独立行政法人情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は 2016 年(平成 28 年)2 月 3 日、アメリカの玩具大手マテル傘下のフィッシャープライスの知育玩具向けの Web サービスに、複数の API 呼出しにおいて適切な認証を行っていない脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表しました。玩具の分野でも増えつつあるモノのインターネット(IoT)製品のセキュリティに警鐘を鳴らしています。
スマート玩具と脆弱性

イメージ画像です。
脆弱性が指摘されているのは、Wi-Fi 接続機能を備えたぬいぐるみ型スマート玩具「Smart Toy」と、子ども向けの GPS ウォッチ「hereO」の 2 つです。このうち Smart Toy については米セキュリティ機関CERT/CC もセキュリティ情報を出しています。

Smart Toyの脆弱性は、API コマンドの認証が不適切なことと、脆弱性のある Android のバージョンを利用していることに起因します。
問題を悪用された場合、攻撃者が子どもの名前や誕生日、性別といった情報を取得することが可能なほか、個人情報が編集されたり、玩具が別のアカウントに関連付けられたりする恐れもあるといいます。

Smart Toyの脆弱性は、API コマンドの認証が不適切なことと、脆弱性のある Android のバージョンを利用していることに起因します。
問題を悪用された場合、攻撃者が子どもの名前や誕生日、性別といった情報を取得することが可能なほか、個人情報が編集されたり、玩具が別のアカウントに関連付けられたりする恐れもあるといいます。
Smart Toy は Android 4.4(KitKat)をベースにしており、最新のセキュリティパッチが当てられているかどうかは不明ですが、マテルは、問題を回避するためプラットフォームに変更を加えたと説明しています。

hereOは、モバイルアプリなどを使って家族の間でお互いの居場所などを確認できるという製品です。セキュリティ企業の Rapid7 の調査によると、ファミリーグループへの招待にかかわる認証に脆弱性があり、攻撃者が自分のアカウントを他人のファミリーグループに追加して、子どもなどの居場所や位置情報の履歴といった情報にアクセスできてしまうことが分かりました。
フィッシャープライスは、Rapid7 からの報告を受けて問題を解決したといいます。

hereOは、モバイルアプリなどを使って家族の間でお互いの居場所などを確認できるという製品です。セキュリティ企業の Rapid7 の調査によると、ファミリーグループへの招待にかかわる認証に脆弱性があり、攻撃者が自分のアカウントを他人のファミリーグループに追加して、子どもなどの居場所や位置情報の履歴といった情報にアクセスできてしまうことが分かりました。
フィッシャープライスは、Rapid7 からの報告を受けて問題を解決したといいます。
情報リテラシー教育
スマート玩具をめぐって、2015 年(平成 27 年)に香港の VTech のデータベースが不正アクセスされて保護者と子供の個人情報が流出する事件も発生しています。

玩具という売りきりの製品では、あらたな脅威に対する防御策を組み込むようなサポートは難しいでしょう。
そうしたリスクがあることを考え、子どもにスマート玩具を買うかどうか判断しましょう。

玩具という売りきりの製品では、あらたな脅威に対する防御策を組み込むようなサポートは難しいでしょう。
そうしたリスクがあることを考え、子どもにスマート玩具を買うかどうか判断しましょう。
参考サイト
- フィッシャープライス Smart Toy 向けウェブサービスにおいて認証なしで API を呼び出せる脆弱性:JPCERT/CC
- Rapid7、Fisher-Price の Smart Toy と hereO の GPS Platform に脆弱性を確認:情報漏えいニュース
- スマートスピーカーやネット家電も攻撃対象に? 2017 年(平成 29 年)版「最もハッキングされやすいギフト」 McAfee調べ:ITmedia PC USER,2017 年 11 月 21 日
(この項おわり)