「0円」、「プレゼント」などとうたう宣伝動画で有名な通販サイト「Temu」が、国際的な貿易規制の抜け穴を濫用し、利用者情報を無断で収集するなどの詐欺的行為を行っていたことが26日、分かった。またスイスのセキュリティ調査によると、Temuのアプリに「異常な技術的特異性」があることも判明。利用者が知らないうちに情報を収集される可能性があるとも警告している。

◇ 貿易の穴とデータ収集と強制労働の可能性

Temuは、中国の持ち株会社「PDD Holdings,Inc.」が運営するインターネット通販サイトで、価格帯が安い商品を販売している。しかし、このビジネスモデルが国際的な貿易規制の穴を突いているうえ、ユーザーデータを収集するリスクがある。同社は、中国政府とのかかわりが強く、TikTok同様にデータが政府機関などに収集される可能性があり、特に米国市民を対象にされているとの疑惑がある。また、米議会の調査では、同社のサプライチェーンはウイグル強制労働防止法（UFLPA）を遵守していないため、強制労働によるリスクが「極めて高い」と結論付けられている。また、コンプライアンス面でも同社は大きな問題と制裁を受けている。米国では、身元確認を義務付ける法律に違反したとして200万ドル（日本円で約3億円）の罰金のリスクに晒されている。このことは、同社がコンプライアンス大勢に不備があることを露呈している。

◇ 中国政府との関係疑惑

米国司法長官によると、Temuが親会社と関連していることにより、特に米国の利用者をマルウェアに感染させて個人情報を盗み、データを中国政府に送る可能性があると主張して訴訟を起こしている。政策分析によると、同社は中国の戦略的競争における「新たな戦線」と位置付けられていて、その脅威はTikTokがもたらすリスクと同じと見なされている。その具体的理由として、米国法の意図的な回避、広範囲なデータの収集、中国共産党との結びつきというリスク要素で、Temuが収集する膨大な量のデータは同党にとっては「情報操作、およびそれ以外の目的のために計り知れない価値がある」と米で評価されている。また、Temuに対する米国の対応がTikTokと比較されることは、米国政府がTemuの大量の購買履歴や行動データの収集を、アプリの権限と組み合わせることで、情報戦や広範な地政学的な優位性のために兵器化されうる諜報活動の一環と見なしていることを示唆している。つまり、リスクは単なる一般的なプライバシー侵害を超えて、中国のセキュリティ法に基づきデータが国家によって強制的に徴用される「中国との結びつき」に起因する、国家安全保障上の問題として捉えられている。

◇ 姉妹アプリPinduoduoのマルウェア事件

Temuの親会社が運営する姉妹アプリPinduoduoに関する過去の事例は、Temuのアプリケーション版に対する不信感を増幅させている。2023年初頭、Pinduoduoは、Androidシステムの脆弱性を悪用して許可なくデバイスデータをスパイし、実質的にマルウェアとして機能していたとする報告を受け、Google Playストアから削除された。報告書によると、Pinduoduoにはユーザーを監視するように設計された悪意のあるコードが含まれていた。これはインサイダー攻撃から、会社自身がユーザーをハッキングした可能性に至るまで、いくつかの深刻なシナリオを示唆していた。また、悪意のあるコピーがサードパーティのアプリストアを通じて配布され、データの盗難やマルウェアのインストールに利用された。当然ながらTemuはこれらの疑惑を否定しているものの、両アプリ間の類似性、およびPinduoduoがスパイウェアのような挙動を利用して機密データを収集していたという事実は、Temuのアプリに対するプライバシー上の懸念と、サイバーセキュリティ専門家の間の不信感をさらに高めている。