CyberNewsは10月8日(現地時間)、「AI girlfriend data breach: 400K+ users affected | Cybernews」において、2つのAIコンパニオンアプリ(AI彼女アプリ)から個人情報が流出したと報じた。

アプリはいずれも香港に拠点を置く「Imagime Interactive Limited」により開発されたもの。同社はプライバシーポリシーにて「顧客の個人情報が最重要」としながら、実際にはアクセス制御や認証を行っていなかったという。

  • AI girlfriend data breach: 400K+ users affected|Cybernews

    AI girlfriend data breach: 400K+ users affected | Cybernews

40万人以上のユーザーに影響か

このインシデントはCybernewsの調査により、8月28日に発見された。ストリーミングおよびコンテンツ配信システム「Kafka Broker」の保護されていないインスタンスを発見したが、このインスタンスで大量の個人情報が無制限に公開されていたとみられる。報告では明確な記述を確認できないが、「Apache Kafka」のBrokerインスタンスを指すようだ。

このシステムはAIコンパニオンとのプライベートな会話をストリーミングするために利用され、次の情報を含んでいたことが確認された。

  • ユーザーが送信した4,300万件を超えるメッセージ
  • ユーザーが送信した写真、動画へのリンク
  • AIによって共有および生成された60万件以上の画像および動画
  • 40万人以上のユーザー情報

この新しいタイプの情報流出経路について、Cybernewsのセキュリティ研究者は次のように述べている。

「の憂慮すべき情報漏洩は、ユーザーがこれらのアプリに寄せている完全な信頼、つまりこれら情報が非公開であることを期待して欲望や空想を表現することと、開発者のセキュリティ上の怠慢との間に大きな隔たりがあることを浮き彫りにしています」

Apple App StoreおよびGoogle Playから配信

発見された問題のアプリは「Chattee Chat」および「GiMe Chat」の2つ。Apple App StoreおよびGoogle Playから配信され、利用者は米国に多いとされる。

  • Google Playの「Chattee Chat」配布サイト

    Google Playの「Chattee Chat」配布サイト

なお、CyberNewsは調査中に「Chattee Chat」がGoogle Playから削除されたと伝えているが、筆者が確認したところGoogle Playの配布サイトは存在し、Apple App Storeの配布サイトが確認できなくなっていた。理由は定かでないが、日本と諸外国のストアで取り扱いが異なる可能性がある。

被害者のIPアドレスとデバイス識別子が流出

流出したユーザー情報からは、個人を特定できる情報(氏名やメールアドレスなど)は確認されていない。ただし、被害者のIPアドレスとデバイス識別子が流出しており、過去の流出データと突き合わせることで特定できる可能性が指摘されている。

CyberNewsは調査結果をImagime Interactive Limitedに報告し、追加のコメントを求めたが返答はなかったとされる。そのため流出状況はわかっていない。研究者はこれらアプリの利用者に対し、今後セクストーション、スピアフィッシング、その他の攻撃の可能性があると注意を呼びかけている。