チェック・ポイント・リサーチ、TikTokに複数の脆弱性を発見

2020/01/14  チェック・ポイント・ソフトウェア・テクノロジーズ 株式会社 

住所やメールアドレスなどの個人情報漏えいリスク


包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント、https://www.checkpoint.co.jp/)の脅威インテリジェンス調査部門であるチェック・ポイント・リサーチ(Check Point Research)は本日、TikTokから複数の脆弱性を発見したと発表しました。この脆弱性は、攻撃されるとユーザ アカウント上のコンテンツが不正に操作され、そこに保存されている個人情報が漏えいする可能性がありました。

TikTokのユーザは、10代の若者や子供が多く、このアプリを使用して自分や友人の個人的な(時には他人には見せたくないような)動画を共有、保存、保管しています。今回の調査では、攻撃者が悪意のあるリンクを含んだなりすましSMSメッセージをユーザに送信できることが判明しました。ユーザがリンクをクリックすると、攻撃者はTikTokアカウントを乗っ取り、動画の削除、不正な動画のアップロード、プライベート動画、または「非公開」の動画を公開するなど、不正な操作がで可能となります。

さらに今回の調査では、Tiktokのサブドメインであるhttps://ads.tiktok.comがXSS攻撃に対して脆弱であるということも分かりました。XSS攻撃は、信頼できる正当なウェブサイトに悪意のあるスクリプトを注入する攻撃です。チェック・ポイントの研究者は、この脆弱性を利用して、ユーザのメールアドレスや誕生日など、ユーザ アカウント内に保存されている個人情報を抽出することに成功しました。

チェック・ポイント・リサーチは、今回の調査で判明した脆弱性についてTikTokの開発者に報告し、それを受けたTikTokの開発者により、ユーザが安心して使えるようにアプリの修正が行われています。

チェック・ポイントの製品脆弱性調査担当責任者であるオーデッド・ヴァヌヌ(Oded Vanunu)は次のように述べています。「データはいたる所にありますが、データ漏えいもまん延しています。私たちの最新の調査によると、その他にも非常に人気の高いアプリでもリスクがあることが分かっています。SNSアプリは、個人情報を盗取するための有益な情報源であり、また攻撃サーフェス(攻撃対象となる領域)の侵入口としても魅力的なため、脆弱性を悪用される可能性が非常に高いといえます。攻撃者は多額のお金と膨大な手間をかけて、この種の人気の高いアプリに侵入しようとしています。それにもかかわらずユーザの多くは、自分が使用しているアプリは保護されていると認識しています。」

TikTokのセキュリティ チームのルーク・デショーテル博士(Luke Deshotels, PhD)は次のように述べています。「TikTokは、ユーザ データの保護に全力を注いでいます。他の多くの企業と同様、セキュリティ調査の担当者にはゼロデイ脆弱性が発見された場合、私たちに非公開で報告するようお願いしています。チェック・ポイントには、報告があった問題点がTikTokの最新バージョンで修正できていることを公表前に確認してもらっています。今回無事に解決したことで、今後もセキュリティ調査担当者の皆様とのコラボレーションが促進されることを期待しています。」

世界中の150以上の市場に75の言語で、10億人以上のユーザを抱えるTikTokは、現在最もダウンロード数の多いアプリの1つです。2019年10月現在、TikTokは米国でも最もダウンロード数の多いアプリとなり、中国製アプリとして新記録を達成しています。

今回の調査に関する詳細は、チェック・ポイント・リサーチのブログ(https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/)(英語)で確認できる他、攻撃のデモ動画もブログ内で公開しています。

本リリースは、米国カリフォルニア州で2020年1月8日(現地時間)に配信されたものの抄訳です。英語のリリース全文はこちら(https://www.checkpoint.com/press/2020/check-point-research-reveals-multiple-vulnerabilities-in-tiktok/)をご確認ください。

■チェック・ポイントの調査結果をフォロー
ブログ・・・ https://research.checkpoint.com/
ツイッター・・・ https://twitter.com/_cpresearch_

■Check Point Researchについて
Check Point Researchは、チェック・ポイントのソフトウェアのお客様や脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。ThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを追跡しながら、自社製品に搭載される保護機能の開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながらサイバーセキュリティ対策に取り組んでいます。

■チェック・ポイント・ソフトウェア・テクノロジーズについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー セキュリティ ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.co.jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

関連業界