中国ショッピングアプリ・Temuの危険性
中国ショッピングアプリ・Temuの危険性
最近日本で大規模に広告が行われ浸透してきていますが、米国では危険なアプリとして認識されています。
2023.12.26
中国の拼多多(Pinduoduo)が運営するショッピングアプリTemuが最近日本でも広がり始め話題ですが、このアプリは巧妙に隠されたスパイウェアであり、米国の国益に対して安全保障上の脅威を齎していると報告されています。
上の画像の方はTemuアプリを使用した後にカードを不正利用されたと仰っていますが、その理由として考えられるのはTemuアプリがユーザーのスマホ内の個人情報を自由に吸い出せているからです。
GoogleはTemuを運営する会社Pinduoduoの中国版アプリ「Pinduoduo」をアプリストアから停止しましたが、残念な事にアプリTemuはまだ停止していません。
https://youtu.be/zntP8fKPW_k?si=eLXSDIq1rH6L1ejX
Pinduoduoは中国で最も人気のある電子商取引プラットフォームの1つで約9億人のユーザーがいますが、ユーザーの個人情報抜き放題の悪質なアプリとして有名です。
しかし、Pinduoduoが停止されてもTEMUアプリに引き継がれ、Temuのシステムは以前に停止されたPinduoduoのアプリと共有されていると報告されています。
・Googleは今年三月「Google PlayストアにないバージョンのPinduoduoアプリにマルウェアが含まれている事が判明した」と発表しました。
・マルウェアとは悪意のあるソフトウェアの略でデータを盗んだり、コンピュータのシステムやモバイル デバイスに損害を与えたりする為に開発されたソフトウェアを指します。
・アプリ内に隠されるとユーザーが気付かない内に携帯電話上の情報にアクセスできる為、不正に利用される可能性があります。
・Pinduoduo は中国で最も人気のある電子商取引プラットフォームの 1 つで、約9億人のユーザーがいます。友人に紹介して同じ商品をまとめ買いしてもらい、安く購入できるという共同購入ビジネス モデルでその名を馳せました。
・Pinduoduo の中国国内での成功の波に乗って、親会社Pinduoduoは昨年オンライン ショッピング プラットフォームであるTemuを米国で立ち上げました。それが今、日本に入ってきています。
・TEMUアプリ・ソフトウェアは、最も攻撃的な形態のマルウェア/スパイウェアの特徴をすべて備えています。
・Temuアプリには、ユーザーに気付かれずに大規模にデータ抽出を行える機能が隠されており、Temuはユーザーのモバイルデバイス上のほぼすべてのデータに完璧にアクセスできる可能性があります。(クレジットカードのパスワードなども含む)
・大量データ流出の危険性を助長しているのは、TEMUアプリの急速な普及率です。しかし、TEMUは中国では提供されていません。
・TEMUアプリの開発チームには、Google Playストアから停止処分を受けたPinduoduoアプリを開発した100人のエンジニアが含まれています。
・TEMUがすでに西側諸国の顧客から盗んだデータを違法に販売している疑惑があります。
・TEMUは、注文1件あたり30ドルの損失を出していると推定されています。https://www.wired.com/story/temu-is-losing-millions-of-dollars-to-send-you-cheap-socks/
・その広告費と配送費(中国から1-2週間、他国への迅速配送)は天文学的数値なので、このビジネスがどうやって利益を上げられているのか謎です。
・TEMU は明らかに TikTok よりも危険です。アプリは Google および Apple アプリ ストアから削除する必要があります。
・中国の複数のデータソースとゴールドマン・サックスはすでに、Pinduoduoの1日平均ユーザー数が急速に減少し始めていると報告している。これは、急速に悪化しているビジネスのように思え、日本などでアプリを広め販売する事で延命を図っているのか、潰れる前にクレジットカード情報などを盗んで逃げる気なのか?と思ってしまいます
