2017年03月04日

ぬいぐるみから情報流出

不用意なIoTは危ないですね。先日は医療機器でしたが、cloud petでの情報流出もありました。icon95

インターネットに接続して、親子で音声メッセージをやりとりできる玩具から、ユーザー80万人あまりの情報が流出していたことが分かったとして、セキュリティ研究者が調査結果を公表した。この玩具を使って交わされた、親子間の会話200万件あまりも流出した可能性があるといい、同じような脆弱性は他の玩具にも存在するかもしれないと警告している。

 問題が報告されているのは玩具メーカーの米Spiral Toysのぬいぐるみ「CloudPets」。離れた所にいる家族がスマートフォンのアプリを使ってCloudPets経由で子供と音声メッセージをやりとりできる。

 この玩具からの情報流出に関する調査結果は、セキュリティ研究者のトロイ・ハント氏らが2月28日に公表した。それによると、CloudPetsのユーザー情報は認証なしでアクセスできる公開ネットワーク上のMongoDBに保存され、Shodanで検索できる状態になっていたことが判明。ここから大量のユーザー情報が流出していたことが分かった。

 ハント氏がたまたま米国で開いていたセキュリティワークショップの受講者の中に、CloudPetsのアカウントを持つユーザーがいて、このユーザーの電子メールアドレスや娘にCloudPetsをプレゼントしたクリスマスの日のタイムスタンプ、Bcryptでハッシュ化されたパスワードなどの情報が、流出したデータの中に含まれていることを確認したという。

 ハント氏にこの情報を提供した人物は、CloudPetsのサポートに何度も接触を試みたが、同社から返答はなかったそうだ。

  パスワードにはBcryptハッシュが使われていたものの、非常に短い文字列や安易なパスワードが大多数を占めることから、簡単にパスワードをクラッキングしてアカウントにログオンし、記録された音声を引き出すことができる状態だったとハント氏は指摘。既にこの問題を見つけてデータを引き出していた人物は多数いると推定し、「親子の親密な会話が何人もの手に渡っていたと思われる」という。

 さらに詳しく調べた結果、MongoDBにあるCloudPetsのデータが何度も不正アクセスされた後に削除され、複数回にわたって身代金を要求されていた形跡も見つかった。MongoDBについては同じような形で不正アクセスされ、身代金を要求される被害の続出が報告されているそうだ。

 つながる玩具を巡っては、ドイツで販売されていたおしゃべり人形の「Cayla」について、子供との会話が外部に流出する恐れがあるとして、販売が禁止された事例もある。「ほかにも多数のつながる玩具に深刻な脆弱性が存在しているのは間違いない。必然的に、一部は既に不正アクセスされ、メーカーや保護者の知らないうちにデータが盗まれているかもしれない」とハント氏は警鐘を鳴らしている。

博多弁当 はつ花
web担当

人気が出てきたお弁当
しら雪





タグ :IoTCloudPets

同じカテゴリー(電子機器)の記事
AMD
AMD(2020-05-28 08:52)

洗濯乾燥機の埃取り
洗濯乾燥機の埃取り(2020-03-28 08:18)


Any comments are welcome. Your comments are displayed after permission.
上の画像に書かれている文字を入力して下さい
 
<ご注意>
書き込まれた内容は公開され、ブログの持ち主だけが削除できます。

過去記事
オーナーへメッセージ
アクセスカウンタ
最近の記事
最近のコメント
カテゴリ
< 2020年09月 >
S M T W T F S
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      
QRコード
QRCODE