ClickTok

ClickTokと呼ばれる攻撃キャンペーンが確認されています。
名前から想像できるように、これはTikTokショップを装って展開される攻撃です。
TikTokショップとは、TikTokアプリ内で完結するショッピング機能のことです。
動画を視聴しながらそのまま商品購入に進むことができるため、スムーズな購買体験が可能です。
インフルエンサーやブランドが動画やライブ配信で商品を紹介し、ユーザーはアプリを離れることなく決済まで完了できます。
このTikTokショップは、2025年8月時点で日本を含む世界17カ国以上で展開されています。
具体的には、イギリス、インドネシア、マレーシア、タイ、ベトナム、フィリピン、アメリカなどが含まれます。
この環境を舞台とした最近確認された攻撃キャンペーンがClickTokです。

  • 偽サイトの設置
    脅威アクターは、まずは偽サイトを設置します。
    TikTok Shop、TikTok Wholesale、TikTok MallといったTikTokの商業エコシステムにそっくりのサイトを作成し公開します。
  • 偽広告の設置
    次に脅威アクターは偽サイトに誘い込む役割を果たす偽広告を設置します。
    この偽広告では実在のインフルエンサーやブランドアンバサダーが起用され、信じられないほどお得な商品を宣伝したり、割引を提供したりしています。
    しかし、割引情報も、動画に登場する人物も、すべて偽物です。
  • SparkKitty
    偽広告をクリックして偽サイトにたどりつくと、ログイン情報を入力するか、TikTokそっくりのモバイルアプリをダウンロードするよう求められます。
    このモバイルアプリはTikTokではなく、トロイの木馬となっています。
    このトロイの木馬がSparkKittyです。
    SparkKittyはTikTokの見た目になっています。
    そして、ユーザーがログインしようとすると、アプリは間違ったメールアドレスまたはパスワードを入力したかのように見せかけます。
    その後、アプリはGoogle経由でのログインを提案します。
    こうして脅威アクターはGoogleのOAuthのアカウント情報を入手します。
  • アカウント情報以外の被害
    被害はGoogleのOAuthのアカウント情報だけではありません。
    デバイスに保存されているスクリーンショットや画像を読み取ることで、ウォレットの認証情報などの機密データを密かに取得し、最終的にデジタル資金の盗難を可能にします。
  • 被害者の種類
    被害者はTikTokの閲覧者だけではありません。
    TikTokに広告を掲載している人にも被害を及ぼします。
    広告掲載者の画面に広告がとてもうまくいっていると表示します。
    そして、獲得したお金を引き出すにはアカウントにチャージする必要があるというメッセージを受け取ります。
    もちろん、そのお金のチャージ先は本物ではなく、チャージされたお金は詐欺師の財布に直接入ります。

偽サイト、偽広告、偽アプリ、こういったものの精巧さはどんどん増しています。
生成AIの登場がこういった活動の難しさを緩和しています。
怪しい日本語が使われていることから偽物を判定するというような方法は難しくなってきています。

改めて思うのは、アプリの入手先の注意です。
公式アプリストア以外からはアプリはダウンロードしたくないです。
もっとも公式アプリストアだから常に必ず安全な本物のアプリなのか、というと、そうとも言い切れないのですが、公式アプリストア以外から入手するよりは安全だと思ってもよさそうです。
あとあれですね、いい話には気をつけましょう。

FraudOnTok The SparkKitty Drop on TikTok Shops

https://www.ctm360.com/reports/fraudontok-tiktok-shop-scam-report

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。