アメリカの連邦取引委員会は、ずさんな設計のIoTデバイスと関連サービスがプライバシーにリスクをもたらすというあらゆる警告事例のケーススタディとしてアマゾンを取り上げ、その措置にかかる費用を、主張されている通り、わずか3,080万ドルとした。
規制当局は水曜日、米司法省を通じてアマゾンの企業2社をプライバシーに関するさまざまな問題で告発した。
ネット小売大手のRingホームセキュリティカメラ子会社は、「従業員や請負業者が消費者のプライベートビデオにアクセスできるようにし、基本的なプライバシーとセキュリティの保護を実施しなかったことで、ハッカーが消費者のアカウント、カメラ、ビデオを制御できるようにすることで、顧客のプライバシーを侵害した」と非難された。
FTCの訴状[PDF]には、「Ringの従業員とウクライナに拠点を置く第三者請負業者全員が、顧客のビデオ(すべて暗号化されずにRingのネットワーク上に保存されていた)にアクセスできるだけでなく、顧客のビデオを簡単にダウンロードし、自由に閲覧、共有、開示することもできた」と記されている。
この文書ではさらに、「カスタマーサービス担当者が問題のトラブルシューティングを行うために特定の顧客のビデオデータにアクセスする必要がある場合、同じカスタマーサービス担当者が、カスタマーサービスに連絡したことのない何千人もの顧客のビデオに自由にアクセスできる」と説明している。
もう一つの悪夢:「リング社の投光器カメラを担当するエンジニアは、屋外のデバイスからのビデオデータにアクセスする必要があったかもしれないが、そのエンジニアは顧客の寝室の内部の映像には無制限にアクセスできた。」
消費者保護団体によると、Ringのスタッフは個人情報の取り扱い方について訓練を受けていなかった。そして、一部のスタッフはそれをひどく悪用していたという。
FTCによると、この訴状には、ある従業員が「少なくとも81人の女性ユーザーの録画映像数千本を閲覧し」、「『主寝室』『主浴室』『スパイカメラ』などプライベートな空間を監視することを示唆する名前の付いたカメラを、好色な検索の対象とした」と記されている。
従業員は何か月もの間、リング社に気づかれることなく、毎日1時間以上もこの不快な作業に費やしていたとされている。
女性の同僚がこの行為を報告したところ、上司は「報告を無視し、エンジニアがこれほど多くのアカウントを閲覧するのは『普通』だと女性従業員に伝えた」とFTCは指摘した。
アマゾンは、アドホックWi-Fiを吸収するSidewalkメッシュをあらゆる種類のガジェットに開放します
続きを読む
「上司は、男性従業員が『可愛い女の子』の動画ばかり見ていることに気づいて初めて、不正行為の報告をエスカレートした。」
監視団体によると、リング社は2017年の事件を受けて、顧客サービススタッフの動画へのアクセスを一部制限したが、他の従業員は動画へのアクセスを維持したという。
FTCの訴状では、Ring社は自社のクラウドサービスがクレデンシャルスタッフィング攻撃やブルートフォース攻撃を受けやすいことを認識していたものの、そうした攻撃を阻止する対策をほとんど講じなかったとも主張している。その結果、米国を拠点とするRing社の顧客5万5000人のアカウントが侵害され、「悪意のある人物が消費者の自宅の個人空間の何十万ものビデオにアクセスした」ことになる。
FTCは、犯人らはユーザーのアカウントにもアクセスできたと指摘した。Ringデバイスはリアルタイムのメッセージングとコミュニケーションを提供するため、事態はさらに悪化する。アカウントに侵入した犯人らは、Ringデバイスを介して顧客とやり取りすることができたのだ。訴状には、「ベッドに横たわっていた数人の女性がハッカーの罵声を聞いた」と記載されており、「数人の子供がハッカーの人種差別的な言葉を浴びせられた」と記されている。
別の機会には、「ハッカーはカメラを通して、ある人物に母親を殺したと告げ、その後直接『今夜、お前は死ぬ』と脅した。」
- 音声アシスタントが失敗したのは、ユーザーを助けるというよりも、開発者に役立っているからだ。
- スワッティング容疑者、リングのドアベルカメラを破壊して警察に通報した罪で起訴
- Amazon、バッテリー駆動のRingデバイスにエンドツーエンドのビデオ暗号化を拡張
- 90以上の組織がSlackに対し、完全な暗号化に関して怠慢をやめるよう要請
苦情にはさらにひどい攻撃の詳細が記されている。性的な事件への言及を避けるため、13 ページと 14 ページは飛ばして読んでください。
我々は以前、悪意のある人物が被害者の Ring デバイスに侵入して自宅で彼らを脅迫したという話や、機器へのアクセスを悪用したために従業員が解雇されたという話を報じた。
苦情では、リングが利用規約とプライバシーポリシーで顧客の動画への広範なアクセス権を自らに与えていると顧客が警告されていたと指摘する一方で、これらの文書は「埋もれた半分しか説明されていない」ものであり、「ウクライナの何百人ものリング従業員とサードパーティの請負業者がライブストリームや保存された動画に自由にアクセスできることを人々に合理的に知る方法がない」と批判している。
FTCの苦情は、リング社の主なマーケティングメッセージは同社製品が安全性を向上させるというものだったが、同社の行為は製品がその逆の効果をもたらすことを意味したと指摘した。
アレクサ?私の子供たちを密告して
FTCは、Alexaデバイスのデータ保持ポリシーについてもAmazonを訴えた。
FTCは、「Amazonは、保護者が情報の削除を要求しない限り、子供の録音を無期限に保管していた」と主張した。「保護者が情報の削除を求めた場合でも、Amazonは子供たちの発言の記録をすべてのデータベースから削除しなかった」
アマゾンは、データの保持は、Alexaの基盤となるAIモデルをトレーニングし、子供の声の認識率を向上させるために必要だと主張した。
アマゾンにとって残念なことに、米国の児童オンラインプライバシー保護法では、13歳未満の子供のデータがどのように使用されるかを保護者に知らせることが義務付けられており、サービスを提供するために不要になったデータは削除される。
FTCは、この問題を解決するためにRing社に580万ドル(470万ポンド)を支払うよう命じる命令[PDF]を提案した。
アマゾンはまた、アレクサと子供たちに関する申し立てを解決するために2500万ドル(2100万ポンド)を支払うことにも同意した。
アマゾンの広報担当者は声明で、「アレクサとリングに関するFTCの主張には同意できず、法律違反を否定するが、今回の和解によりこれらの問題は解決した」と述べた。
アマゾンが最近発表した四半期決算では純利益が32億ドルと発表されており、同社は1日分の余剰現金でこうした少額の支払いを済ませることができるということになる。
しかし、FTC が述べたように、自宅で言葉による暴力を受けた不運な Ring 顧客が、Amazon の怠慢によって生じた醜い事件から立ち直るのにおそらく何年もかかるだろうということは、十分に考えられます。®
