スマート玩具から子どもの個人情報が漏れる

(1/1)
独立行政法人情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は 2016 年(平成 28 年)2 月 3 日、アメリカの玩具大手マテル傘下のフィッシャープライスの知育玩具向けの Web サービスに、複数の API 呼出しにおいて適切な認証を行っていない脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表しました。玩具の分野でも増えつつあるモノのインターネット(IoT)製品のセキュリティに警鐘を鳴らしています。

スマート玩具と脆弱性

スマート玩具と脆弱性
イメージ画像です。
脆弱性が指摘されているのは、Wi-Fi 接続機能を備えたぬいぐるみ型スマート玩具「Smart Toy」と、子ども向けの GPS ウォッチ「hereO」の 2 つです。このうち Smart Toy については米セキュリティ機関CERT/CC もセキュリティ情報を出しています。

Smart Toyの脆弱性は、API コマンドの認証が不適切なことと、脆弱性のある Android のバージョンを利用していることに起因します。
問題を悪用された場合、攻撃者が子どもの名前や誕生日、性別といった情報を取得することが可能なほか、個人情報が編集されたり、玩具が別のアカウントに関連付けられたりする恐れもあるといいます。
Smart Toy は Android 4.4(KitKat)をベースにしており、最新のセキュリティパッチが当てられているかどうかは不明ですが、マテルは、問題を回避するためプラットフォームに変更を加えたと説明しています。

hereOは、モバイルアプリなどを使って家族の間でお互いの居場所などを確認できるという製品です。セキュリティ企業の Rapid7 の調査によると、ファミリーグループへの招待にかかわる認証に脆弱性があり、攻撃者が自分のアカウントを他人のファミリーグループに追加して、子どもなどの居場所や位置情報の履歴といった情報にアクセスできてしまうことが分かりました。
フィッシャープライスは、Rapid7 からの報告を受けて問題を解決したといいます。

子ども向けのスマートウォッチに脆弱性

スマートウォッチ「ENOX SAFE-KID-ONE」
ENOX SAFE-KID-ONE
子ども向けのスマートウォッチ「ENOX SAFE-KID-ONE」は、データ暗号化の欠如が指摘され、欧州委員会からリコールされました。

このスマートウォッチは、内蔵されたアプリによって GPS 情報を定期的に発信し、保護者が子どもの行動を追跡できるようになっています。
この通信はバックエンド・サーバを経由するのですが、スマートウォッチとサーバ間の通信が暗号化されておらず、さらにサーバは認証されていないアクセスを受け付ける仕様になっていました。悪意のあるユーザーがサーバにアクセスすることで、子どもの位置情報を取得したり、スマートウォッチと通信できる可能性があるといいます。
子供用スマートウォッチに赤信号:GIZMODO,2019 年(平成 31 年)2 月 8 日

情報リテラシー教育

スマート玩具をめぐって、2015 年(平成 27 年)に香港の VTech のデータベースが不正アクセスされて保護者と子供の個人情報が流出する事件も発生しています。

玩具という売りきりの製品では、あらたな脅威に対する防御策を組み込むようなサポートは難しいでしょう。
そうしたリスクがあることを考え、子どもにスマート玩具を買うかどうか判断しましょう。

参考サイト

(この項おわり)
header