ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定

ハッカーがTikTokから大規模なデータを盗み出したとして、そのスクリーンショットをネット上に公開しました。TikTokはデータ侵害が発生した痕跡はないとして情報漏えいを否定している一方、セキュリティ研究者は少なくともデータの一部は本物であるとしています。

TikTok denies security breach after hackers leak user data, source code
https://www.bleepingcomputer.com/news/security/tiktok-denies-security-breach-after-hackers-leak-user-data-source-code/

IT系ニュースサイトのBleepingComputerによると、2022年9月3日に「AgainstTheWest」と呼ばれるハッカーがオンラインフォーラム上で、TikTokとWeChatに侵入したと主張したとのこと。

AgainstTheWestは、Alibabaクラウド経由でTikTokとWeChatからデータを盗んだとして、そのデータのスクリーンショットを公開しました。データは790GBにおよび、その中にはユーザーデータ、プラットフォームの統計、ソフトウェアコード、Cookie、認証トークン、サーバー情報などを含む20億5000万件のレコードが含まれているとされています。

「AgainstTheWest(西側に対抗)」と名乗っていることから、西側諸国を標的にするハッカーのようにも見えますが、TikTokを運営するByteDanceは中国企業であり、WeChatも中国発のアプリです。

サイバーセキュリティ研究者のCyberKnowはAgainstTheWestについて「名前に惑わされないでください。AgainstTheWestは西洋社会にとって脅威であると認識した国をターゲットにしています。現在のターゲットは中国とロシアで、将来的には北朝鮮、ベラルーシ、イランを標的にするという計画を持っています」と説明しました。

AgainstTheWestがデータを盗み出したと主張している一方で、TikTokはデータ侵害を否定し、ハッカーフォーラムでさらされたソースコードもTikTokのものではないと述べました。

TikTokによると、同社は自動化されたスクリプトによるユーザーデータの収集を防ぐためのセキュリティ保護措置を講じているため、流出したデータはTikTokのプラットフォームから直接集められたものではないとのこと。

また、BleepingComputerは「TikTokがByteDanceに、WeChatがTencentに属しており親会社が異なることを踏まえると、単一のデータベースから両社のデータが盗まれたということは、それぞれのプラットフォームから直接流出したものではないことを示しています」と指摘。TikTokやWeChatがいずれもプライバシー問題で目を付けられがちなサービスであることから、問題のデータベースは第三者が両サービスのオープンなデータをスクレイピングしてひとつにまとめたものではないかとのと見方を示しました。

他方で、パスワード流出チェックサイト「Have I Been Pwned?」を手がけるセキュリティ研究者のトロイ・ハント氏は、一部のデータが本物であることを確認しました。しかし、機密データではなくオープンなデータであることから、テストデータか非実稼働データではないかと推測しています。

また、セキュリティコンサルタントのボブ・ディアチェンコ氏は「TikTokからのデータ侵害は本物」と結論した上で、データはTikTokから直接窃取されたのではなくHangzhou Julun Network Technologyという別の企業から流出したものではないかと述べました。また同氏は、「それにしても、なぜこんなに大量のデータが？」と疑問を呈しています。

BleepingComputerは、仮にTikTokから直接盗まれたものではないにせよ、データが本物であれば流出の影響は避けられないと指摘した上でTikTokに追加のコメントを求めましたが、記事作成時点では返答を得られていないとのことです。