古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

ぬいぐるみから80万人のユーザー情報が流出、つながる玩具に警鐘

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/03/02 15:08
ぬいぐるみから80万人のユーザー情報が流出、つながる玩具に警鐘: トロイ・ハント氏のブログ © ITmedia エンタープライズ 提供 トロイ・ハント氏のブログ

 インターネットに接続して、親子で音声メッセージをやりとりできる玩具から、ユーザー80万人あまりの情報が流出していたことが分かったとして、セキュリティ研究者が調査結果を公表した。この玩具を使って交わされた、親子間の会話200万件あまりも流出した可能性があるといい、同じような脆弱性は他の玩具にも存在するかもしれないと警告している。

 問題が報告されているのは玩具メーカーの米Spiral Toysのぬいぐるみ「CloudPets」。離れた所にいる家族がスマートフォンのアプリを使ってCloudPets経由で子供と音声メッセージをやりとりできる。

 この玩具からの情報流出に関する調査結果は、セキュリティ研究者のトロイ・ハント氏らが2月28日に公表した。それによると、CloudPetsのユーザー情報は認証なしでアクセスできる公開ネットワーク上のMongoDBに保存され、Shodanで検索できる状態になっていたことが判明。ここから大量のユーザー情報が流出していたことが分かった。

 ハント氏がたまたま米国で開いていたセキュリティワークショップの受講者の中に、CloudPetsのアカウントを持つユーザーがいて、このユーザーの電子メールアドレスや娘にCloudPetsをプレゼントしたクリスマスの日のタイムスタンプ、Bcryptでハッシュ化されたパスワードなどの情報が、流出したデータの中に含まれていることを確認したという。

 ハント氏にこの情報を提供した人物は、CloudPetsのサポートに何度も接触を試みたが、同社から返答はなかったそうだ。

  パスワードにはBcryptハッシュが使われていたものの、非常に短い文字列や安易なパスワードが大多数を占めることから、簡単にパスワードをクラッキングしてアカウントにログオンし、記録された音声を引き出すことができる状態だったとハント氏は指摘。既にこの問題を見つけてデータを引き出していた人物は多数いると推定し、「親子の親密な会話が何人もの手に渡っていたと思われる」という。

 さらに詳しく調べた結果、MongoDBにあるCloudPetsのデータが何度も不正アクセスされた後に削除され、複数回にわたって身代金を要求されていた形跡も見つかった。MongoDBについては同じような形で不正アクセスされ、身代金を要求される被害の続出が報告されているそうだ。

 つながる玩具を巡っては、ドイツで販売されていたおしゃべり人形の「Cayla」について、子供との会話が外部に流出する恐れがあるとして、販売が禁止された事例もある。「ほかにも多数のつながる玩具に深刻な脆弱性が存在しているのは間違いない。必然的に、一部は既に不正アクセスされ、メーカーや保護者の知らないうちにデータが盗まれているかもしれない」とハント氏は警鐘を鳴らしている。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon