「防犯カメラで他人の家が丸見え」──米国で問題に “話がうますぎる”スマートホーム製品に潜むリスク：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　スマートホーム製品を手掛ける米Wyzeの防犯カメラで、ユーザーのアプリの画面に見ず知らずの他人の家の画像や映像が表示されてしまう不具合が発生した。同じような問題は2023年にも確認されたばかりで、同社に対しては厳しい目が向けられている。

「防犯カメラで他人の家が丸見え」　米国で問題に

　「カメラから他人の家の中の出来事について通知があり、その家の中で人が歩き回っていると知らされた」「自分のものではないカメラのモーションアラート通知が届いた。これは重大なセキュリティの欠陥だ。自分のカメラの通知が他人に届いているのではないかと不安を感じる」

　RedditやWyzeのフォーラムに、ユーザーからそんな投稿が相次いだ。問題が起きたのは2月中旬。Wyzeの説明によると、他人のカメラのサムネイル画像が約1万3000人に届き、うち1504人は画像をタップして拡大したり、動画を見たりできたという。

「他人の家の様子が映った」と報告する書き込み

　この問題が発生する直前、ユーザーがWyzeのスマートホームデバイスにアクセスできなくなる障害が数時間にわたって続いていた。Wyzeはこれについて「デバイス接続にAWSパートナーの問題が影響し、ログインが難しくなっている。問題解決のためAWSと連携し、緩和措置を講じている」と説明していた。

　こちらの障害は間もなく解消されたが、Wyzeアプリに他人の家の画像や映像が表示されるという報告が寄せられ始めたのはその直後からだった。

　Wyzeによれば、原因は「デバイスが一斉にオンラインに復帰したことで、クライアントライブラリ（APIに簡単にアクセスするための使われるもの）に前例のない負荷がかかり、デバイスIDとユーザーIDのマッピングが混乱して、一部のデータが誤ったアカウントに接続された」という。

　メディアの取材に対しても同社は「AWSの障害の後、当社のサーバが過負荷になって一部のユーザーのデータが破損し、一部のユーザーに他人のカメラのサムネイルが見えてしまうセキュリティ問題を特定した」（Wyzeの最高マーケティング責任者であるデイブ・クロスビーさん）と説明している。

「話がうますぎる製品」には要注意？

　米メディア「The Verge」によると、Wyzeの防犯カメラでは23年9月にも、他人のカメラの映像が表示されて意図せず見知らぬ相手の家の周りや家の中の様子が見えてしまう問題が発生していた。

　このときは、Webブラウザから専用サイトでカメラにログインする際の「Webキャッシュ問題」が原因だったとして、再発防止に努めると強調していたという。

　WyzeはAmazon出身の3人が創業したスマートホーム製品のメーカー。他社の高額な製品に対抗して「素晴らしいテクノロジーを誰もが利用できるようにする」というミッションのもと、格安のスマートカメラを売り出して注目された。その後も「too good to be true products（話がうま過ぎる製品）」を次々に打ち出して、22年にはTime誌の「最も影響力のある100社」に選ばれたという。

　しかし、22年には他人のカメラの映像を盗み見できてしまう脆弱性が発覚し、その対応を巡って批判の的になっていた。

　米New York Timesは23年の問題が発覚した後のWyzeの対応を問題視。「Wyzeがユーザーを守る対策を怠った」として、それまで6年にわたって製品レビューで取り上げてきたWyzeの防犯カメラの推奨を中止すると表明した。

　The Vergeも「セキュリティに関してこうした事態が一度でも起きれば罪は重い。それが2度起きれば信頼を回復するのは難しいかもしれない」と手厳しいコメントを残している。

　米国のテクノロジーメディア「Ars Technica」は一連の問題について「インターネットに接続したビデオカメラを家の中のようなセンシティブな部分に置くリスクを改めて浮き彫りにした」と論評。さらに「防犯システムを検討する際には最低でも、スマート製品を開発している企業について、セキュリティ侵害や欠陥、不具合、自分が個人的に経験したくないような後ろ暗い過去について調べる必要がある」と指摘している。