Chattee Chat と GiMe Chat という 2 つの AI コンパニオン アプリケーションが関与した重大なデータ侵害により、4,300 万件を超えるプライベート メッセージが流出しました。サイバーセキュリティ研究グループのサイバーニュースによって発見されたこの事件では、60万枚を超える画像や動画も流出し、ユーザーが個人的なやり取りをAIプラットフォームに委ねる際に存在するセキュリティの脆弱性が浮き彫りになった。アプリの開発者は、香港に拠点を置く企業 Imagime Interactive Limited です。 2025 年 8 月 28 日、Cybernews の研究者は、Imagime Interactive Limited が運営し、公開されている Kafka Broker サーバーを特定しました。サーバーにはセキュリティ保護が施されていないため、認証要件やアクセス制御がありませんでした。このセキュリティの欠如により、誰でもそこに含まれるデータにアクセスできました。サーバーは、ユーザーとその AI コンパニオンとの間のリアルタイムの会話を積極的にストリーミングしていました。流出したデータには、テキストベースのメッセージだけでなく、アプリ内で交換される個人の写真、ビデオ、AI生成画像への直接リンクも含まれていた。研究者らは、流出したコンテンツの一部は「実質的に作業には安全ではない」と述べ、流出した情報の親密で機密性の高い性質を示していると述べた。この侵害は、iOS と Android の両方のプラットフォームで合計 400,000 人のユーザーに影響を与えました。調査によると、流出したデータの約 3 分の 2 は iOS ユーザーからのもので、残りの 3 分の 1 は Android デバイスのユーザーからのものでした。漏洩の影響を受けた個人の大多数は米国に居住していました。漏洩したデータには氏名や電子メール アドレスは含まれていませんでしたが、ユーザーの IP アドレスや一意のデバイス ID など、その他の重要な識別子が含まれていました。この情報は他のデータ ソースと相互参照して個人を追跡し、場合によっては個人を特定することができます。分析の結果、ユーザーはそれぞれ平均 107 個のメッセージを AI パートナーに送信したことがわかりました。この活動により、個人情報の盗難、ターゲットを絞った嫌がらせ、脅迫などの悪意のある目的に悪用される可能性のある個人的な考えややり取りを含む、各ユーザーに相当なデジタル フットプリントが作成されました。この調査により、財務上の詳細も明らかになりました。流出したデータに含まれていた購入ログから、一部のユーザーがアプリに多額のお金を費やしており、AIコンパニオンとの対話に個人が支出した金額は最高1万8000ドルに達していたことが明らかになった。データ侵害が発見される前に、開発者はこれらのアプリケーションから 100 万ドル以上の収益を得ていたと推定されています。 Imagime Interactive Limited は、プライバシー ポリシーの中で、ユーザーのセキュリティが「最も重要である」と述べています。しかし、サーバー上に認証手段がまったく存在しないということは、この主張と真っ向から矛盾しており、機密性の高いユーザー データに対する基本的なセキュリティ保護手段の実装に重大な欠陥があることを明らかにしています。この脆弱性を発見したサイバーニュースは、直ちにこの問題を Imagime Interactive Limited に報告しました。最終的に、セキュリティで保護されていないサーバーは 9 月中旬にオフラインになりました。このサーバーは削除される前に、インターネットに接続されたデバイスのインデックスを作成するプラットフォームであるパブリック IoT 検索エンジンにリストされていました。これらの検索エンジンにこのファイルが存在することで、脆弱なシステムを積極的に検索しているサイバー犯罪者が簡単に発見できるようになりました。サーバーが保護される前に、悪意のある攻撃者が侵害されたデータにアクセスしたかどうかは不明のままです。ダウンロードされた会話や画像は依然としてセクストーション詐欺やフィッシング攻撃を促進するために使用されたり、影響を受けるユーザーに重大な風評被害を引き起こしたりする可能性があるため、被害の可能性は依然として存在します。この侵害を受けて、サイバーセキュリティの専門家は、ユーザーが AI アプリケーションを使用する際にデータを保護するためのいくつかのヒントを概説しました。
- 共有する前に次のことを考えてください。 ユーザーは、AI チャット アプリケーションを通じて個人的なコンテンツや機密性の高いコンテンツを送信しないようにする必要があります。データが共有されると、その制御は事実上失われます。
- 評判の良い AI ツールを使用します。 透明性のあるプライバシー ポリシーと強力なセキュリティ対策の実績のある開発者のアプリケーションを選択することをお勧めします。
- データをオンラインで削除します。 データ削除サービスを利用すると、公開データベースから個人情報を消去できます。完全な解決策ではありませんが、詐欺師が入手できる情報が制限される可能性があります。
- 強力なウイルス対策ソフトウェアでサイバーセキュリティを強化します。 信頼できるウイルス対策ソフトウェアをインストールすると、詐欺をブロックし、侵入を検出し、フィッシング行為をユーザーに警告することで防御層が提供されます。
- パスワード マネージャーと MFA を使用してアカウントを保護します。 パスワード マネージャーを使用して強力で一意のパスワードを作成し、多要素認証 (MFA) を有効にすることは、不正なアカウント アクセスを防ぐための重要な手順です。
このデータ漏洩は、AI チャット アプリケーションが大量の機密性の高いデータを保存していることを思い出させます。このデータが侵害されると、脅迫、なりすまし、公の場での恥をかくことなど、深刻な結果が生じる可能性があります。この事件は、成長する AI コンパニオン業界におけるセキュリティ基準の強化と説明責任の強化の必要性を浮き彫りにしました。ユーザーにとって、自分のデータがどのように扱われ保護されるかについての認識を高めることは、個人情報がオンラインで公開されるのを防ぐための重要な第一歩です。
