*米国・カリフォルニア時間2020年2月25日にWhiteHat Security社が寄稿したブログ記事の参考和訳です。

WhiteHat Security社ブログ原文:https://www.whitehatsec.com/blog/vulnerabilities-to-popular-tiktok-app-leaves-sensitive-user-data-exposed/

2020年1月8日、人気のソーシャルメディアアプリ「TikTok」の一連の脆弱性により、サイバー犯罪者がユーザーアカウントのコンテンツ(機微な個人情報)を操作できる可能性があることが判明しました。流出したデータにはメールアドレスや生年月日などが含まれており、個人を特定できる他の情報(PII)と組み合わせてなりすましに利用される可能性があります。

このアプリは主にティーンエイジャーや子供たちが短いリップシンク動画やループ動画などを作成するために使用され、ユーザーは自分自身や親しい人の動画を共有・保存することができます。動画にはユーザーが非公開にしたい個人的な情報や機微な情報が含まれることがあり、これらが危険にさらされました。

TikTokはこの脆弱性が明らかにGDPRに違反することから、さらに厳しい調査を受ける可能性があります。同社は既に子供の保護を怠ったとしてGDPR違反の調査を受けており、子供のオンラインプライバシー保護法に違反したとして米国で570万ドルの罰金を科されています。機密性の高いユーザーデータがさらされることで、情報を保護しない企業には財政的負担が発生します。

また、サブドメインの脆弱性によりTikTokはクロスサイトスクリプティング攻撃を受ける可能性がありました。クロスサイトスクリプティング(XSS)とはインジェクション攻撃の一種で、信頼できるウェブサイトに悪意のあるスクリプトを挿入する攻撃です。攻撃者がウェブアプリケーションを使用して悪意のあるコードを(一般的にはブラウザ側のスクリプトの形式で)エンドユーザーに送信します。残念ながらエンドユーザ側のブラウザが信頼すべきでないスクリプトを認識する方法はなく、スクリプトは実行されます。

攻撃者はクロスサイトスクリプティングの脆弱性を利用して、同一オリジンポリシーなどのアクセス制御を迂回することができます。XSS攻撃の影響は、脆弱性のあるサイトが扱うデータの機密性や、サイトの所有者の実施するセキュリティの内容に応じて、迷惑行為から重大なセキュリティリスクに至るまで多岐にわたります。これらの攻撃は、ウェブアプリケーションが生成する出力に、ユーザーからの入力を検証やエンコードせずに使用することを可能にする欠陥があるために成功します。

対照的に、クロスサイトリクエストフォージェリは、ウェブサイトがユーザーに対して持っている信頼を悪用します。これは最も一般的なウェブ脆弱性の一つで、フィッシング攻撃、ウェブサイトの改ざん、セッションの乗っ取り、被害者のコンピュータへのマルウェアのインストールにつながる可能性があります。

この事件は、すべての企業がセキュリティを最優先事項とし、IT資産全体を保護すべき脆弱性資産とみなすことがいかに重要であるかを示しています。これには、API、ネットワーク接続、モバイルアプリ、ウェブサイト、データベースなどの保護が含まれ、これらはすべてセキュリティ保護しないと悪意のある攻撃者の侵入口となる可能性があります。

WhiteHat Security の目標は、今日のビジネスの原動力となっているアプリケーションを保護することで、インターネットをより安全なものにすることです。私たちは常にサイバー犯罪者のさまざまな攻撃を意識しますが、アプリケーションのセキュリティ確保は全体のセキュリティ戦略上の大きな部分を占めるといえます。

■WhiteHat Security社の製品紹介、お問い合わせ、資料ダウンロード https://www.whitehatsec.com/ntt/

■本件のお問い合わせ先:

NTTセキュリティ・ジャパン株式会社 IoT事業部 <ntts.nsj-it-all@global.ntt>