「Have I Been Pwned?」の運営者トロイ・ハント氏は、インターネットに接続された「CloudPets」と呼ばれるテディベアが個人情報を漏洩したと明かしました。これにより、子供とその親に関する音声録音、メールアドレス、その他の機密データが、何者にも知られずに侵害される危険にさらされました。
ハント氏によると、約82万1000人の情報がこのようにして漏洩したという。データベースには「本来、実稼働データが含まれるべきではないデータベースによって、親子の音声録音約220万件への参照が漏洩していた」とハント氏は述べた。これだけでも十分な問題だが、ハント氏はCloudPetsのモバイルアプリをさらに調査した結果、さらに容易に悪用されるセキュリティ上の問題を発見した。
CloudPetsはユーザー情報をAmazon S3バケットに保存していたようですが、アクセスに認証は一切不要です。プロフィール写真、子供の名前、そして未来的なテディベアを通して連絡を取る親戚の名前を閲覧するために必要なのは、適切なファイルパスだけです。子供やその家族の音声録音も同様に見つかります。どういうわけか、事態はさらに悪化しています。
ハント氏は、CloudPetsがユーザーパスワードに強度要件を設けていないことを発見した。パスワードとして「L」と入力するだけで済むのだ。また、CloudPetsはYouTubeの「はじめに」動画で保護者に対し、「qwe」をパスワードとして使用するよう明確に推奨している。どちらの選択肢も決して安全ではない。ハント氏は、CloudPetsがパスワードをbcryptハッシュとして保存しているにもかかわらず、これらの単純なパスワードを解読するのは、ハッカーの名にふさわしい者なら誰でも簡単にできると説明した。
しかし、それだけではありません!ハント氏は、製品開発者がこれらの問題について少なくとも4回警告を受けていたことも発見しました。しかし、同社はこれらのメールに一切返信していませんでした。まとめると、インターネットに接続されたテディベアたちが、パスワード保護のない公開データベースに情報を保存し、他の安全対策を講じずにAmazon S3バケット経由でデータを提供していただけでなく、脆弱なパスワードの使用を積極的に推奨し、複数の警告を無視していたのです。
どれも悪いニュースです。しかし、さらに悪いことに、どうやらこの物語は『イリアス』のような壮大な叙事詩になる運命にあったようです。(ぬいぐるみ、データベース、セキュリティ問題への言及がかなり多くなっています。)最終的に、データベースは正体不明の攻撃者によって何度も消去され、身代金を要求されました。そしてついにデータベースはShodanから消え、CloudPetsが問題に対処したかに見えました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ふぅ!やっと全部終わった。でも、もちろん、まだ終わってない。ハントはこう書いている。
CloudPets(あるいはmReady)が、第一にデータベースが公開されていたこと、そして第二に悪意のある第三者がアクセスしていたことを知らなかったとは考えられません。システムのセキュリティプロファイルが変更されていたことは明らかであり、身代金が要求されていたという事実を見逃すことは不可能でした。したがって、公開されたデータベースと身代金を要求する者による侵入の両方が特定されていたはずですが、この件はこれまでニュースの見出しにはなりませんでした。
つまり、同社は問題を認識していたものの、顧客に通知しなかったようです。これは、企業にデータ漏洩の開示を義務付けるカリフォルニア州法に違反しています。データベースの構築からモバイルアプリの設計、そしてユーザー自身や子供の個人情報が第三者によってアクセスされた可能性があることを警告するまで、あらゆる段階でCloudPetsはユーザーのプライバシーとセキュリティに関して最悪の行為を行ったのです。
プライバシー問題を抱えるインターネット接続玩具は、CloudPetsだけではありません。デジタルプライバシー権利団体EPICは、2016年12月に連邦取引委員会(FTC)に苦情を申し立て、Genesis Toys社とNuance社が保護者の同意なしに子供の音声を録音していたと主張しました。マテル社の「Hello Barbie」人形やその他のIoT玩具にも問題が見つかっています。今、私たちが伝えたいメッセージは明確です。お子様にインターネット接続玩具を買ってはいけない、ということです。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
