中国のIoT社会に一石を投じた「360小水滴」騒動

牧野武文

January 30, 2018 08:00
by 牧野武文

2017年末、中国は「水滴ライブ事件」に揺れていた。レストラン、ホテル、スポーツクラブ、果てはトイレ、家庭内の監視カメラ映像が、誰にでも見られるようになっていたという事件だ。プライバシーと利便性を巡って、大きな議論となったと『捜狐科技』が報じた。

手軽に設置できるWebカメラ「360小水滴」

問題となったのは、セキュリティ企業「360」が発売したスマートカメラ「360小水滴」。この製品は実にユニークで、ヒット商品となっていた。360小水滴はネットワークカメラだが多彩な機能を持っている。特に映像をいったんクラウドにあげて、クラウド上で顔認識、人認識などの処理を行えるのがポイントだ。

例えば家庭内の監視カメラであれば、特定の家族が映ったら、顔認識によりスマートフォンにアラートを通知する。ガレージなどの監視カメラであれば、何者かが侵入したら、人を認識してスマートフォンに通知する(犬や猫が侵入した場合は通知しない)。あるいは、物音がしたら通知するなど、さまざまな機能を持っている。

笑顔を認識する機能もあり、家族が笑顔を見せたら自動的に静止画を撮影。家族の笑顔アルバムを作ることも可能だ。
この製品は、YouTuberのようなライブ配信をしたい人にもお勧めだ。「水滴ライブ」と呼ばれるサイトが用意されていて、スマートフォンから設定をするだけで、簡単にライブ中継ができる。

小水滴の公式紹介ビデオ。スマートカメラとしての機能は素晴らしく、ヒット商品となっている。

日常風景が世界に公開

この製品が人気になっている理由の1つは、設定のしやすさだ。360小水滴を購入したら、まずパッケージに印刷されているQRコードをスキャンする。専用アプリがダウンロードして、アプリを起動すると利用するWi-Fiのパスワードを入力する。これだけで専用アプリを通じて、Webカメラが使えるようになる。

ややこしいのが、複数の人でライブ映像を共有したい場合だ。一人で見る場合は、特に設定は不要だが、複数人で見る場合は「水滴ライブ」にアカウントを作成し、このアカウントを共有する必要がある。ただ、この部分を理解していなユーザーが多数おり、「単なる公開」にしてしまい、Webカメラの動画を誰にでも見られる状態にしてしまう人が続出してしまった。

レストラン、ホテルロビー、商店、マッサージ店などに設置された監視カメラがまず問題となった。経営側としては、スタッフ誰でも見られるようにしたい。しかし、その設定が面倒、あるいは仕組みがよくわかってなく、水滴ライブで「公開」をしてしまう事例が多発した。

さらに被害を被ったのは、監視カメラ映像を公開している店舗に訪れた客だ。食事をしている、買い物をしているという日常の光景とはいうものの、「無断で」自分の映像が世界に公開されてしまう。

水滴ライブを運営する360は、このような問題が生じることを予測していた。そのため、商店が監視カメラ映像を水滴ライブで公開する場合は、指定するステッカーを店内に掲示するように求めている。そのステッカーには「水滴ライブ。現在ライフ中。ご注目ありがとうございます。私たちの素晴らしい生活をすべての人に」と書かれている。このステッカーを見た客は、自分の映像がライブ公開されているかもしれないことがわかるので、それが嫌だという人は去ることができる。


360は、飲食店などでライブ中継をするときは、ライブ中継されていることを告知するステッカーを掲示するように求めていた(画像は搜狐より)

また水滴ライブでは、約100名の監視スタッフを常駐させ、ライブ映像をチェック。公序良俗に反するような映像を発見した場合は、中継を切断する処置をとっていた。商店の中には、衣料品店の更衣室、マッサージ店、トイレなどに小水滴を設置している例もあり、このような映像はすぐに切断される。

360の対策が甘かったと責めるのは、酷なところもある。利用者が公開範囲をきちんと設定してくれさえすれば、何の問題も起こらないのだ。当初、一部のネットユーザーで問題となり、多くの人が利用者の設定の杜撰さを問題にしていた。

虐待をしている有名幼稚園

ところが、局面を大きく変える事件が発生する。11月下旬、北京市の紅黄藍幼稚園で虐待事件が発覚したのだ。この私立幼稚園は、特別な英才教育を行うことで名前が知られていた。それはRYB教育(Red Yellow Blue教育)と呼ばれる特殊な天才を育てる方法なのだという。

しかし、親たちから虐待疑惑の訴えが相次いだ。帰宅した子どもたちの腕や足に、針を刺した跡が何ヵ所もある。さらに子どもたちは、得体の知れない白色の丸薬も飲まされているという。「何かおかしなことが行われている」と不安になった親たちは、幼稚園に釈明を求めた。しかし幼稚園側は説明をしない。焦れた親たちは、虐待疑惑をSNSなどで訴え始め、大きな社会的関心事となった。この幼稚園の教育法を、共産党幹部や人民解放軍高官も推薦していたことも、世間が注目する原因のひとつとなった。

この紅黄藍幼稚園虐待事件は、現在も捜査中だが、誰もが思ったのは「監視カメラが設置されていれば」ということだ。中国の私立幼稚園、私立学校の中には、教室に監視カメラを設置し、親はいつでもその映像を見られるようにしているところが増えている。

Webカメラがあれば安心?

