最近、サイバーセキュリティメディアのCybernewsは、人気のあるAIアシスタントアプリ「Chattee Chat – AI Companion」と「GiMe Chat – AI Companion」に影響を与える衝撃的なユーザー情報漏洩事件を明らかにしました。アプリの開発者がセキュリティにおいて重大なミスを犯したため、40万人以上のユーザーのプライベートデータ、4,300万を超えるメッセージ、および60万枚以上の画像と動画がネットワーク上のリスクにさらされていました。

QQ20251011-140720.png

守られていないストレージインスタンス:データの門は完全に開かれていた

Cybernewsの調査によると、漏洩の原因は保護されていないKafka Brokerインスタンスでした。このインスタンスはユーザーのすべてのメッセージを受け取って保存していました。研究チームは、このインスタンスにアクセス制御や認証が一切設置されておらず、リンクを入手した誰でもユーザーのすべてのデータに直接アクセスできることを発見しました。

漏洩した情報には直接的な個人情報は含まれていなかったものの、公開されたIPアドレスやデバイスの一意識別子は悪意ある攻撃者によって特定のユーザーの身元をマッチさせるために使用される可能性があり、ランサムウェアや嫌がらせのリスクを生じさせます。

高額な支出とアカウント乗っ取りのリスク

これらのアプリはAndroidとiOSプラットフォームで広く人気があり、「Chattee Chat」はApple App Storeの「エンターテイメント」ランキングで121位にランクインし、推定ダウンロード数は30万回を超えています。データによると、ユーザー間の交流は非常に頻繁で、一人あたり平均してAIパートナーに107件のメッセージを送信しています。

財務面では、一部のユーザーが仮想通貨への支払いにおいて極端な消費が18,000ドルに達し、全体の収入は100万ドルを超えていることが示されています。さらに危険なのは、漏洩した認証トークンによりハッカーがユーザーのアカウントを乗っ取り仮想通貨を盗む可能性があることです。これにより、ユーザーの財産リスクが増加しています。

この出来事の教訓:AIアシスタントアプリには規制の強化が必要

Cybernewsが問題を発見した後、開発者は関連するKafka Brokerインスタンスを緊急に閉鎖しました。しかし、研究者たちは現在、過去にハッカーがこれらのデータをすでに取得したかどうかは確認できないと警告しています。