メインコンテンツへスキップ

リソース

インテリジェンスダイジェスト

ヒッコリー・ディッコリー・ドックプライバシー問題で悩むTikTokのグローバル展開

あなたのデータは、意図しない動きをしていませんか?

ロッドマン・ラメザニアン - グローバルクラウド脅威リード

2023年4月24日 7分で読めます

コロナウイルスパンデミック中に短い動画クリップで笑いを生み出す手段として始まったTikTokは、人々の注目を集めるショート動画形式を取り入れ、最も人気のあるソーシャルメディアアプリの一つとしての地位を確立しました。しかし、他の海外製アプリが急速に普及するのと同様に、中国企業が所有するTikTokは、そのデータ収集とプライバシー慣行に関して引き続き厳しい監視に直面しています。しかし今回、警鐘を鳴らしているのは米国だけではありません。

オーストラリアは、「主権と完全性」への脅威を理由に、インド、英国、米国、カナダ、およびヨーロッパ全土の多くの国々を含む少数の世界政府に加わり、TikTokアプリをすべての公務員の携帯電話から削除するよう求めています。各政府はTikTokのリスクをより真剣に受け止め始めていますが、月間アクティブユーザーが10億人を超える中で、企業や非政府組織も同様の対応をしているでしょうか?

Center for Internet Securityによると、「TikTokがユーザーから収集するデータには機密情報が含まれており、多くの場合、ユーザーの明示的な知識なしに取得されています。」このデータには、「デバイスのブランドとモデル、オペレーティングシステム(OS)のバージョン、モバイルキャリア、閲覧履歴、アプリとファイルの名前と種類、キーストロークのパターンまたはリズム、ワイヤレス接続、地理位置情報」が含まれますが、これらに限定されません。TikTokはさらに、年齢、画像、個人連絡先、および統合されたシングルサインオン(SSO)機能を通じて収集されたその他のデータなど、他の個人識別情報(PII)も収集しています。

アプリが「[メッセージ]の内容、および[メッセージが]送信、受信、または既読になった時期に関する情報」を収集できることを考慮すると、特にTikTok CEOの最近の議会公聴会が全体的な議論にさらなる実質を加えていることもあり、世界中の大規模組織や企業がTikTokをますます警戒し、収集される個人データおよび企業データの保護について懸念を表明している理由を理解するのは容易です。

なぜこれらの侵害は発生するのでしょうか?

ソーシャルメディアは、フィッシングや詐欺に対する脆弱性を含む様々なセキュリティリスクを常に抱えていますが、政府、企業、その他の大規模組織にとっての主な懸念事項は、TikTokがインストールされ利用されているデバイスの個人利用と企業利用の境界線が曖昧になっていることです。

さらに、外部および内部の双方によるデータ誤用の可能性は、重大な懸念事項です。これは、オンラインプラットフォームとサービスが、共有認証トークン、シングルサインオン統合、データポータビリティなどによっていかに密接に絡み合っているかに起因します。データ盗難や誤用の可能性がもたらす影響は、ウェブサービスやクラウドサービスが広く利用されていることを考えると、深刻なものとなる可能性があります。

問題は、TikTokの禁止を支持するほどセキュリティ脅威を懸念している組織がどれだけあるか、そして、自らが冒しているリスクを全く認識していない組織がどれだけあるか、ということです。

あらゆるウェブ、クラウド、またはモバイルの脅威と同様に、セキュリティチームが主要なリスク要因を学び、理解することが重要です。TikTokはデータをどのように扱っていますか?ユーザーとデバイスをどのように安全に識別し、認証していますか?どのような種類のトラフィックとコンテンツがそこから共有され、消費される可能性がありますか?サービスのプレゼンスポイントはどこにあり、それは組織のリスク許容度にとって何を意味しますか?