・TEMUアプリに見られる極めて危険なスパイウェア/マルウェアの特徴
複数の専門家によるTemuアプリ・ソフトウェアの分析により、Temuにユーザーのプライバシーを侵害する不適切で危険な18種類のソフトウェア機能が特定され、TEMUはそれらすべてを使用していると報告されています。
Temuの不適切で危険な18種類のソフトウェア機能の詳細についてはこちらから👇
・中国企業は2021年11月1日に施行された法律により、その企業のデータベース全体に中国政府機関がアクセス可能でなければ営業許可が出ません。
・人民解放軍(PLA)は10年以上に渡って対米ハッキングと密接に結びついていますが、解放軍と中国企業は「軍民融合政策」により密接に協力していると思われます。
・米国の調査会社grizzlyreportsのリサーチにより、Temuの仕組んだプログラムは詳細に明らかにされています。明確な問題があるにも関わらず、グーグルやappleの対応が遅いのは何か経済的な理由や、政治的な理由があるのかもしれません。
海外ではTemuの危険性がこの様に詳細に報道されています。日本でもメディア関係者や専門家は把握している筈ですが、何故か情報が殆ど出ていません。
・Temuについては民間調査会社だけではなく、米国議会からも以下の様に指摘されています。
Temuの親会社で中国Eコマース・プラットフォームのPinduoduoを運営するPDDホールディングスは、チャイナ・レイバー・ウォッチによって、従業員に月380時間の労働を求める「極端な時間外労働」で告発されています。
さらに2023年4月CNNは複数のサイバーセキュリティチームが、PinduoduoのグーグルAndroid端末向けモバイルアプリで高度なマルウェアを発見したと報じました。
このマルウェアによって、Pinduoduoのアプリはユーザーのセキュリティ許可をバイパスし、プライベートメッセージへのアクセス、設定の変更、他のアプリのデータの閲覧、更にはユーザー自身によるアンインストールを阻止していました。
調査は、Googleが2023年3月にGoogle Playストアからアプリを停止した事を受けて行われています。
Temuはテキサスでスパイウェアとデータ悪用の疑いで集団訴訟を起こされています
Temuがアプリにスパイウェアを埋め込み、アプリを使用していないときでもユーザーの行動を追跡できるようにしているとして、テキサス州の消費者のグループによって訴訟が起こされました。
追跡はTemuアプリそのものにとどまらず、ユーザーの閲覧履歴や位置情報、さらには他のアプリとのやりとりまで監視できるようになっていると申し立てされました。
これに対してTemuはすべてのデータプライバシーに関する法律と規制を遵守していると主張し、申し立てを否定しています。Temuはパーソナライズされたレコメンデーションの提供やユーザー体験の向上など、正当な事業運営に必要なデータのみを収集していると主張し、ユーザーデータを第三者に売却することはないと言っています。
申し立てが真実であると裁判所で判決が出されれば、Temuは多額の金銭的罰則に直面する可能性があります。
Temuの利用後に銀行やクレジットカードの情報が売られたり、流出したりしたという複数の報告が上がっていました。
人々は身に覚えの無い請求や引き出しに気づいた後、他の人への警告のためにソーシャルメディアに投稿しています。
こちらのTikTokerは、上海に拠点を置くオンライン・マーケットプレイスに情報を提供した後、彼女の銀行口座から400ドルが引き出されたと主張。
TikTokに投稿されて以来、1000万ビュー以上集めているこのクリエイターの動画では、Temuが彼女の口座からお金を少しずつ引き出しながら、徐々に使い果たしていったかが説明されています。「彼らは400ドルを取ったが、とっても細かく引き落としていた(400ドル抜くのに2ヶ月かけていた)」と彼女は言っています。
この方はデビットカードからお金が勝手に引き落とされた原因は、Temuが彼女のカード情報を闇市場 で売った結果だと主張しています。
おまけ。Temuの工場の様子とされている動画です⇩