「Snapchat」のエクスプロイトコード、セキュリティ研究者らが公開

　Gibson Securityは、Snapchatがこれまで公開していなかった開発者APIと2つのエクスプロイトを実行するために必要なコードを公開した。これらのエクスプロイトは、電話番号と氏名の大規模なマッチングのほか、大量の偽アカウントの作成を可能にするというもの。Gibson Securityは8月、Snapchatに存在するセキュリティ問題を指摘したが、これまで無視されてきた。

　Gibson Securityは、SnapchatのAPIと2つのエクスプロイトをGibSecというTwitterアカウントで米国時間のクリスマスイブ（時差の関係でオーストラリアではクリスマス当日）に公開したことを明らかにした。

　これで、誰でもSnapchatのAPIの正確なクローンを構築し、800万人とされる同人気アプリユーザーを追跡できるようになった。

　Snapchatは「Android」および「iOS」向けの人気アプリケーションで、特に若いユーザーの支持を得ている。しかし、性的なコンテンツの共有サイトというありがたくない評価も得ている。ユーザーはSnapchatを使って写真、動画、メッセージをやりとりすることが可能で、同アプリにはこれらが開封後10秒以内に消滅すると明記されている。

　「Google Play」では現在、Android版Snapchatアプリのインストール数を1000万～5000万本としている。Snapchatは6月、ベンチャーキャピタルによる資金提供ラウンドで6000万ドル超の資金を調達し、評価額を8億ドルとしていた。

　Snapchat名、エイリアス、電話番号は、SnapchatのAndroidおよびiOS向けAPIを介して検索および収集することができる。そうした行為は、ユーザーのアカウントが非公開になっている場合でも可能だ。

　Gibson Securityは米ZDNetに電子メールを寄せ、このようなメタデータを他のAPIと併せて使用することで、「ユーザーのプロフィールを自動的に構築することが可能であり、大金を得るためにそれを売却することもできる」と述べた。

　また、このメールを送信した人物は次のように付け加えた。「人々はssndob.ccに似たサービスを運用できる可能性がある。このサービスでは、数ドル支払えば、ある人の電話番号やソーシャルメディア上のプロフィールをユーザー名だけを手掛かりにして入手することができる」

　この関係者によると、これは標的型詐欺のみならず、ストーカー行為に利用される可能性もあるといい、同関係者はこれを「最も憂慮すべきこと」と表現している。

　「誰かの電話番号なら、その人の居住地域が分かれば数分で検索できるだろう」（Gibson Security関係者）

　Snapchatは11月、Facebookから30億ドルでの買収提案を受けたが、これを拒否しており、Gibson Securityによる今回の声明は、ユーザープロフィールのデータベースを売却することの価値を浮き彫りにしている。

提供：CNET