親子の写真・個人情報約1100万人分、玩具メーカー「Vtech」から流出

親子の写真・個人情報約1100万人分、玩具メーカー「Vtech」から流出 1

暗号化もされてなかったとか。

香港を拠点とする知育玩具メーカーのVtechから、個人情報が大規模流出していたことが発覚しました。ハッカーがVtechのサーバに侵入し、そこに保存されていた大人約490万人、子ども約640万人の個人情報を盗みとったのです。そこには、子どもたちの顔写真やチャットログも含まれていました。

ハッカーが誰なのかはまだわかっていませんが、その人物はMotherboardにハックの詳細をアップデートし続けています。数日前にMotherboardが伝えたところでは、ハッカーはVtechのサーバからユーザーの名前、メールアドレス、パスワード、ダウンロード履歴、住所、そして写真を取得しています。Vtechの公式発表によると、人数は親の分が485万4209人、子どもの分が636万8509人です。子どものユーザーに関しては、名前だけでなく性別や誕生日も含まれています。MotherboardのLorenzo Francheschi-Bicchierai氏は、このハックを「今までのコンシューマーデータ流出事件で4番目に大きい」としています。

子どもの写真データが何人分に相当するかはまだわかっていませんが、データ量にして190GBあり、これはVtechのKid Connectというチャットアプリで使われていたものです。Vtechはユーザーに対し、そのアプリ用に顔写真をアップロードするよう推奨してきました。

親子の写真・個人情報約1100万人分、玩具メーカー「Vtech」から流出 2

このハックはある意味、Facebookのサーバがハックされて個人情報や写真が盗まれたのにも匹敵します。大きな違いは、その会社が子どもの玩具をつくる会社だということです。VtechではWi-Fi接続できるタブレットや、カメラ搭載のスマートウォッチなどを作っています。

このニュースのインパクトは大きく、The guardianによれば同社株の香港株式市場での取引が停止されたほどです。そしてVtechは単なるハッキング被害者とは言えません。セキュリティリサーチャーのTroy Hunt氏が書いているように、彼らはユーザーの安全を守るためのもっとも初歩的なステップすら省いていました

たとえば、SSLがどこにも使われていなかった。あらゆるコミュニケーションは、パスワードや、親の詳細情報や子どものセンシティブな情報が通信されているときでさえ、暗号化されていなかった。我々がそんな状態でも大丈夫だと言っていた時代はとうに終わった。それは大丈夫ではない。Vtechで使われていたパスワードは親たちが他のアカウントで使っている多くのものと一致するはずであり、それらの通信は適切に保護されてしかるべきだ。

個人情報を扱うサービスなら、まして子どもの情報を含んでいるならなおさら、暗号化なんて当然してるものと思っちゃいますよね。でもVtechをハックした人物は、昔ながらのSQLインジェクションで同社のサーバのrootにアクセスできてしまったと言います。「データのダンプは非常に簡単で、もっと悪意を持った人物も簡単に入ることができただろう」とその人物はMotherboardで語っています。幸い(と信用していいのかわかりませんが)、その人物は取得したデータを公開するつもりはないと言っています。

ただ、Vtechの責任を問えばそれでいいのかというと、なんとなく収まらないものがあります。そもそもネット接続する玩具というものが本当に良いのかどうかということです。子どもと会話できる「スマートなバービー人形」が子どもの情報を悪用するんじゃないかと懸念する声もありました。

訳者も自分の子ども用に、Vtechのパソコン風のおもちゃを持っています。30ドル(買った当時は2,400円相当だった)くらいなのにいろんな知育系ゲームが入っていて、さらにUSBでパソコンとつなげればネットから新しいゲームをダウンロードできる、21世紀な玩具だと思っていました。それは家電量販店のベストバイで買いましたが、アメリカではトイザらスのような玩具店はもちろん、ドラッグストアでもVtechの玩具を見かけるくらいメジャーです。Vtechのサービスを使っていた人たちも、まさか基本的なセキュリティ対策がとられていないとは思わなかったでしょう…。

この事件の教訓は、まず企業に対しては、毎度のことかもしれませんが、セキュリティに関して手抜きは絶対ダメってことでしょうね。そして子どもを持つ親、または消費者に対しては、手を抜いてる会社がまだまだあって安心はできないってことだと思います。

Image by Flickr / Getty

source: MotherboardVtechThe guardianTroy Hunt

Adam Clark Estes-Gizmodo US[原文

(miho)