スマート玩具に脆弱性、個人情報や子どもの居所情報流出の恐れも

Rapid7では玩具の分野でも増えつつあるIoT製品について、「消費者にはIoT製品を家庭で使うことの潜在的リスクを認識してほしい」と呼びかけている。

[鈴木聖子，ITmedia]

　セキュリティ企業のRapid7は2月2日、米玩具大手Mattel傘下のFisher-Priceの知育玩具など2つの製品に見つかった脆弱性について情報を公開した。玩具の分野でも増えつつあるモノのインターネット（IoT）製品のセキュリティに警鐘を鳴らしている。

Fisher-Priceの「Smart Toy」

　脆弱性が指摘されているのは、Wi-Fi接続機能を備えたFisher-Priceのぬいぐるみ型スマート玩具「Smart Toy」と、子ども向けのGPSウォッチ「hereO」。このうちSmart Toyについては米セキュリティ機関CERT/CCもセキュリティ情報を出している。

　それによると、Smart Toyの脆弱性はAPIコマンドの認証が不適切なことと、脆弱性のあるAndroidのバージョンを利用していることに起因する。問題を悪用された場合、攻撃者が子どもの名前や誕生日、性別といった情報を取得することが可能なほか、個人情報が編集されたり、玩具が別のアカウントに関連付けられたりする恐れもあるという。

　Smart ToyはAndroid 4.4（KitKat）をベースにしており、CERT/CCによれば、最新のセキュリティパッチが当てられているかどうかは不明。Mattelの声明では問題を回避するためプラットフォームに変更を加えたと説明し、「顧客情報が他人にアクセスされた形跡はない」としている。

　一方、GPSウォッチのhereOは、モバイルアプリなどを使って家族の間でお互いの居場所などを確認できるという製品。Rapid7が調べたところ、ファミリーグループへの招待にかかわる認証に脆弱性があり、攻撃者が自分のアカウントを他人のファミリーグループに追加して、子どもなどの居場所や位置情報の履歴といった情報にアクセスできてしまうことが分かった。

　同製品のメーカーはRapid7からの報告を受けて問題を解決したという。

CERT/CCによるCVSSでの脆弱性評価の結果

　スマート玩具を巡っては、2015年に香港のVTechのデータベースが不正アクセスされて保護者と子供の個人情報が流出する事件も発生していた。Rapid7では「消費者には今回のような事例を通じ、IoT製品を家庭で使うことの潜在的リスクを認識してほしい」と呼びかけている。