものです。Avast(あるいはその親会社のGen Digital)もその被害を受けたということのようで、他社製品の不具合であってAvast 側の落ち度によって情報が流出したわけではなく、その点ではAvast 側も被害者であるということになろうかと思います。
ちなみに、これは個人的な意見ですが、私自身も、別なセキュリティソフト会社を含む複数の情報流出に遭っているようですが、メール等でその事実の通知が来た例はほぼありません。通知が来たのは、過去にAvastフォーラム(ここです)が攻撃を受けた際のものと、国内のとある企業からの情報流出の2例だけです。
その良し悪しは別として、実態として、正直に通知を出すだけAvast はまだ良心的なのかなという気がします。