スマート玩具に脆弱性、個人情報や子どもの居所情報流出の恐れも
Rapid7では玩具の分野でも増えつつあるIoT製品について、「消費者にはIoT製品を家庭で使うことの潜在的リスクを認識してほしい」と呼びかけている。
セキュリティ企業のRapid7は2月2日、米玩具大手Mattel傘下のFisher-Priceの知育玩具など2つの製品に見つかった脆弱性について情報を公開した。玩具の分野でも増えつつあるモノのインターネット(IoT)製品のセキュリティに警鐘を鳴らしている。
脆弱性が指摘されているのは、Wi-Fi接続機能を備えたFisher-Priceのぬいぐるみ型スマート玩具「Smart Toy」と、子ども向けのGPSウォッチ「hereO」。このうちSmart Toyについては米セキュリティ機関CERT/CCもセキュリティ情報を出している。
それによると、Smart Toyの脆弱性はAPIコマンドの認証が不適切なことと、脆弱性のあるAndroidのバージョンを利用していることに起因する。問題を悪用された場合、攻撃者が子どもの名前や誕生日、性別といった情報を取得することが可能なほか、個人情報が編集されたり、玩具が別のアカウントに関連付けられたりする恐れもあるという。
Smart ToyはAndroid 4.4(KitKat)をベースにしており、CERT/CCによれば、最新のセキュリティパッチが当てられているかどうかは不明。Mattelの声明では問題を回避するためプラットフォームに変更を加えたと説明し、「顧客情報が他人にアクセスされた形跡はない」としている。
一方、GPSウォッチのhereOは、モバイルアプリなどを使って家族の間でお互いの居場所などを確認できるという製品。Rapid7が調べたところ、ファミリーグループへの招待にかかわる認証に脆弱性があり、攻撃者が自分のアカウントを他人のファミリーグループに追加して、子どもなどの居場所や位置情報の履歴といった情報にアクセスできてしまうことが分かった。
同製品のメーカーはRapid7からの報告を受けて問題を解決したという。
スマート玩具を巡っては、2015年に香港のVTechのデータベースが不正アクセスされて保護者と子供の個人情報が流出する事件も発生していた。Rapid7では「消費者には今回のような事例を通じ、IoT製品を家庭で使うことの潜在的リスクを認識してほしい」と呼びかけている。
関連記事
- VTechの個人情報流出は1170万件、保護者と子どもに被害
被害に遭ったアカウントは合計約1170万件に上ることが分かった。当初の情報では流出件数は25万件と伝えられていた。 - 知育玩具のVTech、子どもの顔写真や親子のチャット記録も大量流出か
Motherboardによれば、子どもと保護者の顔写真や、親子間で交わしたチャットのログ記録が簡単に不正アクセスできてしまう状態でサーバに保存されていたという。 - 知育玩具のVTechに不正アクセス、約20万人の子供の個人情報が流出
知育玩具メーカーVTechに11月初旬に不正アクセスがあり、約5万人の保護者と20万人以上のその子どもの個人情報が流出したと米Motherboardが報じ、VTechもこれを認める声明文を発表した。クレジットカード情報は含まれていないが、住所や子どもの誕生日が特定できる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.