ITmedia NEWS > 科学・テクノロジー >
セキュリティ・ホットトピックス

保育士と保護者向けアプリの脆弱性検証 子どもの写真や現在地、医療記録など漏えいのリスクInnovative Tech

» 2022年07月19日 07時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

 ドイツのセキュリティ企業のAWARE7 GmbH、Max Planck Institute for Security and Privacy、セキュリティ会社Secunet、Ruhr University Bochumによる研究チームが発表した「“We may share the number of diaper changes”: A Privacy and Security Analysis of Mobile Child Care Applications」は、保育士と保護者が子どもの活動を共有する保育管理アプリにおいて、子どもの個人情報が危険にさらされていると指摘した、プライバシーとセキュリティの欠陥を暴いた論文だ。

保育管理アプリ「brightwheel」アプリの画面

 保育管理アプリは、保育士の管理業務を支援することを目的としたアプリだ。これらのアプリは、子どもの発達の記録、保護者との関わり、園の運営などをサポートする便利な機能を搭載している。

 だが処理されるデータには、子どもの名前、誕生日、プライベートな写真、現在地、活動や発達の様子、時には健康・医療データさえも含まれ、流出すると子どもや保護者のプライバシーを侵害する可能性を秘めている。

 この研究では、42の保育管理アプリを分析することで潜在的な脆弱性を調査する。Google Playストアで検索したAndroidの保育アプリのうち、少なくとも次の機能を持つものを分析した。

 子どもの発達や特別な活動をメモ、写真、動画の形でアプリに記録できること、保育士が保護者と連絡を取るためのメッセンジャー機能があること、課金、スケジュール作成、グループ編成などの事務処理において保育士をサポートしていること。

 最も多く利用されている「Bloomz」と「brightwheel」は、Google Playストアから100万回以上ダウンロードされており、全てのアプリを併せると約300万回のダウンロードに達している。

 分析した結果、2つの側面から問題が露呈した。1つ目の側面では、分析したアプリの内8つには、例えば攻撃者が子どものプライベートな写真を見ることができるような深刻なセキュリティ上の問題があった。

 2つ目の側面では、40のアプリで107のトラッキングとサードパーティーライブラリを発見し、ユーザーの電話番号やメールアドレスの他、ボタンをクリックした時間など、デバイスやアプリの使用に関する情報が収集されていたことが分かった。

 これら情報は一部のアプリでは、第三者プロバイダーに販売されているという。例えば1日の平均オムツ交換回数など、ビジネス上の目的でデータが共有される。その多くはAmazon、Facebook、Google、Microsoftと共有され、ターゲットを絞った広告キャンペーンに利用されている。

 さらにアプリの開発業者は、プライバシーポリシーにおいて、このようなサードパーティートラッキングサービスの使用について言及していないことが分かった。

 保護者の明示的かつ検証可能な同意なしに共有が行われることが多く、アプリもプライバシーポリシーで子どものデータ処理について言及していないことから、特定された問題は、保育アプリ内の技術的・組織的な問題に関連していると考えられる。これらの慣行は、全ての関係者(特に親と子ども)のプライバシーを脅かす可能性があり、アプリケーションの規制順守が問題となる。

 これらの結果から、サイバー攻撃による子どもの個人情報漏えいと、トラッキングメカニズムによる子どものプライバシーへの脅威を示し、保護者も子どもも知らない内に個人情報を広められている可能性を示唆した。

 研究チームは各アプリ開発業者にこれら結果を根拠に脆弱性を認識させ、子どものプライバシーをより慎重に保護する必要性を強調した。

Source and Image Credits: Moritz Gruber, Christian Hofig, Maximilian Golla, Tobias Urban, Matteo Grose-Kampmann. “We may share the number of diaper changes”: A privacy and security analysis of mobile child care applications, 22nd Privacy Enhancing Technologies Symposium, 2022, Sydney, Australia



Copyright © ITmedia, Inc. All Rights Reserved.