米 女性向けマッチングアプリ Teaで情報漏洩-72,000件以上の個人情報漏洩の可能性

セキュリティニュース

投稿日時: 更新日時:

米 女性向けマッチングアプリ Teaで情報漏洩-72,000件以上の個人情報漏洩の可能性

2025年7月、女性がデート相手の情報を匿名で共有し、危険人物を回避することを目的に人気を集めていた米国発のアプリ「Tea」において、大規模な個人情報漏洩事件が発生しました。

Teaは、女性が過去に関わった男性についての情報や警告を投稿できるプラットフォームで、2022年に元Salesforceのエンジニアが母親の実体験をきっかけに開発したアプリです。そのユニークなコンセプトが注目を集め、わずか1週間でダウンロード数が500%以上増加し、App Store米国版で1位にランクインしていました。

しかしながら、その急成長の裏で、ユーザー画像を中心とした重大なデータ漏洩が発覚。安全性やプライバシーへの懸念が一気に噴出しています。

漏洩の内容

Teaが公式に発表した内容によると、流出したのは合計約72,000枚の画像です。その内訳は以下の通りです

  • 本人確認用に提出された自撮り画像やID写真:約13,000枚

  • アプリ内の投稿、コメント、ダイレクトメッセージに含まれていた公開画像:約59,000枚

これらの画像は、Teaが「レガシー・データシステム」と呼ぶ古い保管領域に保存されていたもので、一部は2023年以前のユーザー情報が含まれていたとされています。

現在のところ、メールアドレスや電話番号などの個人連絡先情報の流出は確認されていないものの、

写真の一部には位置情報(ジオロケーションメタデータ)が含まれていた可能性があり、SNS上では漏洩した位置情報とユーザーの顔情報を紐づけ

グーグルマップでユーザーを可視化している事案も確認できており非常に危険な状態です。

原因

今回の漏洩の直接的な原因は、不適切に保護されたデータベースへの外部アクセスです。4ChanやRedditなどの匿名掲示板で、このデータベースがインターネット上で誰でもアクセス可能な状態で公開されていたことが指摘され、登録ユーザーの顔写真も公開されてしまいました。

Teaの運営会社は、「外部のサイバーセキュリティ企業を交えて24時間体制で調査を進めている」と表明していますが、現時点では、漏洩元となったシステムがなぜインターネットに晒されていたのかという根本的な問題についての詳細な説明はされていません。

また、画像が古いシステムに保存され続けていた点についても、削除方針やデータ保持ポリシーの甘さが問われています。

専門家の間では、「身分証画像+自撮り画像」という組み合わせがAIによる顔認識技術を使った攻撃や詐欺に悪用される可能性がある点も危惧されています。

今起こっている事

今回の情報漏洩を受けて、Teaの利用者やセキュリティ専門家、さらには一般のインターネットユーザーの間でも、大きな波紋が広がっています。被害者にとっては、単なるアカウントの乗っ取りとは異なり、「顔写真」や「身分証明書の画像」といった変更不可能なデータが含まれていたため、不安や怒りの声が相次いでいます。

SNS上では流出データの拡散と非難が加速

事件発覚後、匿名掲示板4ChanやReddit、X(旧Twitter)などでは、流出した写真やIDの画像が実際にアップロードされているとの投稿が確認されました。

前段で解説した通り、SNS上では「Teaアプリの全データが晒された」として、実際のトレントリンクまで公開し、一部の画像には撮影時のジオロケーション情報(位置情報)が含まれていたことも判明しています。これは利用者の実際の居住地や生活圏が特定される可能性があり、非常に深刻なプライバシーリスクです。

また、「女性の安全を守るためのアプリが、逆に女性を危険に晒す結果になった」という皮肉な指摘もあり、SNS上ではTeaの設計思想そのものに疑問を投げかける投稿が目立ち始めています。

セキュリティ業界からは「KYC文化」への批判

今回の事件を受け、サイバーセキュリティの専門家からは、オンラインサービスにおける本人確認(KYC)や顔認証の常態化に対する警鐘が鳴らされています。ある専門家は、「自撮り画像やIDは一度流出すれば変更できない情報。パスワードのように“リセット”はできない」とし、バイオメトリクス(生体情報)を扱うサービスは、万が一の漏洩時の影響を想定して運用すべきだと強調しています。

加えて、AIの進化により、顔写真とIDが揃えば、ディープフェイクや顔認証のなりすましに利用されるリスクも高まっていることから、データ収集自体を再考すべきという意見も出ています。

利用者の間では退会や警戒行動が進む

Tea側は「パスワード変更や退会は不要」と発表していますが、それでも不安を感じた多くのユーザーが自主的にアカウントを削除したり、アプリの利用を停止しています。さらに、過去にアップロードした画像の流出有無を確認する術がないため、精神的なストレスを感じているという声も多く見られます。

一部の利用者は、画像検索ツールで自分の写真がネット上に出回っていないかを調べているほか、クレジットカード情報の不正利用を懸念して、念のためクレジット凍結の手続きを行ったという報告も出ています。

プライバシー対策を呼びかける動きも

情報漏洩を受けて、セキュリティ専門家たちはTeaの利用者に対し、以下のような具体的な対策を推奨しています

  • 登録クレジットカードの凍結申請

  • データブローカー(個人情報収集業者)からの削除依頼

  • SNSアカウントの非公開化

  • 強固なパスワードとパスワードマネージャーの導入

  • 多要素認証(MFA)の徹底

今後、Teaのようなアプリに限らず、あらゆるサービスで「本人確認を求める」プロセスがセキュリティ上の新たな課題になる可能性があり、今回の事件は、利用者と提供者の双方にとって、個人情報の取り扱いに関する意識を見直すきっかけとなっています。