独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は2016年(平成28年)2月3日、アメリカの玩具大手マテル傘下のフィッシャープライスの知育玩具向けのWebサービスに、複数のAPI呼出しにおいて適切な認証を行っていない脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表しました。玩具の分野でも増えつつあるモノのインターネット(IoT)製品のセキュリティに警鐘を鳴らしています。
スマート玩具と脆弱性
脆弱性が指摘されているのは、Wi-Fi接続機能を備えたぬいぐるみ型スマート玩具「Smart Toy」と、子ども向けのGPSウォッチ「hereO」の2つです。このうちSmart Toyについては米セキュリティ機関CERT/CCもセキュリティ情報を出しています。
Smart Toyの脆弱性は、APIコマンドの認証が不適切なことと、脆弱性のあるAndroidのバージョンを利用していることに起因します。
問題を悪用された場合、攻撃者が子どもの名前や誕生日、性別といった情報を取得することが可能なほか、個人情報が編集されたり、玩具が別のアカウントに関連付けられたりする恐れもあるといいます。
Smart Toyの脆弱性は、APIコマンドの認証が不適切なことと、脆弱性のあるAndroidのバージョンを利用していることに起因します。
問題を悪用された場合、攻撃者が子どもの名前や誕生日、性別といった情報を取得することが可能なほか、個人情報が編集されたり、玩具が別のアカウントに関連付けられたりする恐れもあるといいます。
Smart ToyはAndroid 4.4(KitKat)をベースにしており、最新のセキュリティパッチが当てられているかどうかは不明ですが、マテルは、問題を回避するためプラットフォームに変更を加えたと説明しています。
hereOは、モバイルアプリなどを使って家族の間でお互いの居場所などを確認できるという製品です。セキュリティ企業のRapid7の調査によると、ファミリーグループへの招待にかかわる認証に脆弱性があり、攻撃者が自分のアカウントを他人のファミリーグループに追加して、子どもなどの居場所や位置情報の履歴といった情報にアクセスできてしまうことが分かりました。
フィッシャープライスは、Rapid7からの報告を受けて問題を解決したといいます。
hereOは、モバイルアプリなどを使って家族の間でお互いの居場所などを確認できるという製品です。セキュリティ企業のRapid7の調査によると、ファミリーグループへの招待にかかわる認証に脆弱性があり、攻撃者が自分のアカウントを他人のファミリーグループに追加して、子どもなどの居場所や位置情報の履歴といった情報にアクセスできてしまうことが分かりました。
フィッシャープライスは、Rapid7からの報告を受けて問題を解決したといいます。
子ども向けのスマートウォッチに脆弱性
子ども向けのスマートウォッチ「ENOX SAFE-KID-ONE」は、データ暗号化の欠如が指摘され、欧州委員会からリコールされました。
このスマートウォッチは、内蔵されたアプリによってGPS情報を定期的に発信し、保護者が子どもの行動を追跡できるようになっています。
このスマートウォッチは、内蔵されたアプリによってGPS情報を定期的に発信し、保護者が子どもの行動を追跡できるようになっています。
この通信はバックエンド・サーバを経由するのですが、スマートウォッチとサーバ間の通信が暗号化されておらず、さらにサーバは認証されていないアクセスを受け付ける仕様になっていました。悪意のあるユーザーがサーバにアクセスすることで、子どもの位置情報を取得したり、スマートウォッチと通信できる可能性があるといいます。
子供用スマートウォッチに赤信号:GIZMODO,2019年(平成31年)2月8日
情報リテラシー教育
スマート玩具をめぐって、2015年(平成27年)に香港のVTechのデータベースが不正アクセスされて保護者と子供の個人情報が流出する事件も発生しています。
玩具という売りきりの製品では、あらたな脅威に対する防御策を組み込むようなサポートは難しいでしょう。
そうしたリスクがあることを考え、子どもにスマート玩具を買うかどうか判断しましょう。
玩具という売りきりの製品では、あらたな脅威に対する防御策を組み込むようなサポートは難しいでしょう。
そうしたリスクがあることを考え、子どもにスマート玩具を買うかどうか判断しましょう。
参考サイト
- おもちゃがハッキングされる時代に。スマート玩具に潜むリスクとは:ASCII,2022年12月21日
- Wi-Fi接続できる「スマートトイ」に子どもの個人情報を教えてはいけない!:lifehacker,2018年12月27日
- フィッシャープライス Smart Toy 向けウェブサービスにおいて認証なしで API を呼び出せる脆弱性:JPCERT/CC
- スマートスピーカーやネット家電も攻撃対象に? 2017年(平成29年)版「最もハッキングされやすいギフト」 McAfee調べ:ITmedia PC USER,2017年11月21日
(この項おわり)