スマート玩具から子どもの個人情報が漏れる

独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2016年（平成28年）2月3日、アメリカの玩具大手マテル傘下のフィッシャープライスの知育玩具向けのWebサービスに、複数のAPI呼出しにおいて適切な認証を行っていない脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表しました。玩具の分野でも増えつつあるモノのインターネット（IoT）製品のセキュリティに警鐘を鳴らしています。

スマート玩具と脆弱性

イメージ画像です。

脆弱性が指摘されているのは、Wi-Fi接続機能を備えたぬいぐるみ型スマート玩具「Smart Toy」と、子ども向けのGPSウォッチ「hereO」の2つです。このうちSmart Toyについては米セキュリティ機関CERT/CCもセキュリティ情報を出しています。

Smart Toyの脆弱性は、APIコマンドの認証が不適切なことと、脆弱性のあるAndroidのバージョンを利用していることに起因します。
問題を悪用された場合、攻撃者が子どもの名前や誕生日、性別といった情報を取得することが可能なほか、個人情報が編集されたり、玩具が別のアカウントに関連付けられたりする恐れもあるといいます。

Smart ToyはAndroid 4.4（KitKat）をベースにしており、最新のセキュリティパッチが当てられているかどうかは不明ですが、マテルは、問題を回避するためプラットフォームに変更を加えたと説明しています。

hereOは、モバイルアプリなどを使って家族の間でお互いの居場所などを確認できるという製品です。セキュリティ企業のRapid7の調査によると、ファミリーグループへの招待にかかわる認証に脆弱性があり、攻撃者が自分のアカウントを他人のファミリーグループに追加して、子どもなどの居場所や位置情報の履歴といった情報にアクセスできてしまうことが分かりました。
フィッシャープライスは、Rapid7からの報告を受けて問題を解決したといいます。

子ども向けのスマートウォッチに脆弱性

ENOX SAFE-KID-ONE

子ども向けのスマートウォッチ「ENOX SAFE-KID-ONE」は、データ暗号化の欠如が指摘され、欧州委員会からリコールされました。

このスマートウォッチは、内蔵されたアプリによってGPS情報を定期的に発信し、保護者が子どもの行動を追跡できるようになっています。

この通信はバックエンド・サーバを経由するのですが、スマートウォッチとサーバ間の通信が暗号化されておらず、さらにサーバは認証されていないアクセスを受け付ける仕様になっていました。悪意のあるユーザーがサーバにアクセスすることで、子どもの位置情報を取得したり、スマートウォッチと通信できる可能性があるといいます。

子供用スマートウォッチに赤信号：GIZMODO，2019年（平成31年）2月8日