保育士と保護者向けアプリの脆弱性検証 子どもの写真や現在地、医療記録など漏えいのリスク:Innovative Tech
ドイツのセキュリティ企業などは、保育士と保護者が子どもの活動を共有する保育管理アプリにおいて、子どもの個人情報が危険にさらされていると指摘した、プライバシーとセキュリティの欠陥を暴いた論文を発表した。
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
ドイツのセキュリティ企業のAWARE7 GmbH、Max Planck Institute for Security and Privacy、セキュリティ会社Secunet、Ruhr University Bochumによる研究チームが発表した「“We may share the number of diaper changes”: A Privacy and Security Analysis of Mobile Child Care Applications」は、保育士と保護者が子どもの活動を共有する保育管理アプリにおいて、子どもの個人情報が危険にさらされていると指摘した、プライバシーとセキュリティの欠陥を暴いた論文だ。
保育管理アプリは、保育士の管理業務を支援することを目的としたアプリだ。これらのアプリは、子どもの発達の記録、保護者との関わり、園の運営などをサポートする便利な機能を搭載している。
だが処理されるデータには、子どもの名前、誕生日、プライベートな写真、現在地、活動や発達の様子、時には健康・医療データさえも含まれ、流出すると子どもや保護者のプライバシーを侵害する可能性を秘めている。
この研究では、42の保育管理アプリを分析することで潜在的な脆弱性を調査する。Google Playストアで検索したAndroidの保育アプリのうち、少なくとも次の機能を持つものを分析した。
子どもの発達や特別な活動をメモ、写真、動画の形でアプリに記録できること、保育士が保護者と連絡を取るためのメッセンジャー機能があること、課金、スケジュール作成、グループ編成などの事務処理において保育士をサポートしていること。
最も多く利用されている「Bloomz」と「brightwheel」は、Google Playストアから100万回以上ダウンロードされており、全てのアプリを併せると約300万回のダウンロードに達している。
分析した結果、2つの側面から問題が露呈した。1つ目の側面では、分析したアプリの内8つには、例えば攻撃者が子どものプライベートな写真を見ることができるような深刻なセキュリティ上の問題があった。
2つ目の側面では、40のアプリで107のトラッキングとサードパーティーライブラリを発見し、ユーザーの電話番号やメールアドレスの他、ボタンをクリックした時間など、デバイスやアプリの使用に関する情報が収集されていたことが分かった。
これら情報は一部のアプリでは、第三者プロバイダーに販売されているという。例えば1日の平均オムツ交換回数など、ビジネス上の目的でデータが共有される。その多くはAmazon、Facebook、Google、Microsoftと共有され、ターゲットを絞った広告キャンペーンに利用されている。
さらにアプリの開発業者は、プライバシーポリシーにおいて、このようなサードパーティートラッキングサービスの使用について言及していないことが分かった。
保護者の明示的かつ検証可能な同意なしに共有が行われることが多く、アプリもプライバシーポリシーで子どものデータ処理について言及していないことから、特定された問題は、保育アプリ内の技術的・組織的な問題に関連していると考えられる。これらの慣行は、全ての関係者(特に親と子ども)のプライバシーを脅かす可能性があり、アプリケーションの規制順守が問題となる。
これらの結果から、サイバー攻撃による子どもの個人情報漏えいと、トラッキングメカニズムによる子どものプライバシーへの脅威を示し、保護者も子どもも知らない内に個人情報を広められている可能性を示唆した。
研究チームは各アプリ開発業者にこれら結果を根拠に脆弱性を認識させ、子どものプライバシーをより慎重に保護する必要性を強調した。
Source and Image Credits: Moritz Gruber, Christian Hofig, Maximilian Golla, Tobias Urban, Matteo Grose-Kampmann. “We may share the number of diaper changes”: A privacy and security analysis of mobile child care applications, 22nd Privacy Enhancing Technologies Symposium, 2022, Sydney, Australia
関連記事
- タッチ決済時の「〇〇Pay」の音をこっそり盗聴し、決済アプリを乗っ取る攻撃 韓国の研究チームが指摘
韓国のChung-Ang UniversityとAjou Universityの研究チームは、スマートフォンをかざすだけで決済が完了するサービスにおいて、決済時の音を盗聴して乗っ取る手法を指摘する論文を発表した。 - “まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文を発表した。 - 出版料をだまし取る“ニセ学術誌”のリストが登場 本物と見分けがつかない詐欺サイト150以上を掲載
ドイツのFree University of BerlinのAnna Abalkina氏とRetraction Watchは、クローンジャーナル(詐欺をするために本物を模倣して作られた偽の学術誌)を一覧にしたリストを発表した。 - 「予測されやすいパスワード」有名サイト75%で許可 米プリンストン大が警鐘
米プリンストン大学の研究チームは、Webサイトで新しくパスワードを設定する際にユーザーが保護される仕様になっているかを調査し考察した論文を発表した。世界で最も人気のある英語圏のWebサイト120のパスワードポリシーを調査した。 - 「情報セキュリティ白書2022」、IPAが公開 国内外の政策や被害実態など240ページに渡り解説
情報処理推進機構(IPA)は、情報セキュリティに関する書籍「情報セキュリティ白書2022」を公開した。IPA会員ならばアンケートに回答することで、PDFファイルを閲覧可能。印刷書籍版もあり、2200円で購入できる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.