コンテンツへスキップ

BLOG- セキュリティブログ -

セレブリティのTikTokアカウントがDM経由のゼロクリック攻撃で侵害

人気のビデオ共有プラットフォームTikTokは、脅威アクターによって高プロファイルアカウントがプラットフォーム上で乗っ取られるために利用されたセキュリティ問題を認識しました。

この展開はSemaforとForbesによって最初に報告され、直接メッセージを介して伝播されるマルウェアがブランドやセレブリティのアカウントをクリックやインタラクションなしで侵害するゼロクリックアカウント乗っ取りキャンペーンについて詳述しました。

現在、影響を受けたユーザー数は不明ですが、TikTokのスポークスパーソンは、会社が攻撃を阻止し、再発を防ぐための予防措置を講じたと述べました。

同社はさらに、影響を受けたアカウントホルダーと直接協力してアクセスを回復しており、攻撃は「非常に少数」のユーザーのみを侵害したと述べました。攻撃の性質や使用された緩和技術についての具体的な情報は提供されませんでした。

これは、広く使用されているサービスでセキュリティ問題が発見された初めてのことではありません。2021年1月には、Check PointがTikTokの脆弱性を詳細に説明し、将来の悪意のある活動のためにアプリのユーザーと関連する電話番号のデータベースを構築する可能性がある攻撃者を可能にする可能性があると指摘しました。

2022年9月には、MicrosoftがTikTokのAndroidアプリに影響を与えるワンクリックエクスプロイトを発見し、被害者が特別に作成されたリンクをクリックしたときにアカウントを乗っ取ることができるとしました。

それだけではありません。昨年、トルコでは70万ものTikTokアカウントが、SMSメッセージのグレールーティングによって不安全なチャネルを通じて一時的なパスワードが傍受され、アカウントにアクセスされ、いいねやフォロワーが増やされたとの報告が出た後、侵害されていることが判明しました。

攻撃者はTikTokのインビジブルチャレンジを利用して情報盗難マルウェアを配布しており、攻撃者が非従来の手段を通じてマルウェアを拡散し続ける努力を強調しています。

TikTokの中国起源により、アプリがアメリカのユーザーに関する機密情報を収集し、プロパガンダを推進するために使用される可能性があるとの懸念が生じ、その結果、アプリがByteDanceから分離されない限り、国での使用を禁止する法律が可決されました。

先月、ソーシャルメディアの巨人は、米国でこの法律に異議を申し立てる訴訟を起こし、それが「言論の自由権に対する異常な侵害」であり、米国が禁止を正当化するために「憶測的な懸念」を示しただけだと主張しました。

インド、ネパール、セネガル、ソマリア、キルギスタンはすでにTikTokに類似の禁止令を課しており、米国、英国、カナダ、オーストラリア、ニュージーランドなどの他のいくつかの国も政府のデバイスでの使用を禁止しています。

「セレブリティのTikTokアカウントがDM経由のゼロクリック攻撃で侵害」への1件のフィードバック

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です