悪意のある者が最近、大企業や著名人のハイプロファイルなTikTokアカウントをハッキングし、TikTokのダイレクトメッセージ機能に存在するゼロデイ脆弱性を悪用しました。このTikTokのゼロデイ脆弱性により、被害者が何かをダウンロードしたりリンクをクリックしたりする必要なく、ハッカーがアカウントを制御することができました。
ゼロデイ脆弱性とは何かを知らない人のために説明すると、それはソフトウェアに存在するメーカー自身が知らないセキュリティホールのことです。ハッカーがこの脆弱性を狙う主な理由は、脆弱性に対するパッチや公開情報が存在しないためです。
このTikTokのゼロデイ脆弱性は、CNN、ソニー、パリス・ヒルトンのアカウントに影響を与え、乗っ取られました。
Semaphorによると、先週最初に妥協されたのはCNNのアカウントでした。その後、同様のサイバー攻撃がソニーとパリス・ヒルトンのアカウントを標的にしました。さらに悪用されるのを防ぐために、TikTokはこれらのアカウントをオフラインにしました。
TikTokのゼロデイ脆弱性はどのように発生したのか?
この事件を最初に報じたForbesによると、ハッカーは単に悪意のあるダイレクトメッセージを開くだけでアカウントを妥協させました。ファイルをダウンロードしたりリンクをクリックしたりする必要がなく、攻撃が簡単に実行でき、検出が難しいことが指摘されました。
TikTokのセキュリティチームを率いるアレックス・ハウレクはForbesに対し、「当社のセキュリティチームは、複数のブランドや著名人のアカウントを標的にした潜在的な悪用を認識しています。この攻撃を止めるための対策を講じ、今後の発生を防ぐために取り組んでいます。必要に応じて、影響を受けたアカウントの所有者と直接連絡を取り、アクセスを復元するために作業しています」と述べました。
TikTokはまた、妥協されたアカウントは少数であると通知しましたが、具体的な数字や脆弱性の詳細は完全に修正されるまで公表しませんでした。
過去のセキュリティ問題
TikTokがセキュリティ問題に直面したのはこれが初めてではありません。2022年8月、MicrosoftはTikTokのAndroidアプリに、ハッカーがワンタップでアカウントを乗っ取ることができる脆弱性を発見しました。TikTokは、攻撃者がユーザーの個人情報を盗んだり、プライバシー保護を回避したり、ユーザーのビデオを操作したりできるその他のセキュリティバグも修正しました。
別の例では、AppleはSafariやその他のウェブアプリを実行するWebKitのバグを修正するためのソフトウェアアップデートをリリースしました。このバグにより、影響を受けたデバイスで悪意のあるコードが実行される可能性がありました。AppleはこれをiPhone、iPad、Mac、Apple TVを含むすべてのデバイスで迅速に修正しました。
2023年中頃、TikTokはデータ保護法の複数の違反により、情報コミッショナー事務局(ICO)から1270万ポンドの罰金を科されました。これには、2020年に130万人以上の13歳未満の子供が保護者の同意なしにプラットフォームを使用することを許可したことが含まれます。これは、TikTokの利用規約に反しています。
ICOの調査により、TikTokが推定140万人の英国の13歳未満の子供がアカウントを作成し、プラットフォームを使用することを許可していたことが判明しました。これは、ユーザーが少なくとも13歳である必要があるという規則に反しています。
その結果、13歳未満の子供に情報社会サービスを提供する組織に対するUKデータ保護法の要件に従い、保護者や後見人の適切な同意や認可なしに子供のデータを不法に処理していました。
さらに、TikTokは特に子供
に対して、データの収集、使用、共有方法について明確で理解しやすい情報を提供することに失敗しました。この透明性の欠如により、ユーザーはプラットフォームとの関わりについて十分な情報を得た上で選択を行うことが困難になりました。
続きを読む https://thecyberexpress.com/tiktok-zero-day-vulnerability/