笠原一輝のユビキタス情報局
Avast CTOに聞く、Jumpshot問題の真相とPCセキュリティの未来
~サイバーセキュリティの世界ではすでにAI対AIの戦いがはじまっている
2020年5月19日 11:00
Avast Software(以下Avast)と言えば、無償で利用できるアンチウィルス・ソフトウェア「Avast Antivirus」を提供するソフトウェアベンダーとして知られている。ユーザーの有志によりいち早く日本語化が行なわれるなどして、日本でも古くから知られた存在だ。同社は現在でもWindows 10など向けに無償のアンチウィルス・ソフトウェアを提供しているほか、Android OS向けのアンチウィルス・ソフトウェアなど複数のセキュリティソフトウェア製品をラインナップしている。
そうしたAvastだが、昨年(2019年)の暮れにはある「騒動」の主人公となっている。それがAvast製品のネットのアクセス履歴を、子会社の「Jumpshot」社が第三者に対して販売していたということが大きく報道され、大きな騒ぎになった(詳しくは僚誌Internet Watchの記事を参照)。その後、AvastはJumpshot社の閉鎖を決め、今後はそうしたビジネスは行なわないと言うことを明確にした(同、別記事参照)。
今回筆者はこの騒動のAvast側の見解を、Avast CTO(最高技術責任者) ミハル・ペコウチェック氏にお話しを伺う機会を得たので、そこから見えてきたJumpshot問題の考え方、そしてWindows PCにおけるセキュリティ・ソフトウェアの展望などについて紹介していきたい。
昨年の末からAvastを巡って発生した「Jumpshot騒動」に関するAvastの見解は……
Avastはチェコ共和国の首都プラハに本社を構えるソフトウェアベンダー。その主力製品であるAvast Antivirusの特徴は、アンチウィルスの機能単体であれば無償で利用できることで、とくにWindows XPやWindows 7といった、アンチウィルスが標準で搭載されていない時代には、ユーザーの支持を多く得ていた。日本でも、ユーザーの有志により日本語化が進められたことなどもあり、人気を集めていた。
すべてが無償ということではなく、基本的な機能は無償で、より高度な機能を利用したいという場合には、有償になるという仕組みになっている。
その後Avastは、同じように無償のアンチウィルス・ソフトウェアを提供していたAVGを2016年に買収し、その後AvastとAVGの2つのブランドでアンチウィルスを提供している。ただし、両社のソフトウェアのベースはじょじょに共通化が図られており、現在では1つの製品を元にAvast、AVGという2つのブランドで提供していくという体制だ。
そうしたAvastだが、昨年の暮れから今年のはじめにかけて、メディアを巻き込んだ騒動の渦中にあった。はじまりは、米国のソフトウェア開発者などが、同社が提供していたFirefox/Opera用の拡張機能がユーザーのWebサイト閲覧履歴/閲覧行動の多くを再構築できるデータをAvast側に送信しているという指摘したことだった。
それを受けて、Avastは公式に声明を出し、そうした製品を削除したことを明らかにし、個人を特定できないかたちだったと強調した上で、そうしたデータを第三者に対して販売していた子会社のJumpshotの事業終了を明らかにした。
Avast CTO ミハル・ペコウチェック氏は「Avastの子会社だったJumpshotが企業に対して提供していたのは、言ってみれば統計データだ。個人が特定できないかたちのデータになっており、Jumpshotの顧客に対してビジネス上のディシジョンができるようなデータを提供するというためのビジネスだった。GDPRなどの欧州のプライバシー基準も満たしており、法令の範囲内で行なっていたものだった。しかしながら、われわれはお客様のセキュリティやプライバシーを守るソフトウェアを提供する企業であり、われわれのやり方が少しでもお客様に疑念をもたれてしまっては意味がない。そこで、CEOが決断してJumpshotを閉鎖することにした」と説明する。
ペコウチェック氏の言うところはこういうことだ。Jumpshotのビジネスというのは、Avastが提供するソフトウェアが、ユーザーの同意を得て得るデータを収集し、それをユーザーが特定できないかたちで第三者の企業に対して販売していた、それは事実だしAvastも否定していない。問題はそれがユーザーにきちんと理解されていたのか、理解されていなかったのかという点にある。
ペコウチェック氏も「そこにはわれわれも反省する余地があると考えている。重要なことは透明性であり、ユーザーに知る権利を与えることだ。われわれのやり方がそれに対して十分ではなかったと反省したため、12月に新しいAvastのプライバシーポリシーを策定し、それを公開した。それは現在のインターネット関連の企業が策定しているものより厳しいものになっている」と述べ、ユーザーへの周知徹底が足りていなかったことを認め、ユーザーに少しでも疑念を持たれないような取り組みで改善を図っていると説明した。
ビッグデータを巡る「正の側面」と「負の側面」は合わせ鏡、どちらと取られるかは社会次第
