プライバシー保護、特に子どものプライバシーを守るための法規制が進んでいることを考えると、子ども向けの電子機器やネット接続玩具は安全でセキュリティの対策も万全なように思われるかもしれません。子どものプライバシーは決して侵すべきでないもの、という考えは広く共有されています。子どもは、広告主やマーケティング担当者、そして犯罪者などに、特に利用されやすい存在だからです。
しかし、新たなデータ漏洩事件が明るみに出るたび、私たちや子どもたちのセキュリティをメーカー任せにはできないと思い知らされます。では、スマート玩具に潜む思わぬ危険とはどのようなものか、いくつか例を挙げて見ていきましょう。
スパイ行為
2016年12月に、複数のプライバシー擁護団体がGenesis Toysに対する申立書を米連邦取引委員会に提出しました(英語資料)。Genesis Toysは、Cayla(カイラ)人形や玩具ロボットi-Queのメーカーです。被告側にはNuance Communicationsも含まれていました。同社はCaylaやi-Queが子どもと会話するための音声認識技術を提供しています。
原告側の主張は申立書の冒頭から実に明確で、「本申立書は、スパイ行為を行う玩具に関するものです」(英語資料)と始まっています。
申し立ての論点を詳しく見てみましょう。
- Cayla人形がコミュニケーションに使うアプリは、デバイスに保存されているファイルへのアクセス権限を必要としており、i-Queのアプリは、デバイスのカメラに対するアクセス権限を要求する。アプリがそのような権限を必要とする理由を、開発元は説明していない。加えて、カメラにアクセスする権限について、公式Webサイトでもデモ動画でも触れられていない。
- 本件玩具からスマートフォンやタブレットへの接続にはBluetoothが使用されるが、Bluetoothは認証不要の安全性の低い接続方式である。また、玩具がデバイスに接続する際、利用者に通知されない。そのため、侵入者が会話を盗み聞きするだけでなく、子どもに話しかけることも可能である。
- 本件玩具は、会話の中にさまざまなブランド名を入れて広告活動をしている。
- Cayla人形のアプリは、子どもに両親の名前、住んでいる場所、学校の名前など、個人を特定できる情報を言わせようとする。
- 本件玩具のアプリはいずれも、会話の録音データをNuance Communicationsのサーバーに送信しており、応答機能の改良のためとして、サーバー上でデータを解析している。同じくサービス改良に役立てるためとして、録音データはサーバーにも保存される。
- 開発元は、子どもからどのような種類のデータを収集するのか明確に説明していない。
こうしたスパイ行為と見なされる機能は、ドイツの規制当局がGenesis Toysの玩具を全面的に販売禁止とする十分な理由となりました。当局は、安全でない玩具を持つ親たちに玩具を破棄するよう勧告しました。ドイツ政府はこのような玩具を隠し監視装置と見なし、違法と判断しました。
また、2016年12月にノルウェーの消費者保護委員会も、Cayla人形とi-Queロボットのプライバシー問題に関して懸念を表明しました(英語資料)。
他方で、英国の玩具小売業協会は、Cayla人形に「特別なリスクはない」とBBCに対してコメントしています(英語記事)。
安全性の不備
これとは別に、「漏洩」という言葉ではとても言い表せないほどの深刻なセキュリティ事件も起きています。データを水にたとえて言うならば、ダムが決壊し、個人データの洪水、大氾濫が起きたようなものです。というより、厳密すぎる言い方をすれば、そもそもダムなどなかったのです。
Spiral ToysのCloudPetsは、子どもと親の間で互いにメッセージのやり取りができるぬいぐるみです。CloudPetsはBluetoothを使って親のスマートフォンに接続し、親は専用のアプリを使ってぬいぐるみに接続します。
親が子どもといつでもコミュニケーションできる手段としては画期的かもしれませんが、収集されたデータは適切に保護されておらず、認証情報のデータベースは完全に無防備でした。誰でも認証なしでサーバーに接続し、データを調べることや、データベースを複製して別のコンピューターに保存することができました。
この問題にセキュリティリサーチャーのヴィクトル・ゲヴェルス(Victor Gevers)氏が気づき、2016年12月31日に開発元に通告しました。その後、有名なセキュリティエキスパートであるトロイ・ハント(Troy Hunt)氏の元に、匿名の情報提供者からCloudPetsのユーザー記録50万件以上を含むファイルが送られてきました(英語記事)。その記録には、子どもたちの名前に加え、誕生日や、ぬいぐるみを通して会話した家族に関する情報もありました。漏洩したCloudPetsのユーザー記録の数は、合計80万件以上に上りました。
部外者でもパスワードを知っていれば、ぬいぐるみ経由で送信されたメッセージをすべてダウンロードできます。他のデータと異なり、パスワードはハッシュ暗号で保護されていました。たしかにハッシュ化するとパスワードはある程度保護されますが、総当たり攻撃で突き止められてしまいます。単純なパスワードであれば、なおさらです。
