知育玩具のVTechに不正アクセス、約20万人の子供の個人情報が流出
知育玩具メーカーVTechに11月初旬に不正アクセスがあり、約5万人の保護者と20万人以上のその子どもの個人情報が流出したと米Motherboardが報じ、VTechもこれを認める声明文を発表した。クレジットカード情報は含まれていないが、住所や子どもの誕生日が特定できる。
中国の知育玩具メーカーVTechのサーバに11月初旬に不正アクセスがあり、約5万人の保護者と20万人以上の子供の個人情報が流出したと、米メディアMotherboardのロレンゾ・フランチェスキ-ビキエライ記者が11月27日(現地時間)、セキュリティ専門家のトロイ・ハント氏との共同調査に基いて報じた。VTechもこの報道の後、声明を出した。
クレジットカード情報は含まれていないが、盗まれたデータから、子どもの性別、誕生日、住所などを特定できるという。
VTechの声明文は、情報流出は認めているものの、影響を受けたユーザーの数やパスワードのデータが暗号化されていなかったことなどは開示していない。
ビキエライ氏が不正アクセスを行ったハッカーから流出データを入手し、ハント氏がこれを解析した。ハント氏によると、VTechのログインプロセスは暗号化されておらず、ユーザー名、パスワード、住所などの入力ページがSSLではない標準HTTPプロトコルになっている。また、子どものパスワードはプレーンテキストで、保護者のパスワードは非常に弱い暗号化でサーバに保存されていたという。
これらのパスワードは、Wi-Fi接続の玩具に「Learning Lodge」アプリストアから追加の教材をダウンロードするためのものだ。
VTechの玩具は日本でも販売されており、このアプリストアには日本からもアクセス・ダウンロードできるようになっている。
VTechのFAQページによると、影響を受けたデータベースには、米、カナダ、英国、アイルランド、フランス、ドイツ、スペイン、ベルギー、オランダ、デンマーク、ルクセンブルグ、中南米、香港、中国、オーストラリア、ニュージーランドの顧客データが含まれていたという。
ビキエライ氏は「ハッカーは今回、データを販売してもうけるつもりはないようだが、VTechは次回(の情報流出)はこれほど幸運ではないだろう」としている。
関連記事
- 英通信会社TalkTalkにサイバー攻撃、契約者400万人の情報流出の可能性
流出した可能性があるのは加入者の氏名やTalkTalkのアカウント情報、クレジット情報や銀行情報などだが、「データが全てが暗号化されていたわけではない」という。 - 米政府版マイナンバー情報漏えい、560万人の指紋データも流出していたことが判明
米連邦政府人事管理局が6月に発表した社会保障番号(SSN)を含む個人情報流出事件で、その後の調査により、SSNが流出したのは約2150万人で、その中の560万人については指紋データも流出していたことが判明した。 - 千趣会、個人情報13万件が流出か 子会社ECサイトに不正アクセス
千趣会の子会社が運営するECサイトが不正アクセスを受け、13万1096件の個人情報が流出した可能性。 - 不倫サイトから盗まれた会員情報、ネットに暴露
ネットで公開されたのは、Ashley Madisonに登録していた会員の氏名や住所、クレジットカードなどの情報と見られ、3300万人あまりの会員が影響を受けた可能性があるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.