360は、この問題に反応した。全国の幼稚園に対して、申し出があれば、小水滴を無償提供すると発表したのだ。製品プロモーションと社会貢献を兼ねた施策だった。全国の5000ヵ所以上の幼稚園が、無料の小水滴を申し込んだ。

一見、素晴らしい活動のように思えた。しかし陳菲菲という女性が、SNSにこの活動を強く反対するメッセージを公開し、大きな話題を呼んだ。そのメッセージは「92年生まれの女子が、周鴻禕にメッセージ:もう私たちを覗かないで」というものだ。周鴻禕とは、水滴ライブを運営する360のCEOで、中国IT業界のキーパーソンになっている有名人だ。

メッセージを公開した陳菲菲は、ネットメディアを運営しており、学生時代から周鴻禕を尊敬し、自分のお手本として努力をしてきたという。小水滴もすぐに購入し、水滴ライブも熱心に見てきた。しかし、水滴ライブの内容には問題を感じていたという。

陳菲菲は、映っているレストランの監視カメラ映像から店を特定して、突撃取材を試みた。ほとんどの店に「ライブ中」のステッカーは貼られていなかった。映像に映っている来店客に、水滴ライブの映像を見せると、みな一様に驚き、「知っていたら、この店にはこなかった。断りなく自分の姿が公開されるのは、やはり納得できない」と答える。店員にこのことを尋ねると「経営者が小水滴を設置しろと言ったので、指示に従っただけ。公開とかそういうことは、私たちにはよくわからない」と答える。運良く経営者に話ができた店では「食事をしている姿のどこがプライバシーなの?」と聞き返された。

このような取材内容を映像にまとめ、メッセージとともに公開した。メッセージは最後にこう告げている。「尊敬する周さん。あなたが娘さんと食事にいって、その姿がライブ公開されているとしたらどうしますか?」。


水滴ライブで中継されていた学習塾の様子。子供たちや父兄は、映像が誰でも見られるようになっていることを知らなかった(画像は搜狐より)


陳菲菲のまとめ映像に登場する水滴ライブの映像。レストランで、仲良く食事するカップルの映像が水滴ライブで公開されていた。陳菲菲は、このレストランの場所を特定して、このカップルに取材をした。2人は自分たちの映像が公開されていることをまったく知らず、困惑をした(画像はhttps://mp.weixin.qq.com/s/FAVMz7LkcW72fKdfpUI7Agより)

陳菲菲が公開した取材映像。店内の様子がライブ中継されている店舗を特定して、そこの来店客やスタッフにインタビューをしている。

悪いのは誰だ

周鴻禕の反応は速かった。陳菲菲のメッセージが拡散し、社会的な話題となると、あっさりと水滴ライブを閉鎖してしまった。ただし、小水滴が利用できるなくなるわけではない。専用アプリを使えば、映像を見ることはできるし、視聴可能なユーザーを登録していけば、複数人で映像を共有することもできる。無制限に公開することができなくなるだけだ。

こうして水滴ライブ事件は終息したが、社会に大きな課題を残した。サービスを提供した側である360にも大きな落ち度はない。水滴ライブで公開をしてしまった利用者に「リテラシーの低い者は、使うべきではない」と責めるのも筋違いだ。なぜなら、デジタル、特にIoT機器はごく普通の人が使うデジタル機器になっている。「テレビ放送の原理がわからない人はテレビを見てはいけない」「内燃機関の仕組みを理解できない人は車を運転してはいけない」と言うのと同じぐらいお門違いのことなのだ。

スマートフォンが一般化して以降、デジタル機器、ネットワーク機器を普通の人が使う時代に入った。そこでのセキュリティとは、ハードウェア、ソフトウェアのレイヤーだけでなく、ソーシャルエンジニアリング的なレイヤー、認知心理学的なレイヤーでのセキュリティーも考えていかなければならない時代に入っているのだ。

ニュースで学ぶ中国語

 
直播(zhibo):ライブ、生放送。中国では、市町村政府が交通監視カメラ、防犯監視カメラを大量に設置し始めている。民間でも、レストラン、ホテルなどが店内に監視カメラを設置するところが増え、市民の中でプライバシーに関する議論が高まっている。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…