TikTokは、プラットフォーム上のハイプロファイルアカウントを乗っ取るために悪意のあるアクターによって悪用されたセキュリティ問題を認めた。この問題は、ダイレクトメッセージを介して拡散されるマルウェアにより、ユーザーがクリックや対話をしなくてもブランドやセレブリティのアカウントが侵害されるゼロクリックアカウント乗っ取りキャンペーンに関連している。影響を受けたユーザー数は現在不明だが、TikTokのスポークスパーソンは、攻撃を停止し将来的な発生を防ぐための予防措置を講じたと述べている。また、攻撃によって「非常に少数」のユーザーが侵害されたとし、影響を受けたアカウント所有者と直接連絡を取り、アクセスの回復を支援している。攻撃の性質や講じた緩和技術については具体的な情報は提供されていない。
以前にもTikTokではセキュリティ問題が発見されており、2021年1月にはCheck Pointがアプリのユーザーとその関連電話番号のデータベースを構築する可能性のある欠陥を詳述し、2022年9月にはMicrosoftが特別に作成されたリンクをクリックした犠牲者のアカウントを乗っ取ることができるAndroidアプリのワンクリックエクスプロイトを発見している。さらに、昨年トルコで最大70万のTikTokアカウントが侵害されたと報告されており、SMSメッセージの不安全なチャネルを介したgreyroutingが敵対者による一度限りのパスワードの傍受とTikTokユーザーのアカウントへのアクセス、いいねやフォロワーの増加を可能にした。また、TikTokのInvisible Challengeを利用して情報窃取マルウェアを配布するなど、攻撃者が非伝統的な手段を通じてマルウェアを拡散しようとする努力が続いている。
TikTokの中国ルーツは、アプリがアメリカのユーザーに関する機密情報を収集し、プロパガンダを推進するための手段として使用される可能性があるという懸念を引き起こし、結果としてByteDanceからの分離がなければビデオアプリを禁止する法律が成立した。先月、このソーシャルメディア大手は、この法律が「言論の自由に対する異常な侵害」であり、禁止を正当化するためにアメリカが提出したのは「推測に基づく懸念」に過ぎないと述べ、米国で訴訟を起こした。インド、ネパール、セネガル、ソマリア、キルギスタンなど他の国々もTikTokに類似の禁止措置を課しており、米国、英国、カナダ、オーストラリア、ニュージーランドを含む複数の国が政府機関のデバイスでのアプリ使用を禁じている。
【ニュース解説】
TikTokは、そのプラットフォーム上で高プロファイルなアカウントが悪意ある攻撃者によって乗っ取られるセキュリティ問題を認めました。この攻撃は、ダイレクトメッセージを通じて拡散されるマルウェアにより、ユーザーが何もクリックや操作をしなくてもアカウントが侵害される「ゼロクリックアカウント乗っ取りキャンペーン」として知られています。TikTokはこの問題に対処し、将来的な攻撃を防ぐための予防措置を講じたと述べていますが、具体的な攻撃の詳細や緩和策については明らかにしていません。
この問題は、TikTokが以前にもセキュリティの脆弱性に直面していたことを示しています。過去には、アプリの欠陥が攻撃者によるユーザーデータベースの構築や、特定のリンクをクリックすることでアカウントを乗っ取る可能性があることが明らかにされています。また、SMSメッセージの不安全な転送を利用した攻撃や、Invisible Challengeを通じたマルウェアの配布など、攻撃者が非伝統的な手段を用いてマルウェアを拡散しようとする試みが続いています。
TikTokの中国ルーツに関する懸念は、アプリがアメリカのユーザーに関する機密情報を収集し、プロパガンダを推進するための手段として使用される可能性があるという議論を引き起こしています。これは、アメリカを含む複数の国でTikTokに対する規制や禁止措置が取られる背景となっています。
このようなセキュリティ問題は、ユーザーのプライバシーとセキュリティに対する懸念を高めるだけでなく、企業や政府機関におけるTikTokの使用に関するポリシーの見直しを促す可能性があります。また、ソーシャルメディアプラットフォームが直面するセキュリティリスクの管理と、ユーザーの安全を保護するための効果的な対策の必要性を浮き彫りにしています。
ポジティブな側面としては、このような問題が公になることで、TikTokを含むソーシャルメディア企業がセキュリティ対策を強化し、より安全なプラットフォームを提供するための動機付けになる可能性があります。しかし、潜在的なリスクとしては、攻撃者が常に新しい手法を開発しているため、企業がこれらの脅威に迅速に対応することがますます困難になっていることが挙げられます。
将来的には、ソーシャルメディアプラットフォームとセキュリティ専門家が協力して、ユーザーのセキュリティを確保するための新しい技術やプロトコルの開発に注力することが期待されます。また、ユーザー自身もセキュリティ意識を高め、不審なメッセージやリンクに注意を払うことが重要です。
from Celebrity TikTok Accounts Compromised Using Zero-Click Attack via DMs.
