ーTech for Human Evolutionー

更新して最新の内容を表示する

最新ニュース一覧

ニュースカテゴリ

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーと社会
ロボティクス
ヘルスケア
ブロックチェーン
半導体
もっと見る

生成AIガイド

チャットボット

ドローン

モビリティ

テクノロジーとエンタメ

バイオテクノロジー

ニューロテクノロジー

メタバース

デジタルツイン

デジタルアイデンティティ

3Dプリンター

エッジコンピューティング

クラウドコンピューティング

エネルギー技術

サステナブル

スマート農業

スマート工業

ナノテクノロジー

テクノロジーと経済

IoT

ビッグデータ

未分類

人気のタグ

著作権
今日は何の日
インタビュー
Windows11
防災テック
GPT-5
Google
Apple
AWS
OpenAI
Anthropic
Meta
Microsoft
XREAL
Android XR
Nvidia
ホーム » サイバーセキュリティ » サイバーセキュリティニュース »

Huddle01で60万件超のデータ流出、暗号資産ウォレットと個人情報が紐付け被害に

 

[公開]

Huddle01で60万件超のデータ流出、暗号資産ウォレットと個人情報が紐付け被害に - innovaTopia - (イノベトピア)

Cybernewsの調査チームは、ビデオ通話アプリHuddle01が保護されていないKafkaブローカーを通じて60万件以上のユーザーログを流出させていたことを2025年10月15日に報告した。

Huddle01は分散型WebRTC技術に焦点を当てたアプリで、暗号資産ユーザーの間で人気がある。流出したKafkaインスタンスには過去13日分で62万1,000件以上のログエントリが含まれており、ユーザー名、実名、メールアドレス、BitcoinやEthereumなどの暗号資産ウォレットアドレス、通話参加者や国、時刻、日付、通話時間などの詳細なアクティビティデータが含まれていた。

このブローカーは認証も暗号化もなしで動作しており、誰でもアクセス可能な状態だった。Cybernewsは責任を持って企業に開示したが、企業は応答せず、1か月後もサーバーはアクセス可能なままだった。

From: 文献リンクVideo call app Huddle01 exposed 600K+ user logs

【編集部解説】

今回のHuddle01のデータ流出事案は、Web3やブロックチェーン技術を標榜するサービスが抱える根本的な矛盾を浮き彫りにしています。分散型WebRTCという技術的アプローチでプライバシー保護を謳いながら、インフラの基本的なセキュリティ設定を怠っていたという点は、技術思想と運用実態の乖離を示す典型例と言えるでしょう。

特に注目すべきは、暗号資産ウォレットアドレスと個人情報が紐付けられてしまった点です。ブロックチェーンの基本原則である匿名性が、このような設定ミスによって容易に崩壊する脆弱性が明らかになりました。暗号資産保有者は常に高額資産を持つ標的として狙われやすく、今回の流出データは攻撃者にとって極めて価値の高い情報となります。

Kafkaブローカーは本来、大量のデータストリームを効率的に処理するための強力なツールですが、認証も暗号化もない状態で公開されていたことは、セキュリティの基礎を無視した運用と言わざるを得ません。しかも企業が1か月間も脆弱性報告に対応しなかったという事実は、組織のセキュリティガバナンスに深刻な問題があることを示唆しています。この対応の遅れは、ユーザーがサービスを選ぶ際に、技術的な先進性だけでなく、運営組織のインシデント対応体制や透明性も重要な判断基準とすべきであることを示しています。

この事案が示すのは、分散型技術やプライバシー重視を掲げるサービスであっても、実装レベルでの基本的なセキュリティ対策が伴わなければ、その理念は空虚なものになるという教訓です。ユーザーにとっては、サービスの謳い文句だけでなく、運営体制やセキュリティインシデントへの対応姿勢を見極める必要性が高まっています。

【用語解説】

WebRTC(Web Real-Time Communication)
ブラウザやモバイルアプリケーション間で、プラグインなしにリアルタイムで音声、映像、データを直接やり取りできるオープンソース技術。中央サーバーを経由せず、デバイス間で直接通信することで低遅延とプライバシー保護を実現する。

Kafkaブローカー
Apache Kafkaというデータストリーミングプラットフォームの中核コンポーネント。大量のリアルタイムデータを受信、保存、配信する役割を担う。認証や暗号化を適切に設定しなければ、誰でもデータにアクセスできる状態になる。

分散型(Decentralized)
中央集権的な管理者やサーバーに依存せず、複数のノードやユーザー間で機能やデータを分散させるシステム設計。ブロックチェーン技術やWeb3の基本概念として用いられる。

ソーシャルエンジニアリング
技術的な脆弱性を突くのではなく、人間の心理的な隙や信頼関係を悪用して機密情報を窃取する攻撃手法。実名や会議履歴などの情報を使って信頼性の高い詐欺メッセージを作成する。

二要素認証(2FA)
パスワードに加えて、SMSコードやアプリで生成されるワンタイムパスワードなど、2つ目の認証要素を要求するセキュリティ手法。アカウントの不正アクセスを防ぐ効果が高い。

【参考リンク】

Huddle01公式サイト(外部)
分散型WebRTC技術を活用したビデオ通話アプリケーション。暗号資産ユーザー向けに複数のブロックチェーンウォレット統合をサポートしている。

Apache Kafka公式サイト(外部)
大規模なリアルタイムデータストリーミングを処理するためのオープンソースプラットフォーム。Apache財団が管理する分散型システム。

Cybernews(外部)
サイバーセキュリティに関する調査報道を専門とするメディア。脆弱性の発見や責任ある開示活動、データ漏洩分析を提供している。

Malwarebytes公式サイト(外部)
マルウェア対策とサイバーセキュリティソリューションを提供する企業。個人向けおよび企業向けのセキュリティ製品を開発展開。

【参考記事】

Video call app Huddle01 leaks sensitive user data(外部)
Cybernewsによる原典調査報告。62万1,000件以上のログ流出と企業が1か月間対応しなかった経緯を詳細に記載。

【編集部後記】

分散型やプライバシー重視を掲げるサービスを選ぶ際、皆さんはどんな基準で判断していますか?今回の事案は、技術思想と実際の運用体制が一致しているかを見極める重要性を示しています。

ビデオ通話アプリに限らず、暗号資産関連のサービスを利用する際は、セキュリティインシデントへの対応履歴や、脆弱性報告に対する姿勢もチェックしてみてはいかがでしょう。二要素認証の設定や、ウォレットアドレスと個人情報を紐付けない工夫など、自衛策も改めて見直したいですね。

 
投稿者アバター
TaTsu
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。
自己紹介の全文を表示

今日は何の日?

読み込み中…
advertisements
読み込み中…

Follow US