編集部からのお知らせ
SNS分析のトレンドまとめ
注目「Googleのクラウド事業を読み解く」

チェック・ポイント・リサーチ、TikTokに複数の脆弱性を発見

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

From: PR TIMES

2020-01-14 14:25

住所やメールアドレスなどの個人情報漏えいリスク

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント、 (リンク ») )の脅威インテリジェンス調査部門であるチェック・ポイント・リサーチ(Check Point Research)は本日、TikTokから複数の脆弱性を発見したと発表しました。この脆弱性は、攻撃されるとユーザ アカウント上のコンテンツが不正に操作され、そこに保存されている個人情報が漏えいする可能性がありました。

TikTokのユーザは、10代の若者や子供が多く、このアプリを使用して自分や友人の個人的な(時には他人には見せたくないような)動画を共有、保存、保管しています。今回の調査では、攻撃者が悪意のあるリンクを含んだなりすましSMSメッセージをユーザに送信できることが判明しました。ユーザがリンクをクリックすると、攻撃者はTikTokアカウントを乗っ取り、動画の削除、不正な動画のアップロード、プライベート動画、または「非公開」の動画を公開するなど、不正な操作がで可能となります。

さらに今回の調査では、Tiktokのサブドメインである (リンク ») がXSS攻撃に対して脆弱であるということも分かりました。XSS攻撃は、信頼できる正当なウェブサイトに悪意のあるスクリプトを注入する攻撃です。チェック・ポイントの研究者は、この脆弱性を利用して、ユーザのメールアドレスや誕生日など、ユーザ アカウント内に保存されている個人情報を抽出することに成功しました。

チェック・ポイント・リサーチは、今回の調査で判明した脆弱性についてTikTokの開発者に報告し、それを受けたTikTokの開発者により、ユーザが安心して使えるようにアプリの修正が行われています。

チェック・ポイントの製品脆弱性調査担当責任者であるオーデッド・ヴァヌヌ(Oded Vanunu)は次のように述べています。「データはいたる所にありますが、データ漏えいもまん延しています。私たちの最新の調査によると、その他にも非常に人気の高いアプリでもリスクがあることが分かっています。SNSアプリは、個人情報を盗取するための有益な情報源であり、また攻撃サーフェス(攻撃対象となる領域)の侵入口としても魅力的なため、脆弱性を悪用される可能性が非常に高いといえます。攻撃者は多額のお金と膨大な手間をかけて、この種の人気の高いアプリに侵入しようとしています。それにもかかわらずユーザの多くは、自分が使用しているアプリは保護されていると認識しています。」

TikTokのセキュリティ チームのルーク・デショーテル博士(Luke Deshotels, PhD)は次のように述べています。「TikTokは、ユーザ データの保護に全力を注いでいます。他の多くの企業と同様、セキュリティ調査の担当者にはゼロデイ脆弱性が発見された場合、私たちに非公開で報告するようお願いしています。チェック・ポイントには、報告があった問題点がTikTokの最新バージョンで修正できていることを公表前に確認してもらっています。今回無事に解決したことで、今後もセキュリティ調査担当者の皆様とのコラボレーションが促進されることを期待しています。」

世界中の150以上の市場に75の言語で、10億人以上のユーザを抱えるTikTokは、現在最もダウンロード数の多いアプリの1つです。2019年10月現在、TikTokは米国でも最もダウンロード数の多いアプリとなり、中国製アプリとして新記録を達成しています。

今回の調査に関する詳細は、チェック・ポイント・リサーチのブログ( (リンク ») )(英語)で確認できる他、攻撃のデモ動画もブログ内で公開しています。

本リリースは、米国カリフォルニア州で2020年1月8日(現地時間)に配信されたものの抄訳です。英語のリリース全文はこちら( (リンク ») )をご確認ください。

■チェック・ポイントの調査結果をフォロー
ブログ・・・ (リンク »)
ツイッター・・・ (リンク »)

■Check Point Researchについて
Check Point Researchは、チェック・ポイントのソフトウェアのお客様や脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。ThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを追跡しながら、自社製品に搭載される保護機能の開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながらサイバーセキュリティ対策に取り組んでいます。

■チェック・ポイント・ソフトウェア・テクノロジーズについて
チェック・ポイント・ソフトウェア・テクノロジーズ( (リンク ») )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー セキュリティ ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( (リンク ») )は、1997年10月1日設立、東京都港区に拠点を置いています。

プレスリリース提供:PR TIMES (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    マンガで解説、移行済みの担当者にも役立つ! Windows10移行&運用ガイド

  2. クラウドコンピューティング

    カギは物理世界とクラウドの接続あり!成果が出やすいIoT活用のアプローチを知る

  3. クラウドコンピューティング

    IoTにはこれだけのサイバー攻撃リスクが!まずはベストプラクティスの習得を

  4. セキュリティ

    エンドポイントの脅威対策をワンストップで提供 現場の負荷を軽減する運用サービス活用のススメ

  5. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]