TokyoBlackHatNews

esecurityplanet.com 5分で読了

アリゾナ州、秘密裏のデータ収集疑惑でTemuを提訴

アリゾナ州司法長官は、人気ショッピングアプリTemuが、ユーザーのデバイスから機密性の高いデータを秘密裏に収集し、消費者を欺き、州を象徴するブランドを模倣しているとして、大規模な訴訟を提起しました。  

訴状は、このアプリが小売業者というより、隠れたスパイウェアのように振る舞っていると描写しています。

「Temuはアリゾナ州消費者詐欺法に繰り返し、かつ故意に違反し、未成年者を含むアリゾナ州民のプライバシーを極めて危険にさらしていると主張します」と、クリス・メイズ司法長官は発表の中で述べました。 

さらに、「Temuの低価格と華やかな広告の裏には、現実の危険が潜んでいることを、アリゾナ州民は知るべきです」と付け加えました。 

Temuのアプリが購入情報以上のデータを収集している可能性

Temuは、攻撃的なマーケティングと底値の価格を背景に、米国で最も多くダウンロードされているショッピングアプリの一つへと急速に成長しました。 

毎年、数千万件の購入がこのプラットフォームを通じて行われており、その中にはアリゾナ州で注文・配送される商品も含まれます。 

しかし訴訟では、Temuのモバイルアプリはユーザーの購入履歴を追跡するだけにとどまらず、ユーザーのデバイスに入り込み、極めて機密性の高いデータを収集し、その活動を悪意あるソフトウェアに一般的な手法で隠蔽していると主張しています。

この訴訟は、とりわけ広範なデータアクセス法を持つ法域に支配されている場合、不透明なデータ運用を行う消費者向けアプリのリスクを浮き彫りにしています。

Temuはモバイルスパイウェアのように動作しているとの主張

訴状によれば、Temuのモバイルアプリは、一般的な小売アプリをはるかに上回る情報を収集するよう設計されています。 

一度インストールされると、このアプリは次のような情報や機能に不正アクセスしているとされています:

  • 正確な位置情報
  • マイクおよびカメラ機能
  • 他のインストール済みアプリ内での活動
  • 機微情報および個人を特定できる情報(PII)

Temuのコードベースを精査したところ、検査を回避することを目的とした多層的な暗号化や、インストール後にアプリ自身のコードを変更できる機能が確認されたとされており、これはモバイルスパイウェアで用いられる手口と類似しています。 

こうした機能により、Temuはユーザーデータを外部に送信したり、開示も検知もされない形でデバイスを操作したりできる可能性があります。

さらに懸念を高めているのは、Temuが中国企業によって完全に所有されており、中国の国家安全保障法の対象となることです。同法は、国家の情報機関への協力を義務付けています。 

訴状ではまた、以下のような欺瞞的かつ不正な商行為のパターンも主張されています:

  • 広告画像と一致しない商品を出荷する
  • 顧客レビューを捏造する
  • 保存された支払い情報を使って無断で購入を行う
  • アリゾナ・カーディナルス、フェンダー・ギター、複数の州立大学に属する商標を模倣する
  • 未配送または不要な商品の代金を請求する
  • 実現しない賞品を約束する紹介(リファラル)スキーム
  • サプライチェーンにおける強制労働の利用

ユーザーと組織のための基本的なモバイルセキュリティ対策

消費者向けアプリによる過剰なデータ収集が相次いで指摘される中、個人と組織の双方において、モバイルセキュリティの習慣を強化する必要性が高まっています。 

個人にできること

  • 特にカメラ、マイク、位置情報へのアクセスなど、アプリの権限を見直し、最小限に抑える。
  • 不要または過度に侵襲的なデバイス権限を要求するアプリは削除する。
  • 金融口座を定期的に確認し、不正な取引がないか監視する。
  • リスクの高いアプリにソーシャルアカウントやメールアカウントを連携させないようにし、可能であればバーチャルカード決済を利用する。
  • デバイスを常に最新の状態に保ち、不要なアプリのバックグラウンド動作を無効にする。

組織にできること

  • MDMポリシー、アプリの許可リスト運用を徹底し、業務用デバイスへの高リスクな消費者向けアプリのインストールを禁止する。
  • モバイル脅威防御ツールを導入し、悪意ある挙動やリスクの高い外部接続を検知する。
  • ネットワーク制御を用いて、不審なドメインや海外サービス、許可されていないデータフローをブロックする。
  • 教育を通じて、従業員に対し、個人向けショッピングアプリを企業用デバイスやBYODデバイスで利用するリスクについて周知する。
  • ベンダー評価や全体的なセキュリティガバナンスの一環として、モバイルアプリのプライバシーおよびデータ取り扱いのレビューを含める。

これらの対策を講じることで、個人と組織は、データ収集型アプリや隠れたモバイル脅威への曝露を大幅に減らすことができます。

モバイルプラットフォームが生み出す高まるプライバシーリスク

Temuに対する訴訟は、州レベルの消費者保護法と、データ運用が依然として不透明な世界的なモバイルプラットフォームとの間で高まる緊張を浮き彫りにしています。 

ショッピング、コミュニケーション、デバイス機能が単一のモバイルエコシステムに統合されるにつれ、特にアプリが国家レベルの監視義務の下で運用されている場合、プライバシーリスクは高まります。 

この訴訟は、消費者向けアプリがどれほど急速に企業にとっての脅威へと変貌し得るかを示しています。

この変化により、ユーザー、デバイス、アプリケーション全体でのリスクを低減するうえで、ゼロトラストの原則はこれまで以上に不可欠なものとなっています。

翻訳元: https://www.esecurityplanet.com/threats/arizona-sues-temu-over-covert-data-harvesting-claims/

ソース: esecurityplanet.com
#Temu訴訟 #アリゾナ州司法長官 #ゼロトラストセキュリティ #データ収集問題 #プライバシー侵害 #モバイルスパイウェア #モバイルセキュリティ対策 #中国企業と国家安全法 #偽レビュー・詐欺商法 #商標権侵害・カウンターフィット

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布