Temu(テム)はユーザーの個人情報を窃取する危険なマルウェア 米アーカンソー州司法長官

Temu(テム)はノーブランドの格安製品を販売する中国発のEC アプリですが、米国市場では注文1件あたり平均30ドルの損失を出していると指摘されており、目的が不明瞭なサイトとして指摘されていましたが、アメリカのアーカンソー州でTemu(テム)はユーザーへマルウェアをインストールさせスパイしているとして危険性を指摘され訴訟を起こされました。

Temu(テム)とは

Temu(テム)は中国の企業　拼多多（ピンドゥオドゥオ)が運営するノーブランドの格安ECサイトで

日用品や家電製品、アパレルなどあらゆる製品が格安かつ送料無料で届くため世界中で利用され始めており

Temu日本版の利用者は1500万人、世界の登録ユーザー数は4億6700万人 とされています。

WIREDの調査でTemu はアメリカ市場への参入に資金を投じているため、1 件の注文につき平均 30 ドルの損失を出していることが明らかになっており、中国が欧米や米国、日本を含む親米アジアの国の個人情報を窃取する事を目的としたアプリではないか？と長らく危険性を指摘されています。

Shein(シーインとの違い)

同じ中国製ECアプリShein（シーイン）はファッションに特化していますが、Temu（テム）は家電製品、ファッション、日用品、ベビー用品などあらゆる製品を安く販売しています。

Temu(テム)はなぜ安い

Temu は中国の電子商取引業界の発達で出現した、広州などの場所に出現した効率の高い製造業界に支えられています。

これらは、繋がりのある企業グループが自己完結型のマイクロサプライチェーンを運営し、迅速に製品の設計、材料の調達、製造を行っており、多くの場合、短い納期で済みます。

またこうした小規模メーカーは現在、 中国国内小売市場の減速に直面し 、海外市場へのアクセスに苦戦しており、大量の在庫をかかえています。

Temu運営の拼多多（ピンドゥオドゥオ)はすでに多数のメーカーと取引していたため、Temuの米国や日本などへの海外発売準備を進める中で彼らにアプローチし、

販売業者らは、これを在庫処分のチャンスと捉え、米国市場での新たなチャンスと捉えたとしています。

前述の通り、WIREDの調査でTemu はアメリカ市場への参入に資金を投じているため、1 件の注文につき平均 30 ドルの損失を出していることが明らかになりました。

また金融系調査会社 China Merchants Securities の 計算によると、カナダ、オーストラリア、ニュージーランドでも事業を展開している Temu は、年間 41 億 5,000 万～67 億 3,000 万人民元（5 億 8,800 万ドル～9 億 5,400 万ドル）の損失を出しており、

同時に、同社は中国の小規模製造業者を圧迫し、利益を上げるのがほぼ不可能なレベルまで価格を下げるよう圧力をかけているとされています。

Temu(テム)に関するマルウェアとセキュリティに関する議論

Temu(テム)はリリース後、マルウェアの配布や不必要な個人情報の収集と漏洩の可能性が指摘されています。

グーグルプレイストアからTemu(テム)が一時的に削除される

2023年5月、米国の安全保障委員会は、Temuアプリ内にマルウェアが発見されたことを報告しました。

Temu側はアプリのセキュリティ対策を強化し、2023年5月下旬にPlayストアに再掲載されました。具体的には、以下の対策が講じられました。

• 脆弱性を修正したアプリのアップデート
• マルウェア検知機能の強化
• ユーザーデータの保護強化

Temu(テム)はBluetoothやWi-Fiネットワーク情報、音声、指紋などの生体認証データへアクセスしている

2023年と2024年でイリノイ州、カリフォルニア州、マサチューセッツ州、バージニア州、個人の集団訴訟を起こされており、訴状では、Temu(テム)は

・BluetoothやWi-Fiネットワーク情報

・音声

・指紋などの生体認証データへ

アクセスし情報を窃取しているとされています。

Temuは詳細な個人情報の収集が可能

Temu のデータ権限はほぼ自由裁量であるため、Temuはカメラや音声を含むモバイル デバイスのほぼすべての部分にアクセスできます。金融取引の処理に必要なアクセスに加えて、収集されるデータは特に広範囲にわたります。

これには以下が含まれます (ただし、これらに限定されません)。

・生体認証データ
・氏名
・住所
・電話番号
・財務情報
・社会保障番号
・生年月日
・端末に登録されている連絡先リスト

Temu(テム)を利用し、クレジットカードやデビットカードの情報が窃取された可能性

米国のある男性はTemuをダウンロードしてアカウントを作成し、銀行情報をTemuに提供したと述べ、「そうすればデビットカードを入力し続ける必要がなくなる」と語った。

彼は約45ドルでいくつかの商品を購入しました。

すると彼は何か異常なことに気づいたと言い、銀行口座に突然身に覚えのない請求が発生し、

このことについてTemuに送った電子メールを提出した。 

「約17件の身に覚えのない請求があり、約2,300ドルが消えた」と男性は語った。 

彼は銀行に対し、これらの請求に対して異議を申し立てたと述べた。

男性はまた、Temuではない他のサービスからクレジットカードの情報に関するメールが大量に届いたことにも不満を述べた。 

「毎日『承認されました』という内容の連絡が届きますが、私は何も申し込みをしていないのです」と彼は話します。

2024年6月 Temu(テム)に関するアメリカ アーカンソー州の訴訟内容

訴状によると2024年6月25日、中国の企業　拼多多（ピンドゥオドゥオ)が運営する国際ECアプリ「Temu」は、悪意のあるソフトウェアであるとの訴訟を提起されました。

訴訟概要データ窃取と再コンパイルでプライバシー設定を上書きか

2024年6月25日、国際ECアプリ「Temu」は、悪意のあるソフトウェアであるとの訴訟を提起されました。訴状によると、Temuはユーザーの同意なしに、カメラ、位置情報、連絡先、SMS、ドキュメントなどのデータにアクセスし、ユーザーのプライバシーを侵害し、セキュリティリスクをもたらしているとのことです。

またTemu は自身を再コンパイルし、プロパティを変更し、ユーザーが設定したデータ プライバシー設定を上書きできると主張している。

原告(アーカンソー州)の主張

• Temuは、ユーザーの同意なしに、広範なデータにアクセスする権限を持つように設計されている。
• Temuは、収集したデータを、ユーザーの同意なしに第三者に開示する可能性がある。
• Temuによるデータ収集は、ユーザーのプライバシーを侵害し、セキュリティリスクを高めている。

公開情報｜Temu(テム)のアプリをダウロードした際に収集される情報

Temu はユーザーに関する大量のデータを収集しています。Temu の Google Play ストアへの登録では、同社はアクセスする必要がある可能性のある特定のデータのリストを自主的に公開しています。そのリストにあるエントリーの一部は、クラッシュ ログやアプリ診断など、明らかに正当な理由があって登録されており、その多くは他のオンライン小売業者が収集するデータと似ています。

以下のような情報が収集されます

• あなたの名前
• あなたのメールアドレス
• 自宅住所
• あなたの電話番号
• お支払い情報と購入履歴
• 写真とビデオ

Temu によれば、これらのデータの種類のほとんどは「アプリの機能」に使用され、「オプション」としてリストされています。ただし、アプリの実行や購入にはこれらのデータ収集方法が必要なため、ほとんどのユーザーはこれらのデータ収集に同意することになります。

ここで収集されるデータに本質的に疑わしい点は何もありませんが、この情報はプライバシー侵害の疑いのある歴史を持つ中国企業によって保持されていることに注意する必要があります。