知育玩具VTech社がハッキング被害:500万件以上のアカウント情報が流出

2015年12月21日

クリスマスや年末年始といえば、子供たちのおもちゃやデバイスに散財する休暇シーズン。どれくらい子供のことを大切に思っているか、こぞって示す時期という感じがしますね。子供の欲しいものリストの中には、ネットに接続するタイプのおもちゃが、おそらく1つか2つは入っているでしょう。もう、いくつも持っているかもしれないのに。 vtech-hacked-FB

お子さんがVTech社の知育玩具を持っているという方は、いらっしゃいますか?OK、我が家にもいくつかあります。心当たりのある方は、まず心の準備をしてから、この記事を読んだ方がいいかもしれません。

11月30日、米国の年末商戦皮切りとなるこの日、VTechは次のように発表しました。11月のある時期にハッキングを受け、社内ネットワークのデータベースから500万件以上のユーザーアカウントが流出した、と(英語記事)。

ハッカーは、ユーザー名、パスワード、IPアドレスとダウンロード履歴などを手に入れました。データベース流出案件としては、いたって標準的な成果です。しかし、これは収穫のごく一部に過ぎません。これに加え、子供の誕生日、性別、名前のデータを取得したほか、大量の子供の顔写真を含む190GBもの写真も盗んでいったのです。

そう、子供と親を写した大量の写真、つまり悪者の手に渡ってほしくないと誰もが思っている、個人的な写真です。

VTech社のFAQによると(英語記事)、このセキュリティ侵害の影響は、米国、カナダ、英国、アイルランド、フランス、ドイツ、スペイン、ベルギー、オランダ、デンマーク、ルクセンブルク、中南米、香港、中国、オーストラリア、ニュージーランドのユーザーに及ぶと見られます。

残念ながら、この事件は今も進行中なので、自分の家族のアカウントが被害にあったかどうか気になる親御さんは、もうしばらく待つ必要があります。Threatpostにいる同僚から詳しい情報が入ったらお知らせしますので、あらためてチェックしてください。

VTech

この記事を書いている時点(英語版、2015年12月初旬)では、VTechのオンラインショップは普通に好きなだけ買い物できる状態です。今回のハッキングに対する情報は、同社Webサイトのトップページには記載されていません。

しかし、「Downloads」セクションをクリックすると、下に示すような通知が表示されます。これが特に常連客に向けた警告だと考えれば、この対応もうなずけます。その人は500万人の1人である可能性があるのですから。

VTech 2

なんてひどい・・・一体どうすれば?

残念ながら、インターネットに接続されるモノがこの調子で増えていくと、脆弱性につけこもうとする悪者があちこちに登場するという過酷な現実にさらされるでしょう。先日の記事で(英語)、Kaspersky Labグローバル調査分析チーム(GReAT)のデイヴィッド・エム(David Emm)は次のようにコメントしています。

「私たちはネット接続された世界に住んでいます。そこでは、子供のおもちゃといえども、攻撃者が個人情報を手に入れるための手段となる恐れがあります。クリスマスにこうしたおもちゃの購入を考えている親御さんは、おもちゃの楽しさだけでなく、子供や家族にまで及ぶ影響を考えることも本当に大切です」

では、我が子の安全を守るにはどうすればいいでしょうか?次の4つのヒントを参考にしてください。

  1. 子供を守る –インターネットやネット接続型デバイスを子供に使わせるかどうかの判断は、親によって異なります。とはいえ、子供にインターネットを使わせようと考えているなら、ある程度リサーチをしたうえで、どのような情報を公開するか判断することを強くお勧めします。
  2. 本当のデータを使わない – ここで抜き打ちテストです。オンラインゲームをプレイするためのサービスやアカウントに登録するとき、なぜ個人情報の入力を求められるかご存じですか?答が「ユーザー体験を充実させるため」だったら、それは間違いです。データを収集するサイトは、このデータを売り込みに使います。または、別の販売業者にこのデータを売って、その業者が皆さんに売り込みできるようにします。子供のデータを使って業者に手を貸す前に、よく考えてみてください。
  1. 写真はお金に代えられない – 「1枚の写真は千の語に匹敵する」という格言をご存じですか?真偽のほどは定かではありませんが、お子さんにはお金では買えない値打ちがあります。我が子の写真を見せびらかしたいのでなければ、誰にも見せるべきではありません。
  2. スマートだけど安全ではない – バービー人形から冷蔵庫まで、あらゆるものが「スマート」であり、ネット接続できる時代に私たちは生きています。しかし、このようなデバイスを開発しているとき、企業はセキュリティを第一に考えていないという欠点があります。もし、この話を信じられないなら、ベビーモニターがハッキングされた記事を読んでみてください。

結局、サイバー犯罪との戦いで一番頼りになるのは、自分自身です。共有するものが少ないほど、情報漏洩の可能性は低くなります。Kaspersky Labはいつでも皆さんの力になりたいと考えています。当社では、このブログ『Kaspersky Daily』のほか、FacebookTwitterでもセキュリティ情報を発信しています。