TikTokが20億件のデータ漏洩を否定、今ユーザーがすべきこと

今月初め、私はセキュリティ研究者がTikTok（ティックトック）の重大な脆弱性を発見し、ユーザーが1クリックでアカウントを乗っ取られる可能性があることを報告した。この問題は、Android（アンドロイド）アプリのユーザーに影響を与え、TikTokによって随分前にパッチが適用されている。しかし、TikTokのユーザーが安堵のため息をついた矢先、TikTok USがハッキングされたという報告が、まずオンラインのデータ・ブリーチ・マーケットプレイス・フォーラムで、そしてTwitter（ツイッター）で出回り始めた。TikTokの広報担当者は、セキュリティ侵害の証拠は見つかっていないと述べている。セキュリティ専門家は、TikTokのユーザーに対し、用心のためとにかくパスワードを変更し、2要素認証を確実に作動させることを勧めている。

TikTokのハッキング疑惑

ハッキング疑惑の最初の報告は、米国時間9月3日にBreach Forums（ブリーチ・フォーラム）の掲示板に出た。AgainstTheWestというハンドルネームのユーザーが、TikTokとWeChat（ウィーチャット）に侵入したスクリーンショットと称するものを投稿した。その投稿の中で、このユーザーは、盗まれたとされるデータについて「それを売りたいのか、公開したいのか、まだ決めていない」と述べた。2つのデータサンプルへのリンクと、1セットのデータベーステーブルの動画が公開されていた。さらに投稿者は、データベースから20億件のレコードを抽出したと主張している。9月3日のツイッター投稿では、ユーザーのBlueHornet|AgainstTheWest（ブルーホーネット|アゲインスト・ザ・ウェスト）は「内部バックエンドソースコード」を盗んだとも主張している。

TikTok「セキュリティ侵害の証拠はない」

詳しい情報を得るためにTikTokに連絡を取った私に、TikTokの広報担当者は以下のように答えた。「TikTokは、ユーザーデータのプライバシーとセキュリティを優先しています。当社のセキュリティチームがこれらの主張を調査したところ、セキュリティ侵害の証拠は見つかりませんでした」

Bloomberg UKによる以前の声明では、盗まれたソースコードの疑惑を直接取り上げていた。「我々のセキュリティチームはこの声明を調査し、問題のコードはTikTokのバックエンドソースコードとはまったく無関係であると判断しました」

しかし、このデータがどこからきたのかという疑問は、まだ残っている。

データ流出情報サイトhaveibeenpwnedのトロイ・ハントは、サンプルデータが本物かどうかを検証するために、ツイッターに長文のスレッドを投稿した。多くの分析の後、彼の結論は、この証拠は「今のところ、かなり決定的ではない」ということだ。ハントはさらに、本番の情報と一致するデータもあるが、これもいずれにせよ公開されているものだという。彼はまた、いくつかの「ジャンク」データを見つけたが、これは非本番またはテストデータである可能性があることを認めている。

Hacker Newsフォーラムのスレッドでは、このデータはTikTok自体からではなく、マーケティングやeコマース目的でTikTokと統合しているサードパーティからきたもののように思えるという指摘がなされている。しかし、そもそもサードパーティがこの種のデータにアクセスできるのかどうか、ましてや実際に侵害されたかどうかは、現時点では明らかではない。

流出したサンプル内のサードパーティデータが「漏洩」元を探る手がかりに

TikTokの広報担当者から、次のような最新の声明が提供された。TikTokのデータ漏洩が、実はサードパーティのデータベース侵害だったという疑いは、これでほぼ確定したようなものだ。

「当社のセキュリティチームは、セキュリティ侵害の証拠を発見していません。問題のデータサンプルはすべて一般に公開されており、TikTokのシステム、ネットワーク、データベースが侵害されたものではないことが確認されました。また、サンプルにはTikTokとは関係のない1つまたは複数のサードパーティーのソースからのデータが含まれているようです。私たちは、ユーザーが積極的に行動する必要はないと考えており、グローバルコミュニティの安全性とセキュリティに引き続き取り組んでいきます」

データ漏洩の専門家からは「AgainstTheWest」が共有したサンプルはスクレイピングされたデータで構成されているという指摘がすでに出ていた。つまり、一般に公開されているデータを、多くの場合、自動処理（ボット）によって収集し、マーケティングや電子商取引用にデータベース化したものだった。新しいTikTokの声明は、このことを裏づけている。このようなスクレイピングされたデータベースには、さまざまなソースからのデータが含まれることは確かに珍しくなく、それは声明の中でサードパーティデータについて言及されていることでも確認できる。

しかし、このデータスクレイピングの指摘は、それほど単純なものではない。Bleeping Computerのレポートによると、TikTokの広報担当者は、TikTokが「自動スクリプトによるユーザー情報の収集を防止する適切なセキュリティ保護手段」があるため、流出したデータはプラットフォームの「直接スクレイピング」によるものではありえないと語っているとのことだ。

しかし、サードパーティとの関連性をさらに確認するため、データベースの漏洩や侵害に関する研究で有名なサイバー脅威情報アナリストのボブ・ディアチェンコは、TikTokの漏洩疑惑サンプルデータの分析結果をツイートしている。ディアチェンコによると、このデータは、中国浙江省杭州市に拠点を置く企業から提供された可能性が高いとのことだ。私は、この会社に連絡を取ろうとしたが、今のところうまくいっていない。

この件に関するツイッター投稿で、ハントは、TikTokの漏洩を確認できるものはまだ何もないと述べている。ハントは「（パスワードリセットのような）列挙を通じて存在を確認できるメールアドレス」も「アカウントと一致するハッシュ化したパスワード」もないとツイートしている。

一方、TikTok漏洩データサンプルとされるものが公開されていたブリーチ・マーケット・プレイス・フォーラムの「AgainstTheWest」アカウントはBANされた。これらの投稿を削除するとともに、フォーラムの管理者は「データ侵害について嘘をついている」として、このユーザーを追放したと表明している。ツイッターはBlueHornet|AgainstTheWestのユーザーアカウントも停止している。

今、TikTokユーザーは何をするべきか

TikTokによる最新の声明では、ユーザーは積極的に行動する必要はないと忠告しているが、十分な警戒心を持つことに害はない。TikTokのユーザーは、パスワードを変更し、追加の保護レイヤーとして2要素認証を有効にすることをお勧めする。

セキュリティ企業ESETのグローバル・サイバーセキュリティ・アドバイザーであるジェイク・ムーアは、次のように述べている。「このデータは純粋にサイトから公然とかき集められた広く公開されたデータである可能性がありますが、それでも世界最大のソーシャルメディアプラットフォームが犯罪的ハッカーを惹きつけ、彼らは容赦なく、そこにどんな脆弱性があるのかを探し続けるという事実を浮き彫りにしています。これが、すべてのアカウントが潜在的に脆弱である原因となる本当に個人的なデータであることが判明した場合であろうと、またはサイトからの単なるオープンな情報である場合であろうと、ユーザーは、アプリ内でセキュリティアラートを有効にして2要素認証をオンにし、アカウントで使用するパスワードが他のアカウントと異なるものであることを確認する必要があります」

2022-09-06 21:30:57