子ども向けハイテク玩具の「裏の顔」──情報流出リスクに溢れる「脆弱なセキュリティ」の真相

GettyImages-508410604-5c7d443e87e146e35098730d5ee3fb580fa8f0f1

ネット接続できる子ども向け玩具には、実はセキュリティが脆弱でハッカーのターゲットになりやすいといった弱点が指摘されている。わたしたちはデジタルな子ども向けガジェットを購入するとき、どんな点に気をつける必要があるのか。課題と問題点について改めて考える。

TEXT BY BRIAN BARRETT
TRANSLATION BY MIHO AMANO/GALILEO

WIRED(US)

wooden toy

PHOTO: GETTY IMAGES

子どもへのプレゼントを探している人にとって、ハイテク玩具は魅力的だろう。誰にでも喜ばれるし、数多くあるオンラインショップから、たいていは2日で、あるいはもっと早く手に入れることができる。

ネット接続できるところも、こうした華々しい子ども向けガジェットを魅力的なものに感じさせる。ただのテディベアはなない。機械学習するテディベアなのだから。

だが、ハイテク玩具には「裏の顔」もある。

テクノロジー全般、あるいは子ども関連のテクノロジーを非難する記事を書きたいわけではない。子どもがネットを安全に利用して、その恩恵を受けられる信頼できる方法はたくさんある。

だが、忘れてはいけない重要なことがある。それは、ネット接続できる玩具はIoT(モノのインターネット)のひとつであり、この世界は悪意や脆弱性[日本語版記事]に満ち溢れているということだ。そしてさらに恐ろしいことに、こうした玩具はたいてい、子どもにマイクやカメラを向けている。

「一般的に人々は、ネット接続された玩具がIoTの一部だという発想には至らないでしょう」と、セキュリティ企業Rapid7で調査責任者を務めるトッド・ビアズリーは言う。だが、セキュリティが甘いネット接続デヴァイスをターゲットとするハッカーは、汎用的なウェブカメラとWi-Fiで動くフィギュアを除外したりしない。

「基盤の多くは普通の古いLinuxやAndroidのようですが、攻撃するほうは気にしません。中身は同じコンピューターですから」

デジタル玩具という「ハッカー天国」

このためネットに接続した玩具は、ボットネットに“参加”する最有力候補となっている。ボットネットとは、ハッカーがウェブサイトやサーヴァーなどのインターネット基盤の構成要素にDoS攻撃を仕掛けるために使用する、ゾンビのようになったコンピューターの集合体だ。

16年の秋、全米のインターネットが午後の大半に渡ってダウンした[日本語版記事]ことを覚えているだろうか。これはボットネットの仕業だったのである。

これに対して、「それはわかった。だが少なくともわが家にある子ども向けのおしゃべりロボットへの影響という点では、それほど悪いことには思えない」という声が聞こえてきそうだ。そう考えるのも当然である。だが米連邦捜査局(FBI)が17年、ネット接続された玩具について警告を発したことには理由がある。そしてそれは単に、ボットネットに組み込まれることへの懸念だけではない。

FBIの警告文には、このように書かれている。

「こうした玩具には通常、センサー、マイク、カメラ、データ記憶装置に加えて、音声認識機能やGPSといったマルチメディア機能も組み込まれている。こうした機能は子どものプライヴァシーと安全を危険にさらす可能性がある」

これは単に「想像に基づいて必要以上に騒ぎ立てている」わけではない。15年には、玩具メーカーのマテルが発売したWi-Fi対応でおしゃべり機能を備えた人形「Hello Barbie」が、簡単にハッキングできることがわかった。その気になれば、パスワードから実際の会話の断片まで、あらゆるものを盗み出せる状態だったのだ(この問題はマテルが修正プログラムを発表することで解消した)。

もっと最近では、ノルウェー消費者委員会(Norwegian Consumer Council)が17年10月、複数の企業から発売されている子ども向けスマートウォッチは簡単に追跡できることに気づいた。これらを使って子どもとやり取りすることさえ可能だという。

例を挙げればきりがないが、そのなかには実際の被害につながったケースもある。17年3月、IoTテディベア「CloudPets」に録音された200万件のメッセージが、オンラインデータベース上で誰でも聞ける状態になっていたことがわかった。80万人分の電子メールアドレスとパスワードも流出している。こうした例はまだまだあるが、言いたいことはわかってもらえただろう。

ネット接続されたすべての玩具が危険にさらされているというわけではない。それは、家庭用のウェブカメラすべてがハッカーの餌食になるわけではないのと同じだ。

だがIoT産業は概して、セキュリティー全般に関してまだ準備万端とはいえない状態だ。そのサブカテゴリーであるスマート玩具も例外ではない。そのうえ、ハッカーが最大の懸念事項というわけでもない。たいていは、玩具メーカーそのものが一番の要注意対象なのだ。

プライヴァシー・ファースト

16年、複数のプライヴァシー擁護団体が合同で、玩具メーカーのジェネシス・トイ、マイ・フレンド・カイラ、アイキュー・インテリジェンス・ロボットが製造した2つの製品について、米連邦取引委員会に提訴した[PDFファイル]。この3社が「適切な通知を行わず、また親の同意確認を取得せずに、子どもの声を録音した音声ファイルを不当かつ不正に収集、使用、共有した」というのが訴状の内容だ。

