「防犯カメラで他人の家が丸見え」──米国で問題に “話がうますぎる”スマートホーム製品に潜むリスク:この頃、セキュリティ界隈で
スマートホーム製品を手掛ける米Wyzeの防犯カメラで、ユーザーのアプリの画面に見ず知らずの他人の家の画像や映像が表示されてしまう不具合が発生した。同じような問題は2023年にも確認されたばかりで、同社に対しては厳しい目が向けられている。
スマートホーム製品を手掛ける米Wyzeの防犯カメラで、ユーザーのアプリの画面に見ず知らずの他人の家の画像や映像が表示されてしまう不具合が発生した。同じような問題は2023年にも確認されたばかりで、同社に対しては厳しい目が向けられている。
「カメラから他人の家の中の出来事について通知があり、その家の中で人が歩き回っていると知らされた」「自分のものではないカメラのモーションアラート通知が届いた。これは重大なセキュリティの欠陥だ。自分のカメラの通知が他人に届いているのではないかと不安を感じる」
RedditやWyzeのフォーラムに、ユーザーからそんな投稿が相次いだ。問題が起きたのは2月中旬。Wyzeの説明によると、他人のカメラのサムネイル画像が約1万3000人に届き、うち1504人は画像をタップして拡大したり、動画を見たりできたという。
この問題が発生する直前、ユーザーがWyzeのスマートホームデバイスにアクセスできなくなる障害が数時間にわたって続いていた。Wyzeはこれについて「デバイス接続にAWSパートナーの問題が影響し、ログインが難しくなっている。問題解決のためAWSと連携し、緩和措置を講じている」と説明していた。
こちらの障害は間もなく解消されたが、Wyzeアプリに他人の家の画像や映像が表示されるという報告が寄せられ始めたのはその直後からだった。
Wyzeによれば、原因は「デバイスが一斉にオンラインに復帰したことで、クライアントライブラリ(APIに簡単にアクセスするための使われるもの)に前例のない負荷がかかり、デバイスIDとユーザーIDのマッピングが混乱して、一部のデータが誤ったアカウントに接続された」という。
メディアの取材に対しても同社は「AWSの障害の後、当社のサーバが過負荷になって一部のユーザーのデータが破損し、一部のユーザーに他人のカメラのサムネイルが見えてしまうセキュリティ問題を特定した」(Wyzeの最高マーケティング責任者であるデイブ・クロスビーさん)と説明している。
「話がうますぎる製品」には要注意?
米メディア「The Verge」によると、Wyzeの防犯カメラでは23年9月にも、他人のカメラの映像が表示されて意図せず見知らぬ相手の家の周りや家の中の様子が見えてしまう問題が発生していた。
このときは、Webブラウザから専用サイトでカメラにログインする際の「Webキャッシュ問題」が原因だったとして、再発防止に努めると強調していたという。
WyzeはAmazon出身の3人が創業したスマートホーム製品のメーカー。他社の高額な製品に対抗して「素晴らしいテクノロジーを誰もが利用できるようにする」というミッションのもと、格安のスマートカメラを売り出して注目された。その後も「too good to be true products(話がうま過ぎる製品)」を次々に打ち出して、22年にはTime誌の「最も影響力のある100社」に選ばれたという。
しかし、22年には他人のカメラの映像を盗み見できてしまう脆弱性が発覚し、その対応を巡って批判の的になっていた。
米New York Timesは23年の問題が発覚した後のWyzeの対応を問題視。「Wyzeがユーザーを守る対策を怠った」として、それまで6年にわたって製品レビューで取り上げてきたWyzeの防犯カメラの推奨を中止すると表明した。
The Vergeも「セキュリティに関してこうした事態が一度でも起きれば罪は重い。それが2度起きれば信頼を回復するのは難しいかもしれない」と手厳しいコメントを残している。
米国のテクノロジーメディア「Ars Technica」は一連の問題について「インターネットに接続したビデオカメラを家の中のようなセンシティブな部分に置くリスクを改めて浮き彫りにした」と論評。さらに「防犯システムを検討する際には最低でも、スマート製品を開発している企業について、セキュリティ侵害や欠陥、不具合、自分が個人的に経験したくないような後ろ暗い過去について調べる必要がある」と指摘している。
関連記事
- 実は2月1日からメールが届いていないかも? Gmailガイドラインで事業者、利用者が知っておくべきこと
神奈川県の高校出願システムでGmailドメインのアドレスにメールが届けられず、受験生による登録や出願に影響が出る問題が発生した。この問題は他の事業者にとっても他人事ではなお。一体、いまGmailを巡って何が起こっているのか。 - 地方スーパーにランサム攻撃、復旧は5月の見込み メールシステムも停止、連絡手段は電話・ファクス・郵送のみに
総合スーパー「ゆめタウン」を展開するイズミ(広島県広島市)は、社内システムがランサムウェア攻撃を受けたと発表した。2月22日現在も復旧しきれておらず、配達サービスや各店舗のチラシ配布など一部サービスを休止している。 - 「スマート歯ブラシ300万本を乗っ取ってDDoS攻撃」海外メディアで誤報相次ぐ “IoTテロ”は現実に起こるのか?
IoT電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は事実ではなかったことが判明した。実際にIoT歯ブラシがDDoS攻撃に利用される可能性はあるのか? - 2020年にサイバー攻撃受けたNTTコムに聞く“当時の教訓” 反省を踏まえ、どう変わったか
2020年にサイバー攻撃を受けたNTTコムに当時の反省とセキュリティ改善の現況を聞く。 - 他人のキーボードに“1分で2万回の誤入力”をする攻撃 DoS攻撃やDeleteキー連打で妨害
中国の浙江大学や米ミシガン大学、米ノースイースタン大学に所属する研究者らは、電磁干渉(EMI)を利用して、他人のキーボードに物理的に触れることなく偽のキーストロークを注入できる攻撃を提案した研究報告を発表した。
Copyright © ITmedia, Inc. All Rights Reserved.