「ほかにも多数のつながる玩具に深刻な脆弱性が存在しているのは間違いない。メーカーや保護者の知らないうちに不正アクセスされ、データが盗まれているかもしれない」と研究者は警鐘を鳴らしている。
インターネットに接続して、親子で音声メッセージをやりとりできる玩具から、ユーザー80万人あまりの情報が流出していたことが分かったとして、セキュリティ研究者が調査結果を公表した。この玩具を使って交わされた、親子間の会話200万件あまりも流出した可能性があるといい、同じような脆弱性は他の玩具にも存在するかもしれないと警告している。
問題が報告されているのは玩具メーカーの米Spiral Toysのぬいぐるみ「CloudPets」。離れた所にいる家族がスマートフォンのアプリを使ってCloudPets経由で子供と音声メッセージをやりとりできる。
この玩具からの情報流出に関する調査結果は、セキュリティ研究者のトロイ・ハント氏らが2月28日に公表した。それによると、CloudPetsのユーザー情報は認証なしでアクセスできる公開ネットワーク上のMongoDBに保存され、Shodanで検索できる状態になっていたことが判明。ここから大量のユーザー情報が流出していたことが分かった。
ハント氏がたまたま米国で開いていたセキュリティワークショップの受講者の中に、CloudPetsのアカウントを持つユーザーがいて、このユーザーの電子メールアドレスや娘にCloudPetsをプレゼントしたクリスマスの日のタイムスタンプ、Bcryptでハッシュ化されたパスワードなどの情報が、流出したデータの中に含まれていることを確認したという。
ハント氏にこの情報を提供した人物は、CloudPetsのサポートに何度も接触を試みたが、同社から返答はなかったそうだ。
Copyright © ITmedia, Inc. All Rights Reserved.