今日、膨大な数のユーザー、デバイス、場所、ビジネス要件などがある中で、特定のサービスへのアクセスを一晩で明示的にブロックするような強硬なアプローチを取ることは、時に困難です。組織がサービスを一挙に突然ブロックしたくない場合、ユーザーを教育し、セキュリティガードレールを導入することには大きな意味があります。

Skyhigh Securityは、ユーザーがプラットフォームおよびサービスとしてのTikTokを取り巻く困難な状況を乗り越える際に、セキュリティアナリストが考慮すべき多数のリスク属性を詳細に説明することで、この問題に対処します。これには、データ自体、ユーザー/デバイス、サービス、組織のビジネス慣行、法的問題、およびサイバーセキュリティに関連するリスク属性が含まれます。

そこから、セキュリティチームは、ログイン、アップロード、および/またはダウンロードの制限/ブロック、データ帯域幅の調整、カスタムユーザー教育ウェブページの導入、その他の対策といったデータセキュリティ制御を導入し始めることができます。これは、デバイスからTikTokプラットフォームへのデータ漏洩を抑制するだけでなく、より包括的に、データを不適切に処理する可能性のある他の疑わしいオンラインサービスを利用している可能性のあるユーザーデバイスに機密データが到達するのをより適切に制御するためです。

何ができるでしょうか?

Skyhigh Security をご利用ですか?

  • 独自の標準化されたリスクアルゴリズムを活用するために、Skyhigh Cloud Registryを使用してください。
  • 管理対象デバイスでのログイン、アップロード、ダウンロードなどの許容されるユーザー活動の基準を定義するために、アクティビティ制御ルールを活用してください。
  • TikTokがすでに禁止されている場所でシャドウ/ウェブポリシーを実装し、他の場所でのアクセスを制限および制御し始めてください。
  • 多数のリスク属性カテゴリ全体で、組織のグローバルリスクウェイトを調整してください。
  • データ処理方法、グローバルプレゼンス、最近の侵害などの特定の特性に基づいて、サービスグループを作成し、割り当ててください。
ロッドマン・ラメザニアン

著者について

ロッドマン・ラメザニアン

グローバルクラウド脅威リード

サイバーセキュリティ業界で11年以上の豊富な経験を持つ Rodman Ramezanian は、Skyhigh Security のエンタープライズクラウドセキュリティアドバイザーであり、技術アドバイザリー、イネーブルメント、ソリューション設計、アーキテクチャを担当しています。この役割において、Rodman は主にオーストラリア連邦政府、防衛機関、および企業組織に焦点を当てています。

ロッドマンは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。彼はオーストラリア信号局 (ASD) が認定するIRAP評価者であり、現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、およびMITRE ATT&CK CTIの認定資格を保有しています。

率直に言って、ロッドマンは複雑な事柄を簡単な言葉で説明することに強い情熱を持っており、一般の人々や新しいセキュリティプロフェッショナルがサイバーセキュリティの「何を、なぜ、どのように」を理解するのを助けています。

攻撃のハイライト

  • ソーシャルメディアアプリはデータと、それらが存在するデバイスに深く根付いています。これらは今日、個人用と企業用の両方に使用されているデバイスです。
  • TikTokは、他のすべてのアプリと同様に、ユーザーのモバイルフォン全体へのアクセスを潜在的に開く可能性があります。モバイルフォンアプリケーションは、そのアプリがデバイス上の他のもの、この場合は保持しているデータへのアクセスを橋渡しする信頼できる可能性を提供できます。
  • TikTokは、他のログインソースやユーザーのプロフィールにリンクされているソースから情報にアクセスし、収集することもできます。これには、個人用および/または企業用のGoogle、Facebook、Twitter、またはユーザーをTikTokに認証するために使用されるその他のサービスが含まれる場合があります。
  • BYOD(Bring Your Own Device)の慣行が広がり続けるにつれて、個人利用と企業利用の間の仮想的な境界線は曖昧になっています。懸念されるアプリケーションは、大量の企業データと共に存在し続けており、それらのデータは誤った手に渡ってしまうように見えます。
  • 現在、世界各国の政府が政府職員のデバイスでのTikTok使用を禁止する動きを見せている中、企業やその他の組織も、プラットフォームおよびサービスとしてのTikTokの利用方法を再考するよう促されています。