また残念なことに、パスワードがなくても会話の盗聴は十分に可能です。メッセージの録音データや画像はAmazon S3のクラウド上に保存されており、データベースに侵入してそこにあるリンクをクリックするだけで、サーバーの音声ファイルを入手できました。入手可能な状態にあった録音データの数は、合計200万件以上に上りました。
当然ながら、この安全性の不備を知ったのは善人ばかりではありません。子どもたちのデータが保存されていたサーバーは混乱状態に陥り、データベースのコピーは削除され、Spiral Toysは身代金の要求を受けました。その後データベースは閉鎖されましたが、別の場所にコピーが残っている可能性はあります。
ゲヴェルス氏、ハント氏、ハント氏の情報提供者、記者のロレンゾ・フランチェスキ=ビッキエライ(Lorenzo Franceschi-Bicchierai)氏などが問題を知らせようとSpiral Toysに連絡しましたが、同社から反応はありませんでした。その後、2017年3月になって、米上院がSpiral Toysに対し、データ漏洩とデータ保護方針について明らかにするように求めました。ハント氏はその要請書(英語)を公開しました。
ようやくSpiral Toysは要請に応じました。相手はカリフォルニア州司法長官です。その回答の文面をDataBreaches.netが公開しました(英語記事)。Spiral Toysによると、同社がこの事件を知ったのは2月22日。匿名の情報提供元から漏洩の事実を知ったフランチェスキ=ビッキエライ氏から指摘を受けてのことでした。2月22日より前に何人ものセキュリティリサーチャーがSpiral Toysと連絡を取ろうとしたのですが、同社はそのようなメッセージを受け取っていないと主張し、原因を調査中だと述べました。
Spiral Toysによると、今回の漏洩はインターネットのさまざまな場所に設置されているMongoDBに対する大規模攻撃の一部であり、音声メッセージや写真は別のサーバーに保存されていたため影響はありません。侵入されたデータベースはメインのデータベースではなく、開発者が使用していた一時的なデータベースだったと同社は説明しています。
Spiral Toys は、上記の説明を含むユーザー向けのFAQ(英語記事)と、より強固なパスワードのための新要件も公開しました。
開かれたデータベース
他にも、ハローキティ玩具の提供元の公式サイトに含まれるデータベース(330万件のユーザー記録が漏洩)やVTechのオンラインストアのデータベース(550万件のユーザー記録と大量の子どもの写真が漏洩)といった大規模なデータ漏洩がありました。どちらも2015年に起きています。
CloudPetsのサービスもハローキティのWebサイトも、MongoDBというデータベース管理製品を利用していました。データベースに不正侵入された(厳密に言えば完全に乗っ取られた)事件が多数発生し、何度もニュースを賑わせることになった製品です。
乗っ取られたデータベースの所有者は被害者かもしれませんが、だからといって非がないわけではありません。MongoDBは認証が不要であったために、データベースのドアは完全に開けっ放しの状態でした。出入り自由のデータベースを使うことで、メーカーはセキュリティに無頓着なことを示してしまいました。
もちろん、MongoDBだけが問題なのではなく、セキュリティの全般的な状況が改善されなければなりません。現状では、法規制当局、プライバシー擁護団体、セキュリティ専門家の取り組みは新しい技術の普及スピードに付いていくことができず、利用者データを何かと引き替えにする傾向に対抗できていません。
ところで、MongoDBの情報漏洩が起きてから、分散データベース管理システムへの大規模攻撃が次々に始まりました。保護されていないデータベースはやがてオンラインに漏洩するでしょうし、一般的な利用者は流出したデータに関して打つ手がないでしょう。侵入されたデータベースが一時的な補助データベースにすぎなかったとしても、データが本物である以上、慰めにはなりません。侵入されたシステムを閉鎖したからと言って、個人データが非公開状態に戻ることはないのです。
子どもを持つ親である皆さんへ
お子さんにスマート電子玩具を与える際は、くれぐれも慎重に。特に、次の状態は危険信号です。注意しましょう。
- おもちゃからインターネットにデータが送信される:多くのおもちゃにこの機能があり、昨今はごく普通のぬいぐるみにも搭載されるようになっています。
- おもちゃの動作をコントロールできない:少なくともCayla人形は、マイクがオンになっていると、ランプが光って知らせてくれます。モバイルアプリの場合、いつ起動したのかもわからないことがあります。Kaspersky Labの調査によると、96%のアプリは利用者が起動しなくてもバックグラウンドモードで起動することがわかっています。
- おもちゃにマイクとカメラが搭載されている:最新型のテディベアやロボットだけではありません。マイクやカメラに関する権限を求めるモバイルアプリにも要注意です。
- おもちゃが子どもから個人情報を聞き出す
- 設定がシンプルすぎる:たとえばBluetooth接続は、認証が求められないというシンプルさです。
上記のいずれか1つでも当てはまる場合は、最新のおもちゃの楽しさと子どものプライバシーの兼ね合いを考え直した方が良いでしょう。