347万件の識別情報レコードと2,200万件のセッション記録——匿名ビデオチャットアプリ「FTF Live」のユーザーデータが、設定ミスによって外部から閲覧可能な状態にあった可能性があると、TechRadarがCybernewsの調査を引用するかたちで報じました。匿名前提で交わされていたやり取りが、実際には誰がいつ誰と話したかをたどれるデータの軌跡として残っていた可能性があり、利用経験者にとっては「匿名であるはずの自分の会話履歴が第三者に把握され得る」という、サービスの根幹に関わる事案です。原因はKibanaダッシュボードの設定ミスとされ、運営元への問い合わせには現時点で応答がないと伝えられています。
347万件・2,200万件——漏洩した可能性のあるデータの全容
Cybernewsの研究者が発見したとされる今回の事案では、設定不備によって公開状態となっていたKibanaダッシュボード経由で、最大347万件の識別可能なユーザー情報レコードと2,200万件のセッション記録にアクセスできた可能性があります。
露出した可能性があるとされる情報は以下のとおりです。
- ユーザー名およびメールアドレス、またはそれに類する識別子を含む約347万件のレコード(TechRadarの見出しでは「うち約300万件が氏名・メールアドレスを含む」と表現されています)
- デバイス情報、性別、決済情報
- IPアドレス・国・言語といったジオロケーション関連のメタデータ
なお、ビデオ通話の生映像そのものは流出していないと見られています。一方で、識別情報・位置・決済情報が結び付くことで、利用者を追跡・特定・監視できる状態が生じていた点が深刻だと指摘されています。
Kibanaに加えてDozzleの露出も——二重の設定不備
今回の事案では、Kibanaの公開状態に加えて、ブラウザベースのログビューア「Dozzle」のインスタンスも保護されていなかったとされています。Cybernewsはこれを「副次的な露出」と位置付けています。サービス全体の挙動を俯瞰できるだけでなく、平文のパスワード、セッショントークン、内部APIリクエストまで参照可能な状態だったと報じられています。
研究者のコメントとして、次の発言が紹介されています。
「公開状態のKibanaとDozzleのインスタンスが同時に存在することは、深刻なセキュリティリスクを生み出す」
匿名性をうたうプラットフォームでありながら、バックエンドのログが外部から閲覧可能になっていた点は、設計運用の両面で重大な指摘です。
3つの会社名が交錯——応答なき運営体制
TechRadarによると、Cybernewsは運営元への通報を試みたものの応答がなく、運営体制自体も複雑だと指摘しています。報道では以下の関係が示されています。
| 役割 | 名称 |
|---|---|
| Androidアプリ公開元(すでに取り下げ済み) | Burhan LTD |
| プライバシーポリシー上の運営者 | キプロス拠点のCooy Ads Ltd |
| データ管理・カスタマーサポート・ブランディング | Pixover名義 |
複数の名義が重なる構造について、Cybernewsの研究者は透明性に関する懸念点として挙げています。さらに、公開状態が継続していた期間がまだ特定できていないこと、運営からの応答がないことも、事案の深刻度を高める要因として報じられています。
なぜ「匿名」プラットフォームの漏洩が重いのか
FTF Liveはランダムなビデオチャットを提供するサービスで、見知らぬ相手との親密または露骨な会話に用いられる場面があるとされています。匿名性を前提とした利用が行われている分、識別情報と行動メタデータが紐付く形で外部に出ることのリスクは大きいと指摘されています。
Cybernewsの研究者は、次のような懸念を挙げています。
- アカウント乗っ取り
- 標的型詐欺
- 動機を持つ第三者によるストーキング
- 海外のLGBTQ+コミュニティ利用者や、デリケートな会話を行う利用者、未成年者への影響
「匿名で使い捨て」と受け止められがちなやり取りが、実際には追跡可能なデータの軌跡として残り得る——これが今回の事案の本質的な問題だと報じられています。
現時点での読者の判断軸
FTF Liveの運営元からは現時点で公式な応答が確認されておらず、公開状態がいつから続いていたのかも明らかになっていません。今後の焦点は、FTF Live運営元(Burhan LTD/Cooy Ads Ltd/Pixover)からの公式声明と、影響範囲・露出期間の確定情報の公表に移ります。詳細は出典元を参照してください。
開示の経緯と問われる規制対応
Cybernewsによれば、研究者がFTF Liveの公開状態を最初に把握したのは2025年12月12日で、関係するCERTへの通報は2026年1月1日に行われたとされています。Androidアプリ自体は2025年4月5日にGoogle Play Storeで公開され、約5,000ダウンロードを記録した段階で、報道の約10日前にストアから取り下げられた経緯が説明されています。
データ基盤の構成と規制上の論点
露出していたのはElasticsearch上に保管されたデータで、Kibanaのダッシュボードでは人口統計・デバイス種別・地理情報・課金ステータス別に分割されたビューが提供されていたと指摘されています。匿名性を訴求しながら広範な追跡が行われていた可能性は、GDPRやCCPAをはじめとする消費者保護フレームワークのもとで規制当局の関心事になり得るとTechRadarは伝えています。
相次ぐKibana設定不備——類似事案との符合
Kibanaインスタンスの公開放置による情報露出は、今回の事案に限った現象ではないと報じられています。2026年1月にはアマチュア成人コンテンツサイトFrivol.comでも、誰でも到達できる状態のKibanaインスタンス経由で、約479,000件のユーザーメールアドレスが流出した可能性があるとCybernewsが伝えました。
- スペイン拠点でドイツ語圏ユーザーを対象とするFrivol.comでは、業務用ドメインのメールで登録した利用者も含まれており、所属企業を識別できるケースがあったとされています
- Frivol運営側はデータ漏洩そのものを否定し、流出したとされる内容は「価値のないもの」と主張したと報じられています
- Elasticは2026年に入ってからもESA-2026-21、ESA-2026-34、ESA-2026-38など複数のKibana向けセキュリティ更新を立て続けに公開しています
両事案はいずれも、デフォルト設定のままインターネットへ露出する運用の危うさを浮き彫りにしていると指摘されています。
Q&A
Q. どのくらいの規模の情報が漏れた可能性があるのですか? ユーザー名・メールアドレスまたはそれに類する識別子を含む約347万件のレコードと、2,200万件のセッション記録にアクセス可能な状態だった可能性があると報じられています。TechRadarの見出しでは、このうち約300万件が氏名とメールアドレスを含むと表現されています。生のビデオ通話映像は流出していないと見られています。
Q. ビデオ通話の中身そのものも見られたのですか? 生映像が露出した形跡はないとされています。ただし、識別情報・IPアドレス・決済情報・デバイス情報などが結び付くため、追跡や特定が可能な状態だったと指摘されています。
Q. 自分のアカウントが影響を受けたかを確認する方法はありますか? 現時点で、FTF Live運営元からの公式な影響範囲の発表や個別通知は確認されていません。詳細は出典元を参照してください。
Q. 運営元は何と説明していますか? 現時点で運営元からの応答は確認されていません。Androidアプリは取り下げ済みですが、Burhan LTD、Cooy Ads Ltd、Pixoverといった複数の名義が関係していることも、透明性への懸念として指摘されています。
出典
- TechRadar — Anonymous video chat app leaks data on millions of users — more than 22 million records exposed, including 3 million containing names and email addresses
- Cybernews — Researchers uncover random video chat leak exposing millions of intimate user sessions
- Cybernews — Adult site Frivol.com data leak reveals users registered using work emails
