-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
ラブンス製アダルトアプリの脆弱性により、ユーザーのメールアドレスが暴かれる
BleepingComputer – July 28, 2025
Bluetoothおよびインターネット経由でアダルトグッズを操作できるプラットフォーム「Lovense(ラブンス)」に存在するゼロデイ脆弱性により、任意のユーザーのユーザー名さえ知っていれば当該ユーザーのEメールアドレスが入手できる状態になっているという。研究者のBobDaHacker氏が報告した。
ラブンスは香港発のインタラクティブセックストイのメーカーで、スマートフォンなどのアプリで操作可能なアダルトグッズで知られ、世界に2,000万人ほどの顧客がいるとされる。同社の製品は個人的な利用のほか、ライブチャットなどでも使われ、配信中に視聴者から投じられる課金チップに合わせて振動するラブグッズも提供されている。
しかしそんなラブンスのユーザーらをドキシングやハラスメントの危険に晒す恐れのある脆弱性2件を、BobDaHacker氏が2025年3月26日に発見。1つはアカウントハイジャックを可能にし得る脆弱性で、同氏の報告を受けてすでに修正されているものの、もう1つのメールアドレス開示の脆弱性は現時点でまだ修正されていないという。BobDaHacker氏は、自身で同アプリを使用中、元恋人をミュート設定にした際のAPIレスポンスにその人物のメールアドレスが含まれていたのを発見。これを機に深掘りを開始し、これらの脆弱性を発見したとされる。ラブンス利用者のユーザー名自体はさまざまなフォーラムやソーシャルメディアで出回っているが、こうしたネット上に出回るユーザー名が、今回の脆弱性の悪用に使用可能だという。
メール開示の脆弱性は、ラブンスアプリのXMPPチャットシステムと、同プラットフォームのバックエンドとの間のインタラクションに起因。想定される攻撃においては攻撃者がまず、自身の認証情報を使って「/api/wear/genGtoken」APIにPOSTリクエストを送信する。これに対して認証トークンのgtokenとAES-CBC暗号化鍵が返され、攻撃者が取得した暗号鍵でターゲットとなるユーザー名を暗号化すると、暗号化されたペイロードがAPIエンドポイント「/app/ajaxCheckEmailOrUserIdRegisted?email={encrypted_username} 」へ送られる。これに対してサーバーから返されるデータに含まれるフェイクのメールアドレスを、攻撃者はラブンスのXMPPサーバーが使用するフェイクのJabber ID(JID)に変換。そしてこのフェイクJIDを攻撃者自身のXMPPコンタクトリスト(roster)に追加してフレンド申請(presence subscription)を送信してからrosterを更新すると、フェイクのJIDとともにターゲットユーザーに紐づく本物のJIDがrosterに含まれるようになる。この本物のJIDはユーザーの実際のEメールアドレスを使用した構成となっているため、攻撃者はここからメールアドレスを抜き出すことができるという。
すべてのプロセスはスクリプトを使えば1秒未満に完了できるとされ、実際にBleepingComputer紙がテストアカウントを作成してユーザー名をBobDaHacker氏に共有したところ、同氏は正しいメールアドレスを特定して見せた。
同氏が発見したもう1つのクリティカルな脆弱性は、悪用により、メールアドレスのみを使って認証トークンを生成できるようになるもの。ラブンス社はAPI上のトークンを拒否することでこの脆弱性を緩和したとされるが、研究者らによればgtokenは今もパスワードなしで生成可能な状態だという。
ラブンス社は、最新の脆弱性に対処するアップデートはアプリストアに提出済みであり、来週中には完全なアップデートがすべてのユーザー向けにプッシュされる予定であると述べているものの、BobDaHacker氏は同社が本当は未修正だった脆弱性について「修正された」と繰り返し伝えるなど、「セキュリティ研究者に嘘をつく企業」であると非難。BleepingComputerも、同社の広報担当者が「メールアドレスを開示させる恐れのあった脆弱性は6月末に修正された」と述べたのに対し、前述した7月27日のBobDaHacker氏とのテストではまだユーザー名単体からメールアドレスを取得することが可能だった事実との矛盾を指摘している。同紙はラブンスに追加の質問を送っており、回答が得られ次第最新情報を伝える予定とのこと。
【無料配布中!】地政学情勢×サイバー動向の解説レポート
レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』
以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。
目次
- 序論
- ハクティビズム
- ハクティビズムの変遷
- 戦争におけるハクティビズム
- 「選挙イヤー」におけるハクティビズム
- 絡み合う動機
- 国家の支援を受けたハッカー集団
- 偽情報
- 国家間対立
- 偽情報とロシア・ウクライナ戦争
- 偽情報とイスラエル・ハマス戦争
- 偽情報と選挙が世界にあふれた2024年
- 国家型APTの活動
- 中国
- ロシア
- 北朝鮮
- イラン
- マルチチャネルインテリジェンスの運用化における課題と関連リスク
