チェック・ポイント・リサーチ、TikTokに複数の脆弱性を発見
PR TIMES / 2020年1月14日 14時25分
住所やメールアドレスなどの個人情報漏えいリスク
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント、https://www.checkpoint.co.jp/)の脅威インテリジェンス調査部門であるチェック・ポイント・リサーチ(Check Point Research)は本日、TikTokから複数の脆弱性を発見したと発表しました。この脆弱性は、攻撃されるとユーザ アカウント上のコンテンツが不正に操作され、そこに保存されている個人情報が漏えいする可能性がありました。
TikTokのユーザは、10代の若者や子供が多く、このアプリを使用して自分や友人の個人的な(時には他人には見せたくないような)動画を共有、保存、保管しています。今回の調査では、攻撃者が悪意のあるリンクを含んだなりすましSMSメッセージをユーザに送信できることが判明しました。ユーザがリンクをクリックすると、攻撃者はTikTokアカウントを乗っ取り、動画の削除、不正な動画のアップロード、プライベート動画、または「非公開」の動画を公開するなど、不正な操作がで可能となります。
さらに今回の調査では、Tiktokのサブドメインであるhttps://ads.tiktok.comがXSS攻撃に対して脆弱であるということも分かりました。XSS攻撃は、信頼できる正当なウェブサイトに悪意のあるスクリプトを注入する攻撃です。チェック・ポイントの研究者は、この脆弱性を利用して、ユーザのメールアドレスや誕生日など、ユーザ アカウント内に保存されている個人情報を抽出することに成功しました。
チェック・ポイント・リサーチは、今回の調査で判明した脆弱性についてTikTokの開発者に報告し、それを受けたTikTokの開発者により、ユーザが安心して使えるようにアプリの修正が行われています。
チェック・ポイントの製品脆弱性調査担当責任者であるオーデッド・ヴァヌヌ(Oded Vanunu)は次のように述べています。「データはいたる所にありますが、データ漏えいもまん延しています。私たちの最新の調査によると、その他にも非常に人気の高いアプリでもリスクがあることが分かっています。SNSアプリは、個人情報を盗取するための有益な情報源であり、また攻撃サーフェス(攻撃対象となる領域)の侵入口としても魅力的なため、脆弱性を悪用される可能性が非常に高いといえます。攻撃者は多額のお金と膨大な手間をかけて、この種の人気の高いアプリに侵入しようとしています。それにもかかわらずユーザの多くは、自分が使用しているアプリは保護されていると認識しています。」
TikTokのセキュリティ チームのルーク・デショーテル博士(Luke Deshotels, PhD)は次のように述べています。「TikTokは、ユーザ データの保護に全力を注いでいます。他の多くの企業と同様、セキュリティ調査の担当者にはゼロデイ脆弱性が発見された場合、私たちに非公開で報告するようお願いしています。チェック・ポイントには、報告があった問題点がTikTokの最新バージョンで修正できていることを公表前に確認してもらっています。今回無事に解決したことで、今後もセキュリティ調査担当者の皆様とのコラボレーションが促進されることを期待しています。」
世界中の150以上の市場に75の言語で、10億人以上のユーザを抱えるTikTokは、現在最もダウンロード数の多いアプリの1つです。2019年10月現在、TikTokは米国でも最もダウンロード数の多いアプリとなり、中国製アプリとして新記録を達成しています。
今回の調査に関する詳細は、チェック・ポイント・リサーチのブログ(https://research.checkpoint.com/2020/tik-or-tok-is-tiktok-secure-enough/)(英語)で確認できる他、攻撃のデモ動画もブログ内で公開しています。
本リリースは、米国カリフォルニア州で2020年1月8日(現地時間)に配信されたものの抄訳です。英語のリリース全文はこちら(https://www.checkpoint.com/press/2020/check-point-research-reveals-multiple-vulnerabilities-in-tiktok/)をご確認ください。
■チェック・ポイントの調査結果をフォロー
ブログ・・・ https://research.checkpoint.com/
ツイッター・・・ https://twitter.com/_cpresearch_
■Check Point Researchについて
Check Point Researchは、チェック・ポイントのソフトウェアのお客様や脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。ThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを追跡しながら、自社製品に搭載される保護機能の開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながらサイバーセキュリティ対策に取り組んでいます。
■チェック・ポイント・ソフトウェア・テクノロジーズについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー セキュリティ ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.co.jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
チェック・ポイント、GigaOm社の最新版レーダーレポートで「Security Policy as Code」部門のリーダー企業に選出
PR TIMES / 2024年9月18日 17時40分
-
チェック・ポイント・リサーチ、2024年に最もサイバー攻撃の標的にされているのは教育業界であると警告 アジア太平洋地域はグローバルと比較して約2倍の攻撃を受けていることも明らかに
PR TIMES / 2024年9月11日 14時15分
-
Check Point、セキュリティオペレーションの強化とマネージド脅威インテリジェンスソリューションの拡充のためにCyberintを買収
PR TIMES / 2024年9月5日 11時31分
-
チェック・ポイント・ソフトウェア・テクノロジーズ、ワークスペースの安全を守る、新たな生成AIソリューションを発表
PR TIMES / 2024年8月23日 12時45分
-
チェック・ポイント・リサーチ、2024年7月に最も活発だったマルウェアを発表 国内ではAndroxgh0st が依然首位、世界的なRemcosとRansomHubの蔓延を確認
PR TIMES / 2024年8月22日 13時45分
ランキング
-
1ほっかほっか亭「コラボ依頼して賛否」への違和感 日清食品「10分どん兵衛」の成功例に倣えるか
東洋経済オンライン / 2024年9月20日 15時20分
-
2ミニストップ、外国籍の利用客に“不適切な張り紙” 「問題を重く受け止め」謝罪
ORICON NEWS / 2024年9月20日 15時53分
-
3血管をむしばむ「超加工食品依存症」に要注意!医師が食べてほしくないもの3選
THE GOLD ONLINE(ゴールドオンライン) / 2024年9月20日 11時0分
-
4あの「ポーター」が人気商品を大胆に変えた裏側 価格2倍にしても素材変えた吉田カバンの挑戦
東洋経済オンライン / 2024年9月20日 13時0分
-
5漁業関係者、「ぬか喜びにならなければ」=歓迎も中国側の手のひら返し警戒
時事通信 / 2024年9月20日 20時55分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください