C'tは本日、カスペルスキーがユーザーの同意なしにすべてのウェブページのHTMLソースにユニバーサルユニーク識別子(UUID)を挿入していたと報じました。以前のバージョンのウイルス対策ソフトウェアはユーザーごとにUUIDを生成していましたが、7月11日のパッチでUUIDはそれほど一意ではない識別子に変更されましたが、挿入は阻止されませんでした。
カスペルスキーは実質的にその逆のことをした。同社は6月に、このウイルス対策ソフトがユーザーがアクセスしたすべてのウェブページにUUIDを含む文字列を挿入していることを発見したと発表した。これらのUUIDがなぜ挿入されたのか(Googleの検索結果の一部を「安全」とマークする機能が原因の可能性もあるが)、またどのように使用されるはずだったのかは不明だ。同社はユーザーの同意なしにこれらのUUIDを生成し、ウェブページに挿入しただけだった。
C't社は、カスペルスキー社に問題を報告する前に、これらのUUIDを収集できるシンプルなウェブサイトを構築したと述べています。その後、カスペルスキー社に問題を伝え、問題の深刻度について多少のやり取りを行い、7月にカスペルスキー社がパッチをリリースするのを見守りました。しかし、その後の調査で、カスペルスキー社はユーザーのブラウジング活動にこの文字列を挿入するのをやめたわけではなく、単にUUIDを静的な識別子に置き換えただけであることが判明しました。
この変更により、カスペルスキーのコードインジェクションによるプライバシーへの影響は軽減されます。しかし、顧客のリスクが完全になくなるわけではありません。カスペルスキー製品を使用している人物が特定できれば、依然として貴重な情報となる可能性があるからです。以前のバージョンのウイルス対策ソフト(最新バージョンでは修正済みの脆弱性が含まれている可能性が高い)に依存しているユーザーは、本来保護対象であるはずのツールが脆弱性を露呈したために、標的にされる可能性があります。
今週初め、Windows Defender の改良により、Windows 10 向けのサードパーティ製ウイルス対策ソリューションを推奨することが困難になったとお伝えしました。しかし、Kaspersky がウェブサイト運営者に、ユーザーの知らないうちに、あるいは同意なしにユーザーを追跡する容易な手段を与えていたという事実を考えると、推奨はさらに困難になります。ユーザーはシステムを守るためにツールを購入したのに、実際には、固有の識別子を意図的に世界中に発信するツールを入手してしまったのです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