この2種類の玩具はドイツではすでに販売禁止になっており、家電量販店のターゲットや米玩具チェーンのトイザらスの店頭からも消えている(この記事が掲載された時点で、数量はわずかではあるものの、アマゾンではまだ販売されている)。ジェネシス・トイにコメントを求めたが、回答は得られなかった。

プライヴァシー擁護団体は、この2つの訴えで、玩具業界に関する幅広い懸念事項を取り上げている。

子どもをターゲットとしたマーケティングの根絶を目指す団体「Campaign for a Commercial-Free Childhood(CCFC)」でキャンペーン責任者を務めるデイヴィッド・モナハンは次のように述べている。「ネットに接続する玩具を販売している企業は、製品販売から利益を得ているだけではありません。子どもから大量の機密情報を収集して収益化しようとしているのです」

児童オンラインプライヴァシー保護法(COPPA)は、この種のデータ収集を制限しており、データ収集が行われる場合は必ず事前に親が同意しなければならないと定めている。しかし、プレゼントの用意に追われる慌ただしさのなかで、自分が何に同意したのかも気づかないうちに、「はい」をクリックしている可能性は高い。

非営利団体の「電子プライヴァシー情報センター(EPIC)」の代表者であるマーク・ローテンバーグはこう述べる。「ネットに接続している玩具は、プライヴァシーにとっての悪夢です。サンタなら誰が悪い子で誰がいい子だったかわかりますが、玩具会社についてはわかりません」

機能を理解する

ネットに接続する機器をプレゼントするつもり、あるいはすでに購入してしまって、返品に必要なレシートが見つからないとしよう。その場合に現時点でできる最も重要なことは、その機器がどのように機能し、何を収集し、その情報が何につかわれるのかを正確に理解することだ。

「プライヴァシーポリシーに目を通して、これを理解するには弁護士が必要だと感じたら要注意です」と、CCFCのモナハンは述べる。

注意の目は、機器の保護にも向ける必要がある。「ネットに接続する玩具は、デフォルトのユーザー名とパスワードを豊富に用意していることが多いのです」と、Rapid7のビアズリーは語る。

これも、子どもの遊びのように簡単にハッキングされる原因となる。時間を惜しまずに、機器の設定をカスタマイズし、固有のパスワードを作成すること、そして重大なセキュリティパッチが含まれていることが多いソフトウェアアップデートの有無と、その方法を確認することが重要だ。

こうした玩具が機能する仕組みも知っておく必要がある。「カメラやマイクのように入力センサーを備えているものは、宣伝文句どおりに機能させるために常に電源をオンにしておく必要があります」とビアズリーは言う。

「Amazon Echo」や「Google Home」が常に「聞いている」のと同じように(ただしこれらは「ウェイクワード」を聞いたらデータをサーヴァーに送信するだけだが)、カメラを使用して色を検出する玩具は、言ってみれば常に外界を見ていることになる。また、見聞きしたことをどんな状況でネット経由でやり取りするのか、あるいは何を保存するのかについては明確になっていない可能性がある。

Echoなどの機器もプライヴァシー関連で怒りを買っているものの、少なくともユーザーが「Amazon Alexa」や「Google Assistant」とやり取りするときは、ユーザー自身がそのリスクを理解している

「大人であるわたしたちは、オンラインで行う取り引きについて決断を下し、そこでどんな情報を提供することが危険なのかを知っています。けれども、子どもはそんなことをまったく理解していません。子どもはそうした情報を共有することについて、意識的な選択ができませんから」とCCFCのモナハンは述べる。

こうした潜在的問題が判明したことで、マテルは大々的に宣伝していた製品の発売を中止せざるを得なくなった。同社のAIアシスタント「Aristotle」は、ベビーカーや子ども部屋向けのAmazon Echoのような製品として企画されていたが、プライヴァシーの懸念から10月に発売が中止された

玩具メーカーが考えを改めたとしても、ネット接続の玩具をオフにする時期が遅すぎたということはあり得るのだ。

  • このエントリーをはてなブックマークに追加

関連記事

話題をチェック

  1. 600x601x20170822nana.jpg.pagespeed.ic.u5ed1iTQeL-e5b3de5c391c8e3805df72a8cdb3da051ece71fa

    ANA、機内食総選挙2017の結果発表 和食は牛すきやき丼、洋食はビーフシチューとオムライス

    Sponsored link  機上ӗ…
  2. MIT-Instant-Retouch-TA-12db540ca97a6020f2db78ca5b27647ac89d2f28

    機械学習を用いれば、写真が「撮影する前」からプロ仕様の美しさに──グーグルとMITがアルゴリズムを開発

    NEWS 2017.08.22 TUE 08:00マサチ&…
  3. GettyImages-496380034-e1503241697905-b18cea347ee2933a806af5a4adfa2f3d9569add1

    「世界共通のインターネット」を巡る、グーグルとカナダ最高裁との闘い

    NEWS 2017.08.21 MON 07:00カナダ&…
ページ上部へ戻る