IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

江添 佳代子

March 24, 2017 08:00
by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。

200万件以上の音声データがダダ漏れ

危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200万件以上の音声メッセージ」だった。驚くべきことに、それらのデータは認証制限がないままオンラインに晒されていたため、誰でも閲覧・聴取することができた。

IoTの玩具といえば、先日もインターネット接続の人形「My Friend Cayla」がドイツの連邦ネットワーク規制庁によって禁止された経緯をお伝えしたばかりだ。この禁止令は、ケイラが音声監視として悪用されかねないほど脆弱な製品であり、「子供が(あるいは子供のプライバシーが)危険に晒される可能性があると見なされたため」に発令されたものだった。また高度な会話を可能とするIoT人形「Hello Barbie」にもセキュリティを不安視する声が相次いでいるという話題を掲載した。

一方、今回の「CloudPets」の問題は、セキュリティの弱さが指摘されたのではなく「実際に」情報流出が起きた。このインシデントで危険に晒された情報には、子供の音声データも大量に含まれていたとなれば、メーカーの責任が問われるのは当然だ。しかし特に問題視されているのは、「あまりにお粗末だったデータ管理と、無責任すぎた対応」の部分である。いったい何が起きたのか?

問題となった「CloudPets」

「抱きしめられるメッセージ」

まずは問題の玩具「CloudPets」の機能について説明しよう。一言でまとめると、このヌイグルミは単に「インターネット経由で音声を送り、それを再生する玩具」だ。他にゲームや子守歌などのオマケ機能もついているが、基本的な機能はそれだけである。具体的な動作は、プロモーション動画を見ていただくのがいちばんだ。

ご覧の通り、これは過去にお伝えした「Hello Barbie」や「My Friend Kayla」のように高度な技術を搭載したIoT玩具ではない。ずっと昔からある「音声を録音、再生できるオウムのおもちゃ」に、インターネット接続の送受信機能がプラスされたようなヌイグルミだ。

このCloudPetsを利用するには、音声を送る側も受け取る側も、AndroidかiOSの端末に「CloudPets App」という専用アプリをインストールしなければならない。双方が携帯端末を持っているのなら、わざわざヌイグルミを使わなくとも、ウェブカメラでお互いの顔を見ながら音声チャットをしたほうが良いのでは? と疑問に思われた方もいるだろう。

実は、この商品は「離れた人と会話できるヌイグルミ」ではなく「ハグできるメッセージ」という触れ込みで販売されている。まだ携帯端末を操作できない(もしくは与えられていない)幼い子供が、いつでも好きなときに愛する人のメッセージを聞き、抱きしめて一緒に寝られるのが特徴だ。家族愛を重んじる北米圏において、それは意外と受けるアイディアだったようで、米Amazonでもなかなかの高評価を得ている。ちなみにパニック・アット・ザ・ディスコの元ベーシスト、ダロン・ウィークスも昨年、自分の子供に買い与えたCloudPetsのテディベアを自分が愛用しているとツイートしていた

アメリカのAmazonでは、高い評価を得ていた

ニック・アット・ザ・ディスコの元ベーシスト、ダロン・ウィークスのツイート

CloudPetsで音声を送る仕組みは単純である。まず送信者が携帯端末のアプリでメッセージを録音する。その音声データはクラウドに送られ、受信者(子供と一緒にいる保護者)の携帯端末にダウンロードされる。受信者がそのデータをBluetoothでヌイグルミに送ると、ヌイグルミ本体のスピーカーから再生できるようになる。子供が返事を送りたいときは、逆の流れとなる(音声をヌイグルミで録音→保護者の端末→クラウド→相手の端末へ送られる)。この双方向の通信には「音声データの録音、収集、保管」がともなう。

CloudPetsの仕組み CloudPetsのPR動画より

音声データが「クラウドに」格納されるという点は、説明を読むまでもなく商品名から察しがつく。録音されたデータの安全性を気にする人であれば、「声を再生するだけの機能」のためにリスクを冒したくないと感じるだろう。だが、CloudPetsを子供に買い与えたいと考える保護者たちが、そのリスクを必ずしも理解しているとは限らない。

