いわゆるスマート玩具が、最も基本的なセキュリティ要件を満たしていないという事態は、年々深刻化しているようだ。Which? は、今年のクリスマスに子供たちとおしゃべりするために使える、悪質な詐欺の数々を発見した。
2017年、消費者団体はネットワーク接続、アプリ、その他のインタラクティブ機能に関連するセキュリティ上の問題のある玩具を発見しました。最新のテスト結果では、メーカーが基準の改善に苦慮していることが示されています。
Which? はセキュリティ研究者 NCC Group と協力し、Bluetooth の通信範囲内を通過する人の音声を送信できるカラオケ機器を発見しました。これは、接続が安全でないことが原因です。また、VTech のトランシーバーも発見しました。このトランシーバーは、同様の機器を所有する人であれば誰でも 200 メートルの範囲で接続できます。さらに、マテル社が支援するゲームポータルも発見しました。このポータルはモデレーションされていないようで、ユーザーが子供向けではないコンテンツを含むゲームをアップロードできる状態でした。
オオハシがゲームをする:しゃべるおもちゃの鳥がハッキングされる
続きを読む
コンサルタント会社ペンテストパートナーズのセキュリティ研究者ケン・マンロー氏は、Which? が明らかにした脆弱性が悪意ある人物によって子供と接触するために利用されなかったという証拠はないものの、最低基準を満たしていないおもちゃには親が注意する必要がある、と述べた。
「こうした攻撃のニュースが耳にしないのは、それが地域限定だからだ。一度に被害に遭うのは、一人の親だけだ。それでも心配か? ええ、このシステムが安全でないというのは、ちょっと気が引ける」と彼は言った。
英国のデジタル・文化・メディア・スポーツ省は今年初め、消費者がデバイスを安全に構成する負担を取り除き、代わりに強力なセキュリティが設計段階から IoT デバイスとサービスに組み込まれるようにすることを提唱した 2018 年のレポートを受けて、業界協議を開始しました。
2017年、Which?とドイツのStiftung Warentestは、同じくセキュリティ保護されていないBluetooth接続を提供するi-Que Robotについて懸念を表明した。マンロー氏は、メーカーがセキュリティ意識や基準の向上を示すのに苦労していることに驚きはないと述べている。
「子ども用追跡ウォッチに関する、もっとひどい脆弱性が見受けられ、ハッカーが何千人もの子どもをリアルタイムで遠隔から追跡できる可能性がある」と同氏は語った。
英国の規制はまだ策定中であり、悪評もほとんど影響を及ぼしていないが、カリフォルニア州で施行される法律では、メーカーに対し、最初から製品設計にセキュリティを組み込むよう強制する可能性が高い。
2020年1月1日より、上院法案327号により、カリフォルニア州の消費者向け製品には合理的なセキュリティ対策が義務付けられます。カリフォルニア州は市場規模が大きく、世界的なテクノロジー産業とメディア産業が集積していることから、この法案はスマート玩具の製造に大きな変化をもたらすとマンロー氏は述べています。「これは製造業に大きな影響を与えるでしょう。カリフォルニア州で商品を販売したいのであれば、安全でなければなりません。その効果が波及し、英国での生産も向上するでしょう。」
Which? の調査に対し、VTech の広報担当者は、通信に業界標準の AES 暗号化を使用する VTech KidiGear トランシーバーは安全であると消費者は安心できるはずだと述べた。
「ペアリングは単一のデバイスから開始することはできません。接続するには、両方のデバイスが30秒以内に同時にペアリングを開始する必要があります。また、ペアリング済みの端末と既にリンクされている場合は、追加の外部端末とのペアリングはできません」と広報担当者は述べています。
一方、Which? の調査にも関係があるとされたインタラクティブ玩具「Sphero Mini」のメーカーである Sphero 社は、強調された機能は教室や家庭で教師や保護者の監督の下で使用することを想定した Sphero Edu アプリに関連していると述べた。
レジスター紙はシンギング・マシーンとマテルにコメントの機会を与えたが、両社とも今のところ返答していない。®
