TikTok 情報セキュリティ最高責任者、 Roland Cloutier

(By Roland Cloutier, TikTok Chief Information Security Officer)


テクノロジーに関するセキュリティを構築するには、予測し、計画し、対応するという絶え間ない努力が必要です。本プロジェクトを始めて約3ヶ月経って明らかになったことは、TikTokのチームはユーザーのプライバシーを保護し、全体的なセキュリティの取り組みについて透明性を提供することに完全にコミットしているということです。現在セキュリティの専門家チームと私は、セキュリティのプロセスと仕組みについて広範囲に渡って見直しを行っています。このことを念頭に置いて、最近の開発状況について皆さんにいくつかご紹介したいと思います。


まず初めに、背景をご説明します。今年の初め、TikTokを含む有名なエンターテインメントアプリやニュースアプリの多くが、ユーザーのクリップボードへのアクセスを要求しているという報告がありました。このようなことが起こりうる正当な理由はたくさんあります。例えば、あるアプリでウェブサイトのテキストをコピーしてからブラウザを開いた場合、ほとんどのブラウザはテキストを貼り付けて直接URLに移動するかどうかを確認します。これは、ブラウザがユーザー体験を向上させようとしている一例ですが、そのためにはURLがクリップボード上にあることをアプリが知る必要があります。情報がユーザーのクリップボードの上にあるかどうかを、アプリが確認する理由は他にもたくさんあります。


TikTokの場合、この通知はGoogle Ads SDKの統合によって引き起こされました。この種のデータはTikTokには送信されていませんが、この問題が多くのユーザーを混乱させ、TikTok自体が不明確な目的のためにデータを使用していると思われてしまう可能性がありました。さらに、第三者の広告プログラムがどこにでも存在するということは、他の多くのアプリも同様の動作を示していたことを意味しています。これを受けて、4月16日、広告プログラムがユーザーのクリップボードにアクセスしないようにTikTokを更新しました。


先週、ベータ版のiOS 14がリリースされた後、TikTokユーザーが動画にコメントを入力しようとした際に、同様のiOS通知が表示されました。ユーザーは他の多くの人気のアプリでも通知を確認しました。ユーザーが他のアプリでも同様の通知をみた理由は定かではありませんが、なぜTikTokでこのようなことが起きたのか、同様の問題が起きた直後になぜ再び起きたのか、そして、この種の行為がユーザーのセキュリティを脅かす可能性があるという認識を踏まえて、再びこのようなことが起きないためにどのような対応をしているのかをご説明いたします。


私たちは、TikTokでのユーザー体験を向上させるために、常に新しい機能を構築しています。今回のケースでは、ユーザーが何百本もの動画に同じコメントを投稿することやスパムへの対応を行っていました。私たちの技術によって、コメントをコピーして別の動画のコメント欄に何度も何度も貼り付けているユーザーを特定することができました。これをユーザーがフォロワーを獲得するために自分の宣伝をしたり、他のユーザーを荒らしたりするなどの意図を持つシグナルとして捉えました。


スパムを素早く検知し、コミュニティの体験を向上させるために、スパム対策機能を導入しました。この機能は5月22日にリリースされたiOS版アプリで追加されました。


技術的にご説明すると、このアンチボット防御技術は、クリップボードからの文字列照合検証を行っていました。その機能は、アプリに入力された文字列がクリップボードから来たものかどうかを単純に検証するものでした。クリップボード上のデータを収集することは一切なく、ハッシュ検証のようにアプリに入力されたデータに対して検証を行うだけの機能でした。


分かりやすく言うと、スパム対策機能がユーザーのデバイスの外へユーザーデータを送信することはありませんでしたが、この通知によって、私たちが本機能を使ってそれ以上のことをしていると受け取られてしまうという、意図しない結果になってしまったと理解しています。先週、私たちは本機能を削除する更新をApp Storeに送り、6月27日にApple App Storeに掲載されたTikTokアプリのバージョン16.6.1では解決されています。いつものように、私たちは全てのユーザーにアプリを最新バージョンに更新して頂くことをお勧めします。


Android版のTikTokアプリにはこのスパム対策機能は元々追加されておらず、現在はクリップボードを介さない別の技術で両バージョンのスパム問題に対応しようとしています。


TikTokにおいて5月22日から6月27日までの間に運用され、iOS 14の通知を引き起こしたスパム対策機能は、数百とは言わないまでも数十種類の他のアプリケーションがもつ機能と同様のものです。同時に、どのような状況でも、TikTokのクリップボードへのアクセスについて疑問を持たれるような機能を追加するのは、避けた方が良かったと考えております。特に、違う機能で同じようなアクセスを排除するために取り組んだ直後だったため、より慎重になる必要がありました。


また、多くのアプリが無害な理由で今回のような通知を引き起こしてしまっている一方で、ユーザーは企業がデータをどのように利用しているのか疑問に思っていることも理解しております。当社はそれを真摯に受け止め、ユーザーの安全とプライバシーを守るために日々努めるだけでなく、透明性を持って真摯に実践することで、業界のリーダーとなれるように努めています。


このような思いから、私はアプリのセキュリティ評価、改善、検証、公開前のテストと検証防止を主導し、徹底して継続的に取り組んでまいります。これはチームの最優先事項とし、経営幹部の全面的なサポートを得て分析を行い、行動に移しています。 本プロジェクトには専任のエンジニアチームを用意しています。


また、将来的に新しい機能を展開する際に、今回のような問題が発生する可能性を排除するための機能のリリースプロセスの見直しを行っております。


その一環として、今回のような事態が発生する可能性のあるケースを検証するため、すべてのクリップボードの問題を全面的に見直しました。特に、ユーザーが直接操作していないにも関わらず、クリップボードへのアクセスの動作が起こりうるケースに着目しました。例えば、TikTokに情報を貼り付けることは、ユーザー自身の行動であり、ユーザーにとって価値をもたらします。今後数日の間に、第三者パートナーと協力してレビューを完了し、そのようなシナリオが他に存在しないことを確認する予定です。調査結果については、近日中にご報告いたします。


私たちは、ユーザーのプライバシーを尊重し、コミュニティの透明性を高めるアプリを構築することをお約束します。TikTokをどのように改善しているか、今後も皆さんに更新情報を随時お届けします。また、今年後半には、Transparency Centerを開設し、専門家の方々に、私たちがどのようにして人々の安全を守り、プライバシーを保護しているのか、その裏側を見ていただく予定です。セキュリティの仕事に終わりはありませんが、これからも私たちはコミュニティを尊重し、保護していく経験を積極的に積み上げてまいります。


(英語版)https://newsroom.tiktok.com/en-us/updates-on-our-security-roadmap