スマートトイの安全性

2018.01.09

クリスマスの時期が来ると、小売店の棚は前年よりも大きくて複雑で高価な子供用「スマートトイ」で溢れかえります。


電子的な仕掛けが施されたおもちゃは新しいものではありません。しかし、近年こうしたデバイスには、購入前に親が知っておくべき機能が組み込まれています。


ここ数年 IoT (モノのインターネット) の分野で数多くの問題が発生しており、インターネット接続されたおもちゃも IoT の一部であることを考えると、購入には極めて慎重になる必要があります。


購入者は次のような点に注意が必要です。


  • ・収集される個人データが危険にさらされないか?
  • ・おもちゃが乗っ取られたり、おもちゃが子供と対話したり、子供を監視したりしないか?
  • ・第三者への攻撃に悪用されないか?

個人データの問題について考えてみましょう。


この問題に警鐘を鳴らしたのが、2015 年に香港のおもちゃメーカー VTech で発生したデータ漏洩です。この時、6,300 万人の子供に関連付けられている 4,800 万件のユーザーアカウントの個人データが漏洩しました。


技術的な不具合が複数存在していただけでなく、VTech 社が利用規約を次のように変更して、将来データ漏洩が発生した場合の責任を顧客に押し付けようとしたことで、同社は信頼を失いました。


お客様は、本サイトの使用中にお客様が送受信した情報が保護されていない可能性があり、権限のない者によって傍受される、または後で取得される可能性があることを認め、その旨同意するものとします。


この条文が言っているのは、「VTech が何か失敗したら、それはユーザーの責任」ということです。この規約にはおそらく法的強制力はありませんが、このデータ漏洩に関するに集団訴訟は現在も続いています。


そこで、ソフォスからの最初のアドバイスは、「アプリやオンラインサービスを使用するおもちゃの場合は、利用規約を極めて慎重にチェックして、責任逃れのための抜け道がないかを確認する」です。


VTech の事件は 1 回限りの出来事ではありません。その証拠に、2017 年に米国 Spiral Toys 社のぬいぐるみ CloudPets で 2,200 万件の音声メッセージのデータベースが漏洩しました。


さらに問題なのは、データ漏洩を発見したセキュリティ研究者が Spiral Toys に警告しましたが、無視されたことです。


次は、おもちゃによる監視の問題です。


同時期、ドイツの連邦ネットワーク庁から、Genesis Toys 社の人形 My Friend Cayla が子供および周辺にいる人を偵察するために使用される可能性がある、という警告が出されました。


ドイツ当局の対応は迅速で、報道官は次のように述べています(リンク先:英語)


このデバイスを所有することは違法です。


2017 年のクリスマスシーズンも、セキュリティ研究者にとってはネット接続玩具の不具合を探すのは簡単なことのようです。たとえば、Hasbro 社の Furby Connect は BlueTooth のセキュリティ設計に問題があり、英国のテスト会社による侵入テストで惨憺たる結果を残しました(リンク先:英語)


また、Wi-Fi を使用したおもちゃを対象に別の会社が調査(リンク先:英語)したところ、頼りないファームウェアのアップデート、安全性の低いスマートウォッチ、データが傍受される危険性のあるドローンなど、より深刻な脆弱性が発見されています。


ネット接続玩具の購入者は、そのおもちゃをローカルで使用した場合や収集したデータがリモートサーバーに送信される場合にどの程度セキュリティが確保されているのかを知る手段がありません。


セキュリティが十分に確保されていなければ、問題は解決されるどころか、認識されるという保証もありません。これではまるで、50 ドル未満のおもちゃにはセキュリティを提供する必要はない、とおもちゃ業界が言っているようなものです。


一方の小売業者は、一定期間を過ぎたおもちゃについて、セキュリティ上の欠陥を理由にした返品を受け付けていません。


そこでソフォスからの 2 番目のアドバイスは、「おもちゃを購入する前に、そのおもちゃとメーカーを検索して、既知の問題を確認する」です。


最後は、2016 年に DDoS ボットネット Mirai が拡大した時のように、おもちゃがデバイス乗っ取りのプラットフォームになる可能性があるかどうか、という問題です。


今のところ、「トイ (おもちゃ) ボット」の脅威を心配する必要はありません。おもちゃの電源が長時間オンになっていることはありませんし、攻撃を可能にするソフトウェアを実行できるだけの処理能力もバッテリーもほとんどのおもちゃには搭載されていません。


しかし、CM で見たことのあるようなおもちゃであっても、定量化やモニタリングが驚くほど難しい若者に関するデータを収集する能力はますます高まっています。そうした機能のほとんどは、読まれることが滅多にない利用規約の中に隠されています。


保護者は、おもちゃにスマートであることだけを求めないようにするべきです。


レゴはいかがですか?


引用元

おすすめの記事はこちら