TikTokのアプリ内ブラウザーには、アクセスした外部ウェブサイト上の特定のユーザーアクティビティーを監視できる機能が組み込まれていることが、新たな調査で明らかになった。
ウィーン在住のソフトウェア研究者であるFelix Krause氏が現地時間8月18日に公開した調査結果によると、ユーザーがTikTokアプリ内のリンクを通してウェブサイトにアクセスすると、同アプリはそのウェブサイトに、キー入力や何をタップしたかといったアクティビティーの監視を可能にするコードを挿入するという。
これにより、クレジットカード番号やパスワードなど、ユーザーの個人情報も取得できるとしている。このようなことができるのは、ウェブサイトが「Chrome」や「Safari」などの主要ブラウザーではなく、TikTokのアプリ内ブラウザーで開かれているためだ。
Krause氏は、同氏の調査結果をいち早く報じたForbesに対し、「同社はこれを意図的に選択している。これは些細なエンジニアリング処理ではない。手違いや、偶発的にそうなったという類のものではない」と述べた。Krause氏は、Googleが5年前に買収したアプリテスト企業Fastlaneの創業者だ。
TikTokの広報担当者であるMaureen Shanahan氏はForbesに対し、そうした機能がコード内に存在することを認めつつ、 TikTokはそれをユーザー追跡に使用していないと述べた。
「他のプラットフォームと同様に、当社は最適なユーザー体験を提供するためにアプリ内ブラウザーを採用しているが、指摘されているJavaScriptコードは、ページの読み込み速度やクラッシュするかどうかのチェックなど、その体験のデバッグ、トラブルシューティング、パフォーマンス監視のみを目的に使われている」と同氏はForbesにコメントした。
TikTokはまた、そのコードはサードパーティーのソフトウェア開発キット(SDK)の一部であり、このSDKには、TikTokが使っていない機能も含まれているとした。SDKとは、アプリの構築または保守に使われるツールセットのことだ。
今回の報道の背景として、TikTokアプリとそれを中国企業の字節跳動(バイトダンス)が運営していることをめぐり、セキュリティと監視に関する懸念が長い間取り沙汰されていることがある。一部の米高官からは、バイトダンスはTikTokを通じて収集した米国人のデータを中国政府に提供する恐れがあり、中国政府はそれを米国人に対する武器として使用する恐れがあるため、TikTokは国家安全保障上の脅威だとする声も上がっている。TikTokはこれまでに繰り返し、そのようなことは決してしないと表明してきた。
Krause氏は、TikTok以外のアプリも調査した。同氏は、TikTok、「Facebook」、Metaの「Messenger」、「Instagram」、「Snapchat」、「Amazon」、「Robinhood」という、アプリ内ブラウザーを使用する合計7件の「iOS」アプリを調査した。その中で、キー入力を監視しているらしいのはTikTokだけだったという。同氏はTikTokの「Android」版は調査してないとみられる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」