ペコウチェック氏は、あくまでJumpshotが提供していたのは個人が特定できないデータであり、かつそれは他の同じようなビジネスを提供しているインターネット企業と同じようなデータ分析に利用するためのビッグデータだったと強調した。
「われわれとしてはJumpshotがこうしたビジネスを行なっている最初の企業というわけではなく、すでに独占的な地位を持つプレイヤーが同じビジネスを展開しており、その状況で新しい選択肢になりたいという認識だった。異なる観点からのデータを持つわれわれが参加することは、インターネット業界全体にとってメリットがあることだと考えていた」(ペコウチェック氏)というのは偽らざる気持ちなのだろう。
実際、インターネット企業は多かれ、少なかれ、Jumpshotと同じようなビジネスをしているのは秘密でもなんでもない。ただし、あくまでそのデータではユーザーの匿名性は確保されるようになっており、第三者に対してビッグデータとして提供されている。そのビッグデータは、ユーザー全体の購買傾向だったり、そのデータを利用してAIがデータ解析を行なうことで、需要予測をして在庫切れを防ぐ……企業はそうしたデータを活用してユーザーの利便性を向上させている。これが正の側面だ。
だが、ユーザーからすると不可解なことに、ほかのサイトで検索した内容が別のサービスでそれに関連した広告が表示されるようになったということに気がつかされたりするだろう。こうしたビッグデータを販売する事業者はユーザーを特定できるデータ(たとえばメールアドレスや名前)はやりとりしないと説明しているし実際そうなのだろうが、現実にはそれを購入した企業が各種のツールを利用して、データ同士をある程度付き合わせることで、このアカウントとこのアカウントは同じアカウントだろうという類推をすることは可能なのだという。プライバシーの観点からはそうした懸念がないとは言えない、これが負の側面だ。
議論はそうした表裏一体の「正の側面」と「負の側面」、どちらの方が世の中に受け入れられるものなのか、ということにあると思う。このことを考える上で、非常にいい事例が直近である。それがCOVID-19への対策で、GoogleやAppleといったプラットフォーマーや、通信キャリアなどがスマートフォンの移動データなどをビッグデータとして政府に提供したことだ(僚誌ケータイWatchの記事「政府、新型コロナ拡大防止に「位置情報や検索履歴の統計データ」の提供求める」参照)。
通信キャリアなどの説明によれば、今回のデータ提供はあくまで緊急事態宣言という事態の中で、人と人の接触を減らすという目的のためだけに使われるということになっている。どのようなデータが提供されているのか、われわれにはうかがい知れないので、そこにプライバシーの懸念があるのかないのか、それはここでは議論しないが、その懸念がゼロではないと主張する人が出てきてもおかしくない(誤解なきように付け加えておくと、個人情報保護法の法律の範囲内でときちんと説明している。社会的責任を持つ企業がそう説明している以上、それは信用に値すると筆者は考えている。仮にそうでない場合にはその企業にとっての被害は計り知れないからだ)。
だが、そうした懸念がゼロでないとして、COVID-19への対策とその効果を測定するという観点からすれば、社会全体にとって有意義なデータであることは疑いの余地はない。データを提供したプラットフォーマーや通信キャリアが社会的に非難されていない以上、社会的にはそう理解されていると言えるだろう。つまり「負の側面」よりも「正の側面」の方が勝っている、そう判断されているから誰からも非難されていないということだ。
結局のところ、Jumpshotの問題もまさに同じ議論だったと筆者は考えている、プライバシー重視という意味ではAvastを批判した開発者の言ったとおりに非難もできるという負の側面もあるし、その一方でビッグデータはインターネットのサービスをより発展させるという正の側面がある。結局どちらの側から見るかで評価はまったく変わってくる。それを決めるのは、最終的には社会ということになるだろう。今回はその判断が下される前にAvastがJumpshotを閉鎖することを決めたため、そこまで議論が至らなかった。
ただ、いずれにせよ、ユーザーに対して透明性のある説明(ユーザーのデータをどのように収集し、どのように活用しているのか)が必要であり、ユーザー自身がデータを提供することを選択することができるようになっていることが大前提だ。Avast自身もそこに若干の瑕疵があったと考えたので、Jumpshotを解散してビジネスを終了したということだろう。
Avastにとって本業はセキュリティ・プライバシーの機能をユーザーに提供することであり、法律的にもプライバシーの観点からも問題がなかったとしても疑念を持たれてしまったJumpshotの存在はその本業を脅かすことになるのだから、早期にそのビジネスを閉鎖したというのは理に適った選択だったと言えるのではないだろうか。
標準となったWindowsセキュリティ、Avastは一般消費者向けに集中してよりやさしいセキュリティソフトウェアを目指す
