TikTokでiPhoneのデータが盗まれる、セキュリティ専門家が警告

アップルは今秋リリース予定のiOS 14でクリップボードのセキュリティ機能を強化する。これまでは、アプリがユーザーのクリップボードを盗み見することが可能だったが、今後はアプリがクリップボードを参照した際に警告が表示される。

クリップボードの盗み見はユーザーにとって大きなリスクだ。セキュリティ専門家のTalal Haj BakryとTommy Myskは、クリップボードにアクセスしているアプリの中に、「TikTok」が含まれることを明らかにした。TikTokは中国発のアプリであることに加え、かねてよりセキュリティ問題が取り沙汰されていることから、大きな物議を醸している。

筆者が4月にTikTokの運営会社であるバイトダンスに取材した際、同社の広報担当者は、古いバージョンのグーグルの広告SDKを利用していたことが原因であり、新しいバージョンに交換することで問題は解消されると説明していた。

しかし、開発者向けにベータ版が公開されたiOS 14によって、TikTokが引き続きクリップボードにアクセスし続けていることが判明した。これを受け、バイトダンスは従来と異なる説明をしている。

「この問題は、アプリに搭載されたスパム対策機能によって引き起こされたものだ。混乱を避けるため、この機能を取り除いたバージョンの配信をアップストアで開始した」

同社の一連の説明を見る限り、禁止行為が見つかったので、急いで修復したというのが実際のところだろう。

バイトダンスは、筆者に対して次のように述べている。「我々はユーザーのプライバシー保護を重視しており、アプリの機能について透明性を確保している。今年後半には、外部の専門家を当社のTransparency Centerに招待することを楽しみにしている」

問題が発覚した当初、同社の広報担当者は次のように述べ、自社の責任を頑なに否定していた。「クリップボードにアクセスする問題については、Google Ads SDKの旧バージョンが原因であり、我々はデータを閲覧できない。現在はサードパーティ製SDKがクリップボードにアクセスできないようアップデートを行っている最中である」

バイトダンスは、後に筆者にメールを送ってきた、その中でも同様の説明をしている。「これはGoogle Ads SDKの問題であり、バージョンを新しくすることで解消する。我々はデータにアクセスできないが、問題の解決に努める」

コピーの内容を盗まれる危険
しかし、アップルのiOS 14でプライバシー機能の強化を図ったことにより、バイトダンスの嘘が明らかになった。故意か不注意かは別にして、TikTok以外にもクリップボードにアクセスしていたアプリは存在し、今後は修正が求められる。だが、これらのアプリの中でTikTokの認知度は圧倒的に高く、物議を醸している。

今回の問題で最もリスクが高いのは、iPhoneやMac、iPadの間でクリップボードを共有できる「ユニバーサルクリップボード」機能だ。ユーザーが仕事中にiPhone上でTikTokを起動すると、パスワードや財務情報、仕事の資料、機密情報を含むメールなど、他のデバイスにコピーした内容が全て盗み見されてしまうことになる。

今年初めにTikTokによるクリップボードの参照が明らかになった際、バイトダンスの目的がわからず、問題はうやむやになっていた。しかし、iOS 14によって同社は問題の修正を余儀なくされるため、この問題は解消されることになる。アンドロイドユーザーについてiOSと同様の問題が生じているかは明らかになっていない。

セキュリティ専門家らは、次のように述べている。「我々はアップルにリスクを指摘してきたが同社は放置し、iOSはこの問題に対処するメカニズムを搭載していると述べていた。しかし、アップルの言うメカニズムは、ユーザーのプライバシーを保護するのには不十分だった。我々はグーグルのアンドロイドOSに対しても、クリップボードを参照するアプリに対する規制や透明性の強化を求めていく」

アップルは、クリップボードの脆弱性を当初は放置し、多くのメディアが問題を取り上げてからセキュリティ機能の向上を図った。iPhoneユーザーは、TikTokの最新バージョンがリリースされ次第、アップデートするべきだ。それまでの間は、アプリがクリップボードに積極的にアクセスしていることを念頭に置いた上で、注意して利用するべきだ。