おそらく時間を持て余している研究者たちは、フィッシャープライスのスマートおもちゃと、子供用のhereO GPSウォッチをめぐるセキュリティ上の欠陥を発見した。
幸いなことに、Metasploit biz Rapid7 のセキュリティ研究者によって発見された 2 セットの脆弱性は、影響を受ける両ベンダーによって対処され、修正されました。
それでも、玩具メーカーが工場出荷前はもちろん、設計図の段階から製品が出荷される前の品質管理段階でも欠陥を発見できなかったことで、インターネットやモバイル対応の機器や装置に関するセキュリティへの懸念が再び高まっている。
フィッシャープライスのWi-Fi対応デジタルぬいぐるみの認証処理が不適切だったため、攻撃者は子供の名前、生年月日、性別といった基本的な情報にアクセスし、アカウントデータを操作したり、ぬいぐるみの内蔵機能を乗っ取ったりすることが可能でした。攻撃者はインターネット上のデバイスのバックエンドサーバーに接続し、ほとんど抵抗なく必要な情報を抽出することができました。
Rapid7は、hereO Watch GPSプラットフォームのウェブサービス(API)に認証の脆弱性を発見しました。この脆弱性により、ハッカーがアカウントを家族のユーザーグループに追加できる可能性があり、子供の位置情報、履歴、プロフィールの詳細を確認したり、メッセージを送信したりすることが可能になります。
Rapid7のグローバルサービス担当マネージャー、マーク・スタニスラフ氏は次のように述べています。「消費者がベンダーに自発的に提供する個人データの量は、適切に保護・管理されていない場合、個人のプライバシーとセキュリティを危険にさらす可能性があります。個人の個人情報へのアクセス、家庭内のインターネット接続デバイス、そして子供との匿名でのやり取りの可能性は、IoTの成長において対処が必要な懸念事項です。」
フィッシャープライスのスマートトイ…影響を受けるおもちゃの一つ
「ベンダーがコネクテッド玩具の市場で革新を続けるにつれ、ユーザーのプライバシーと安全の確保にさらに重点を置く必要がある」と同氏は付け加えた。
スタニスラフ氏は、報告された問題へのフィッシャープライスとhereOの迅速な対応を称賛しました。他のIoT玩具メーカーも今回の事件から教訓を得て、製品に基本的なセキュリティ対策を組み込むよう努めるべきだと、Rapid7はアドバイスしています。
「過去6ヶ月間で、IoT玩具の脆弱性が多数公表されており、新しい玩具が市場に投入されるにつれて、この傾向は続くと予想しています」とスタニスラフ氏は付け加えた。「コネクテッド玩具、そしてIoTデバイス全般のメーカーにとって、開発段階でセキュリティを組み込むことの重要性は、いくら強調してもし過ぎることはありません。」®
