インターネットに接続することで便利になる社会。その利便性や楽しさは、進化する一方だが、セキュリティに関する事例も増え続けていることを念頭に置いておく必要がある。英Sophosは、自社のオウンドメディアNaked Securityで多くの事例を取り扱い警鐘を鳴らしている。
Toys: they’re getting smarter, but are they secure?(SophosのNaked Securityより)
インターネットに接続された玩具。過去に発売されたおもちゃにインターネットの技術を搭載するだけで、機能が大きく広がる。会話や知識を与えてくれるしゃべる人形、調理方法をダウンロードして正しい使い方を教えてくれるキッチン玩具など、確かにおもちゃの世界でも楽しさや知識を増幅させてくれそうだ。夢も広がる。
しかし、Computerworld誌(UK)のセキュリティ関連の編集やネットワーク関連誌の編集や執筆に長く携わってきたJohn E Dunn氏はクリスマスを迎えるたびに、小売店の棚には大きく複雑で高価な"スマートな"インターネット接続型のおもちゃが増えているが、数年前にIoT技術が出始めて以来、電気おもちゃが関連したトラブルが増えている。その中身は変化しており、購入前に保護者は知っておくべきだと、親としてこれらに対する心構えのポイントを3つあげて解説している。
・おもちゃが収集する個人データのリスクは?
・直接乗っ取られる可能性はあるのか? それとも子供をスパイする可能性は?
・外部からの攻撃を実行するのに使われる可能性はどうか?
PCやスマートフォンなどと同様に個人データ関連が懸念される。2015年に起きた子供の写真やチャットのログなどを含む数百万人単位のデータが流出した香港の玩具メーカーVTechでの個人データ流出事故、や2017年の米国の玩具メーカーSpiral ToysのIoTぬいぐるみ「CloudPets」が攻撃され、220万件のボイスメッセージデータにアクセスされた事件を例に出している。技術的な問題はさておき、規約の変更やセキュリティ専門家の助言を軽視する点など情報の取り扱いに対する初期の姿勢が大きな流出に繋がっている点を指摘。アプリやオンラインサービスを扱うおもちゃの場合、契約条件などの事項を注意深く確認するよう訴えている。
また玩具の侵害可能性については、英国のペネトレーションテスト企業がBluetoothのセキュリティ設計の欠陥や安定していないファームウェアアップデートなどセキュリティがあまいスマートウォッチを筆頭に、盗聴可能な状態の脆弱なドローンなど、WiFiを搭載するおもちゃのうちプライバシーとセキュリティに懸念のあるものをリストにして公開した例などを挙げるが、玩具メーカーが問題を修正する保証もなく、そもそも問題に気がつくことすらないかもしれない。小売側がセキュリティの懸念がることで商品棚からおもちゃを除去することはしないだろうと述べ、2つ目のアドバイスとして、大人はおもちゃを購入前にそのおもちゃとメーカーについて検索することを提案している。
3つ目の、玩具が攻撃の踏み台として利用される可能性については2016年の「Mirai」ボットネットを思い出すべきだとJohn E Dunn氏は述べている。感染機器を遠隔で操作し、ターゲットへの大規模なDDoS(Distributed Denial of Service attack)攻撃をしかけるMirai。家庭用ルーターやネットワークカメラやPC端末とと比較すると、電源がオンである時間は短く処理能力やバッテリーも十分ではないが、見くびるのは間違いだという。子供のデータを収集する能力は日々強化されており、定量化したりモニタリングするのが難しくなっているとボットネット化する可能性も将来的には拭えないと予測。両親はこと子供に関する限り、"スマート"以外にもおもちゃはあるということを心にとめておくべきおくべきとし、"Lego anyone?"とブロックピースを積み重ねて巨大な造形物、さらにマインドストリームなどプログラミングや動力を使った高度な拡張も行える老舗玩具"LEGO"にかけて寄稿を締めている。
