ぬいぐるみから80万人のユーザー情報が流出、つながる玩具に警鐘(1/2 ページ)
「ほかにも多数のつながる玩具に深刻な脆弱性が存在しているのは間違いない。メーカーや保護者の知らないうちに不正アクセスされ、データが盗まれているかもしれない」と研究者は警鐘を鳴らしている。
インターネットに接続して、親子で音声メッセージをやりとりできる玩具から、ユーザー80万人あまりの情報が流出していたことが分かったとして、セキュリティ研究者が調査結果を公表した。この玩具を使って交わされた、親子間の会話200万件あまりも流出した可能性があるといい、同じような脆弱性は他の玩具にも存在するかもしれないと警告している。
問題が報告されているのは玩具メーカーの米Spiral Toysのぬいぐるみ「CloudPets」。離れた所にいる家族がスマートフォンのアプリを使ってCloudPets経由で子供と音声メッセージをやりとりできる。
この玩具からの情報流出に関する調査結果は、セキュリティ研究者のトロイ・ハント氏らが2月28日に公表した。それによると、CloudPetsのユーザー情報は認証なしでアクセスできる公開ネットワーク上のMongoDBに保存され、Shodanで検索できる状態になっていたことが判明。ここから大量のユーザー情報が流出していたことが分かった。
ハント氏がたまたま米国で開いていたセキュリティワークショップの受講者の中に、CloudPetsのアカウントを持つユーザーがいて、このユーザーの電子メールアドレスや娘にCloudPetsをプレゼントしたクリスマスの日のタイムスタンプ、Bcryptでハッシュ化されたパスワードなどの情報が、流出したデータの中に含まれていることを確認したという。
ハント氏にこの情報を提供した人物は、CloudPetsのサポートに何度も接触を試みたが、同社から返答はなかったそうだ。
関連記事
- GMO子会社のクレカ情報漏えい事件、“褒められる対応”を考えた
約70万件の情報が漏えいしたとみられるGMOペイメントゲートウェイの不正アクセス事件。100%情報漏えい事故を防ぐことはできない時代、事件を起こした企業がすべき“褒められる対応”を考えてみました。 - スマート玩具に脆弱性、個人情報や子どもの居所情報流出の恐れも
Rapid7では玩具の分野でも増えつつあるIoT製品について、「消費者にはIoT製品を家庭で使うことの潜在的リスクを認識してほしい」と呼びかけている。 - 知育玩具のVTech、子どもの顔写真や親子のチャット記録も大量流出か
Motherboardによれば、子どもと保護者の顔写真や、親子間で交わしたチャットのログ記録が簡単に不正アクセスできてしまう状態でサーバに保存されていたという。 - 知育玩具のVTechに不正アクセス、約20万人の子供の個人情報が流出
知育玩具メーカーVTechに11月初旬に不正アクセスがあり、約5万人の保護者と20万人以上のその子どもの個人情報が流出したと米Motherboardが報じ、VTechもこれを認める声明文を発表した。クレジットカード情報は含まれていないが、住所や子どもの誕生日が特定できる。 - ランサムウェア対策の注意点は?
2015年を通じてランサムウェアに関する相談が目立つことから、IPAが対策での注意事項を解説している。
Copyright © ITmedia, Inc. All Rights Reserved.