香港玩具メーカーVTech社から「子供たちの情報」が漏洩

岡本顕一郎(THE ZERO/ONE編集長)

December 14, 2015 09:30
by 岡本顕一郎(THE ZERO/ONE編集長)

香港の知育玩具メーカーVTech社のサーバーがハッキングされ、顧客の個人情報が大量に流出した。11月14日、VTech社のサーバーに悪意あるハッカーが侵入。11月23日、VTech社はジャーナリストからの問い合わせを受けてデータを侵害されたことを確認。27日にデータ漏洩を認めた。

VTech社は1976年に香港で創業し、知育玩具を製造・販売し世界24ヵ国に販売拠点を持つメーカーだ。子供向けのアルファベット学習ボード、デジタルカメラ、スマートウォッチ、タブレットなどを販売している。タブレットはインターネットに接続でき、メッセージングや画像を通信して相手に渡すことができる。今回はこのタブレットが利用しているデータベースから情報が漏洩した。

VTech社の発表によると、保護者は約500万、子供は約660万の計1160万近いデータが侵害された可能性があるという。流出したデータには、氏名、メールアドレス、パスワード取得用の秘密の質問、IPアドレス、住所、ダウンロード履歴や暗号化されたパスワード情報が含まれる。被害に遭った顧客の範囲も広く、流出数が多い順に並べると、アメリカ、カナダ、イギリス、アイルランド共和国、フランス、ドイツ、スペイン、ベルギー、オランダ、デンマーク、ルクセンブルク、ラテンアメリカ、香港、中国、オーストラリア、ニュージーランドでとなっているが、日本は含まれていない。

VTech社は、盗まれたパスワード情報は暗号化されていたと強調している。しかし、セキュリティ専門家らは、同社の暗号化されたパスワード情報は、脆弱性を抱えたMD5で暗号化されており、本気で解析すれば簡単に判明すると指摘する。さらに、個人情報のやりとりをする通信もSSLで暗号化されておらず、悪意のあるユーザーから盗聴される危険性もあったようだ。

今回侵入したハッカーは、米国のニュースサイト『Motherboard』にコメントしている。その手口は、アプリを提供しているサーバーからSQLインジェクションを使って侵入。管理者権限を取り、データベースに自由にアクセスできるようになったという。個人情報だけでなく、ユーザーが撮影した写真、親子間のチャットログ、子供がアップロードした音声ファイルにもアクセス可能であった。盗まれた写真データは190GBにのぼり、侵入したハッカーはサンプルとして3832枚の画像をMotherboardに送り、その一部が同サイトに掲載されている。

0001621-002

ハッカーが手に入れた子供・保護者の画像(Motherboardに掲載された画像より引用

サーバーにアップされていた子供の音声データもMotherboardでは公開している

流出したデータ自体は、保護者と子供の紐付けはされていない。しかし、メールアドレス、住所、IPアドレスといった情報を利用することで、保護者と子供のデータを関連づけることもできる。場合によっては、誘拐や性犯罪に繋がる危険性もあるだろう。

子供の個人情報が大量に流出したことで、世界的にこの事件は注目されている。発覚からすでに2週間ほど経っているが、海外のニュースサイトでは今もホットな話題だ。ワールドワイド規模で被害が出ているうえ、子供の個人情報や写真が流出したことで憤りの声は非常に高まっている。セキュリティ研究者からは今回のような問題を再発させないため「国際的なプライバシーの枠組み」が必要だという意見も出ている。

岡本顕一郎(THE ZERO/ONE編集長)

岡本顕一郎(THE ZERO/ONE編集長)

1976年生まれ。白夜書房から発行されていたセキュリティ雑誌『ハッカージャパン』の編集を経て、2014年よりスプラウトの立ち上げに参画。スプラウトで発行していたメールマガジン『電脳事変』、セキュリティニュースサイト『サイバーインシデントリポート』の編集を行ない、現在はTHE ZERO/ONE編集長。おちゃらけセキュリティサイト『ピンク・ハッカー』の執筆・編集も行なっている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…