セキュリティ研究者トロイ・ハントによる「確認作業」

CloudPetsの問題を最初に取り上げたのは、「Have I Been Pwned?」でお馴染みのセキュリティ研究者、トロイ・ハント(Troy Hunt)だった。オーストラリアのMicrosoft Regional Directorを務めているハントは、データ漏洩研究の第一人者として知られている人物だ。このThe ZERO/ONEでは「マイクラPEのマルチプレイ用アカウント流出事件」、「決済代行サービスBluesnapの顧客データ流出事件」に続いて三度目の登場となる。

ハントがCloudPetsのセキュリティ問題をどのように確認したのかは、彼自身のブログに詳しく記されている。まず彼は2017年2月第4週、とある人物から約58万3000件分の顧客データを送りつけられた(※)。送り主によれば、その大量のデータはCloudPets のユーザーアカウントのデータで、「漏洩情報をオンラインで闇取引している界隈では、すでに出回っているもの」だという。

さっそくハントは、それが本物のデータであるかどうかの調査を始めた。幸いにも、そのときの彼は米国でセキュリティのワークショップを開催していたため、たまたまCloudPetsのアカウントを持っている一人の男性の参加者と知り合うことができた。

ハントはその男性の協力を得て、彼のデータが「流出データ」の中にあるかどうかを確認した。たしかに彼のメールアドレスは存在していた。そのアカウント情報に記されたタイムスタンプも、彼が自分の娘にCloudPetsを買い与えた日と一致していた。そこにはパスワードも含まれていたのだが、さすがにBcryptでハッシュ化されている。そこでハントは、彼にパスワードを変更してもらったのち、彼が登録していた(変更前の)パスワードを教えてもらい、まさしく彼のパスワードがハッシュ化されたデータが含まれているのを確認することができた。そのユーザーアカウントのデータが本物であることに、もはや疑いの余地はなかった。
 
※ このときハントに送られたデータは約58万3000件だったが、のちにそれは「82万件以上の漏洩データの一部」であったことが判明している。

警告に応じないメーカー

ハントに流出情報を提供した人物の話に戻ろう。彼はCloudPetsの顧客情報が危険な状態に晒されていることをSpiral Toys社へ知らせようと「三度も」試みたのだが、全て失敗に終わったそうだ。

まず、その人物はCloudPetsのサポートページに掲載されているメールアドレス(support@cloudpets.com)にメールを送ったが、そのメールは未着のまま戻ってきてしまった。そこで彼は、わざわざWHOISでcloudpets.comのドメイン情報を調べ、連絡先として登録されていたアドレスにメールを送ったが、4日経過しても返信は来ない。仕方ないので、彼はホスティングプロバイダーのLinodeにメールを送り、「このドメインの所有者へ、事の深刻さを伝えてくれるように」と頼んだが、事態は何も進展しなかったという。

まずサポート用のメールアドレスが利用できない(返事が来なかったのではなく、メールが届かなかった)という時点で奇妙である。またWHOISのページを見ると、cloudpets.comのドメインはカリフォルニアのOnDemand Direct Responseなる組織に登録されており(少しもダイレクトにレスポンスしていないというのも突っ込みどころだ)、その登録者・管理担当者・技術担当者は全て「brett saevitzon」氏となっていたが、この人物への連絡先はYahoo!メールのアカウントのアドレスだった。

これらのことが事前に分かっていたなら、CloudPetsを子供に買い与えようと考えるユーザーはほとんどいなかっただろう。だが40ドル程度のヌイグルミを購入する際に、わざわざメーカーのサポート体制や、ドメインの管理者まで事前に調査する保護者がどれだけいるだろうか? これは、あらゆる安価なIoTグッズに共通している恐ろしさだ。
 
中編に続く

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…