Temu、3億1000万件のユーザーデータ流出主張が浮上

大規模なデータ流出事件の多くは、確たる証拠がないまま表面化します。今回のTemuのケースも、まさにその典型的なパターンをたどっています。闇フォーラムに投稿された派手な主張は、実際の侵害を示している場合もあれば、根拠の薄いデータセットを売りつけようとする試みにすぎない場合もあります。現時点では、この一件はそのどちらとも判断がつかない状況にあります。

Temuに関連する新たな出品

あるサイバー犯罪フォーラムの出品者が、Temuに関連するとされるデータベースを最近投稿しました。Temuは低価格商品を出品者から直接発送する、中国発のマーケットプレイスとして知られています。出品情報によると、このデータセットには約3億1000万件のユーザーレコードが含まれているとされています。ただし、この主張だけでは何も裏付けられていません。

Cybernewsが実際に検証した内容

Cybernewsは本件を調査し、公開された99件のサンプルを確認しました。これらのサンプルは新しいものに見え、ほとんどに2026年のタイムスタンプが付いていました。そのため、このデータセットは古い流出データを新しく見せかけたものではなさそうです。それでも、研究者たちは出品者が主張する全体の規模までは確認できませんでした。

サンプルデータに含まれる内容

サンプルには氏名、メールアドレス、電話番号が含まれているとされています。さらに、ユーザーID、bcryptによるパスワードハッシュ、AndroidとiOS両方のデバイス情報も含まれています。加えて、アプリのバージョン番号や、登録・ログイン時に使われたIPアドレスもデータに含まれています。言語設定、位置情報、アカウント作成日、内部システムのフラグ情報も確認されました。

侵害元は未確定、あくまで一つの可能性

Cybernewsの研究者たちは、流出元が社内のアカウント管理システムである可能性を指摘しています。あるいは、Temuのユーザープロフィールを扱うサードパーティサービスが元になっているのかもしれません。この見立ては、確認済みのハッキング事実に基づくものではなく、あくまでサンプルのデータ構造から導き出されたものです。サンプルには、技術的なフィールド、デバイス情報、アカウント認証情報がまとめて含まれています。この組み合わせは、単純なフロントエンドのスクレイピングではなく、バックエンドシステムを示唆しています。

本当のリスクは認証情報の使い回しとフィッシング

最大の危険性は、パスワードそのものが流出したことではありません。サンプルに含まれているのは平文ではなくbcryptハッシュです。とはいえ、攻撃者はブルートフォース攻撃によって脆弱なパスワードを解読することができます。パスワードを解読した攻撃者は、その認証情報を他のサイトのログインでも試すケースが多く見られます。連絡先情報、デバイス情報、言語設定、位置情報も、標的型フィッシング詐欺の材料として悪用されかねません。こうしたデータを基に作成された偽メッセージは、通常のマーケットプレイスからの通知に見せかけることが可能です。

Temuは関与を否定

Temuは、このデータセットと自社システムとの関連を否定しています。同社は流出の主張について調査した結果、事実ではないとの結論に至ったと説明しています。Temuはまた、複数のセキュリティ対策についても言及しています。同社はMASA認証を取得しており、HackerOneを通じたバグバウンティプログラムを運用しています。二段階認証にも対応しており、Anti-Phishing Working Groupにも加盟しています。さらに、Temuは決済セキュリティに関してPCI DSSの基準にも準拠しています。

疑念が残る理由

今回の出品価格も、疑念を強める材料の一つです。出品者は、この大規模とされるデータベースをわずか700ドルで販売していました。この金額は、主張されている規模の流出にしては不自然に安すぎるように見えます。似たようなケースは2024年にも起きています。当時も別の出品者が、Temuのユーザーデータ8700万件を盗み出したと主張していました。その際もTemuは主張を否定しており、独立機関による裏付けは最終的に得られませんでした。

独立した研究者による検証は、現時点ではまだ行われていません。今のところ、このデータが実在するユーザー情報を含んでいるかどうかは未確認のまま、サンプルの販売だけが先行している状況です。

翻訳元: https://meterpreter.org/temu-data-leak-claim/

ソース: meterpreter.org