Avastのビジネスモデルは、まず無償のアンチウイルスなどのセキュリティソフトウェアを使ってもらい、それを有償プランへとアップグレードしてもらうというかたちにあることはすでに述べたとおりだ。従って収益を増やすには、いかにして無償バージョンで満足してもらい、それを有償プランの契約へとつなげるかというところにあるだろう。そうしたAvastのようなビジネスモデルの企業にとって頭が痛いのは、Windows 8以降のWindowsにはWindowsセキュリティ(ないしはWindows Defender)というMicrosoftのセキュリティソフトウェアが標準搭載されていることだろう。
しかも、Windowsセキュリティは無償というだけではなく、OSカーネルやハードウェアと組み合わせることで、従来よりも強力なセキュリティ機能を実現していることも見逃せない事実だ。
Windowsセキュリティは、アンチウイルス、ファイヤーウォールなどのPCのセキュリティ・ソフトウェアなどではお馴染みのツールだけでなく、デバイスセキュリティの機能などが用意されている。たとえば「コア分離(Memory integrity)」と呼ばれる機能は、Windows 10のHyper-VとIntelのVTのような仮想化アクセラレーション機能を組み合わせてWindowsカーネルを保護する仕組みだ。そのほかにも、ハードウェアを利用した機能としては企業向けのPCでのみサポートされていることが多いがDevice Guardなども知られており、それらを組み合わせることでより安全なOS環境を実現することができる。
ペコウチェック氏は「たしかにWindows 10になりそうしたハードウェアベースの機能が増え、Windows 10が従来よりもセキュアなOSになったことは喜ばしいことだ。しかし、それでもソフトウェアや高機能だが複雑になりすぎていて、依然として脆弱性がある。ITマネージャがいる企業であればそのリスクを勘案して適切な対処ができるかもしれない。しかし、われわれが対象としているような一般消費者の皆さんはどうだろうか? そうではないと、われわれは考えている。
このため、そうしたユーザーがわれわれのソフトウェアをインストールすれば、セキュリティやプライバシーの問題に対処できる、そうしたソフトウェアを提供していきたいと考えている」と述べる。
その上でペコウチェック氏は、今後の一般消費者向けのセキュリティ・ソフトウェアの方向性として「従来型のファイルベースのアプローチとネットワークベースのアプローチ」という2つのアプローチが重要になると述べた。前者は、従来型のアンチウィルス・ソフトだし、後者はセキュア・ブラウザのような従来型のブラウザをより強化したWebブラウザなどになるという。
その具体的な製品として、Chromiumベースのセキュア・ブラウザとなる「Avast Secure Browser」をあげた。ユーザー識別に使える「デジタルアイデンティティ」を隠す機能、オンライントラッキングを阻止する機能などが含まれており、ユーザーのプライバシーが流出しないように配慮されているという。
すでにWindows版は以前から提供されてきたが、この4月からAndroid版の日本語版も追加され、利用できるようになっているとのことだった。そうしたアンチウィルスソフトウェアだけでなく、さまざまなかたちのセキュリティソフトウェアを提供していくことで、ユーザーがPCやスマートフォンを使う上で安心して使えるようにセキュリティ性を高めていく、それが同社の戦略だとペコウチェック氏は説明した。
これからのサイバーセキュリティは「AI対AI」という局面に、AvastもAIへの投資を増やしていく
現在でもサイバーセキュリティでターゲットになっているプラットフォームは何なのかとペコウチェック氏に聞いてみると、「依然としてWindowsとAndroidの2つがもっとも狙われている」との答えが返ってきた。両プラットフォームともにバージョンが上がるごとによりセキュアになっているが、結局の所プログラマブルなOSは依然としてユーザーのデータを盗みたいと考える不心得者にとっては狙いたいOSであるという状況には変わっていないということだった。
ペコウチェック氏によれば、最近のサイバーセキュリティのトレンドは、AIなのだという。それはAvastのようなセキュリティ企業がマシンラーニング(機械学習)/ディープラーニング(深層学習)ベースのAIを分析などに活用しているというだけでなく、攻撃側にもAIを活用している節があるという。つまり状況としては「AI対AI」という状況が発生しており、近い将来にはサイバーセキュリティの世界では、守る側もAI、攻める側もAIという状況になると考えられているという。
このため、AvastもAIへの投資を強めており、そもそも昨年CTOに就任したばかりのペコウチェック氏自身もAvastに加わる前は、プラハのチェコ工科大学で情報工学科長を務めており、AIを長年研究してきたエキスパートだ。
AIとAIがサイバースペースで戦うと言われても、ハリウッドの映画でしかあり得ないシーンだと思っていたが、近い将来、今読者が使っているPCの上でも、Avastのような企業が提供するAIソフトウェアと、攻撃者が送り込んできたAIソフトウェアが戦う、そんな未来がそこまで迫っているのかもしれない……少なくともAvastは本気でそう考えている。