キヤノンMJ/サイバーセキュリティ情報局
おもちゃがハッキングされる時代に。スマート玩具に潜むリスクとは
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「おもちゃに潜む危険。IoTの脅威から家族を守るには」を再編集したものです。
インターネットに接続して利用するおもちゃに飛びつく前に知っておくべきことがある。プライバシーや子供の安全を守るために気を付けるべき点や対策について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
IoT(Internet of Things)は、私たちの生活や働き方を変えつつある。スマート・ペースメーカーからフィットネス・トラッカー、音声アシスタント、あるいはスマート・ドアベルに至るまで、これらの技術は私たちをより健康に、より安全に、より生産的に、そして楽しませてくれるものだ。
同様に、子供向けの先進的な玩具も製造されるようになった。全世界におけるスマート玩具市場は2桁成長が見込まれており、その市場規模は2027年までに240億ドル(3兆4800億円相当)に達すると予測されている。ただし、インターネット接続とデータ、そしてコンピューターが関係するからには、プライバシーやセキュリティに関する懸念は避けられない。
子供の学習と創造性を育もうと、こうした玩具の購入を検討している人も多いだろう。しかし、プライバシーとデータ(そして、子供の安全)を守るためには、スマート玩具に飛びつく前に調べておくべきことがある。
スマート玩具とは? どのようなサイバーリスクが考えられるのか?
スマート玩具が登場して数年が経つ。その他のIoT機器と同様、インターネット接続とデバイスの情報処理能力によって、より没入感があり、インタラクティブで応答性のある体験を提供するのが目的だ。例えば、以下のような機能を提供する場合が多い。
・子供の映像や音声を記録するためのマイクとカメラ
・子供に音声や映像を見せるためのスピーカーとディスプレイ
・スマート玩具とアプリを連携させるBluetooth接続
・自宅Wi-Fiルーターとのインターネット接続
これらの技術により、スマート玩具は旧来のおもちゃに比べて遥かに優れた体験をもたらす。インタラクティブな機能によって子供は夢中になる。さらにインターネットから追加機能をダウンロードすることも可能だ。
利便性の裏で見失われがちなIoTデバイスのセキュリティ
https://eset-info.canon-its.jp/malware_info/special/detail/200909.html
しかし残念ながら、市場に早く商品を投入しようとする製造者は、安全対策を疎かにする可能性がある。その場合、ソフトウェアに脆弱性が含まれていたり、安全ではないパスワードポリシーが設定されていたりする。記録したデータを密かにサードパーティへ転送する、あるいは、保護者に入力させた個人情報を安全に保管していないという恐れも考えられる。
スマート玩具が問題を引き起こした事例
過去にも問題が発生した事例があった。以下に深刻なケースを紹介する。
・Fisher Price社のSmart Toy Bearは3歳~8歳の子供を対象としていた。子供の話を聞き、記憶し、話しかけられた時には反応する「対話式の友達」という触れ込みだった。しかし、接続されたスマートフォンアプリの不具合により、ユーザーデータが不正にアクセスされる状態にあった。
・CloudPetsは親と子供が音声メッセージを共有できる愛らしいスマート玩具だ。しかし、クラウド上のデータベースに保管されたパスワードやメールアドレス、そして、音声メッセージ自体も安全性が確保されていなかった。パスワードで保護されることなく、オンライン上に公開されている状態にあった。
・My Friend Caylaはスマート技術が搭載された子供型の人形であり、子供からの質問に対し、インターネット検索を介して回答する。しかし、セキュリティ研究者の調査により、人形を介して親と子供を監視できてしまうセキュリティ上の不具合が発見された。ドイツの通信監視機関により、そのプライバシーに対する懸念から、この人形を破棄するよう勧告されるまでに至った。2019年にはSafe-KID-Oneと呼ばれるスマートウォッチでも同様のケースがあった。
2019年のクリスマスには、セキュリティに関するコンサルティング会社であるNCC Group社により、7つのスマート玩具に対する調査が実施された。注視するべき問題が20個見つかり、そのうち2つは高いリスク、3つは中程度のリスクと判断されている。具体的には、以下のような問題があった。
・アカウント作成やログインの処理が暗号化されておらず、ユーザー名やパスワードが保護されていない。
・強固なパスワードポリシーが設定されていないため、ユーザーが推測されやすいパスワードを使ってしまう。
・プライバシーポリシーが明確ではなく、COPRA(米国児童オンライン保護法)に違反しているケースがある。クッキーや追跡情報を取得できる状態になっており、PECR(英国プライバシーおよび電気通信規則)に準拠していない場合もあった。
・認証のいらないBluetooth接続によってデバイス同士(ほかの玩具やアプリ)がペアリングされている。接続できる距離にいる人なら誰でも、以下のような攻撃が行える。
・攻撃的、あるいは困惑させるようなコンテンツを流す
・子供を操るようなメッセージを送る
・同じ玩具(子供用トランシーバー)を購入するだけで、見知らぬ人でも近い距離にいる子供とやり取りできてしまう
・音声機能を持ったスマート玩具を乗っ取った攻撃者は、理論上、スマートホームを不正に操れる。つまり、音声起動システムへ命令を送ることが可能となる。(例:Alexa、玄関を開けて、など)
スマート玩具にまつわるセキュリティとプライバシーのリスクを軽減する方法
セキュリティやプライバシーリスクのあるスマート玩具を使用する場合、万一に備えるため、以下の対策を取ってほしい。
・購入する前に調査する:悪い評判がないかを確認し、その商品のセキュリティやプライバシー対策について調べる
・ルーターを保護する:ルーターは自宅ネットワークの要であり、インターネットに接続するすべてのデバイスと通信している
・使用していないときは機器を停止する:使用していないときは、リスクを軽減するよう、デバイスを停止する
・保護者が玩具に慣れる:同時に、小さい子供には目を光らせるよう努める
・更新の有無を確認する:更新可能なスマート玩具であれば、最新のファームウェアが使われているかを確認する
・安全な通信を選択する:Bluetooth接続には認証を設け、自宅ルーターとの通信を暗号化する
・どこにデータが保管されているかを理解する:加えて、製造者のセキュリティに関する評判を確認する
・パスワード設定:アカウント作成時には、複雑でユニークなパスワードを設定する
・共有するデータを最小にとどめる:データが盗用されたり、製造者が不正侵入されたりした際に、情報漏えいするリスクを軽減する
スマート玩具は、教育の役に立ち、かつ楽しいものだ。子供やデータの安全が確保されるならば、安心して使うことができるだろう。
「IoT security: Are we finally turning the corner?(IoTのセキュリティ:危機は脱したのか?)(英語のみ)」
スマートホーム機器12種の安全性チェックを実施
オンラインにおける子供に対する危険性と、それから保護する技術について学びたい場合、Safer Kids Onlineも参考にしてほしい。
[引用・出典元] Toys behaving badly: How parents can protect their family from IoT threats by Phil Muncaster 8 Sep 2022 - 11:30 AM https://www.welivesecurity.com/2022/09/08/toys-behaving-badly-how-parents-protect-family-iot-threats/