スマートウォッチで不審者に子どもが追跡される

IoTセキュリティニュース

smartwatch.png

子どもが身に付けているスマートウォッチは、見知らぬ人にリアルタイムで追跡され、直接子どもに連絡されてしまう可能性がある- 2017年10月に発表されたレポートで、スマートウォッチやモバイルアプリの重大な欠陥が明かになりました。

ノルウェー消費者評議会(NCC)は、子ども向けのスマートウォッチとして販売されているGator 2、Tinitell、Viksfjord、Xploraの各デバイスに搭載されているセキュリティ対策について調査を依頼しました。すべての製品には電話の発信/受信、GPS追跡、連絡先リスト表示の機能がついています。加えて、メール送信、ボイスメール、ジオフェンシング*1、デバイスのシャットダウンをブロックするSOSボタンという機能まで様々なものがあります。

ITセキュリティ会社であるニーモニック社によって行われた技術評価では、アカウント登録処理から私的情報の送信・保管先に至るまでの驚くべき問題が明らかになりました。通常はアカウントを設定する前にユーザ同意書が表示されますが、この内容に問題があります。4製品のうち、Tinitellだけが登録時に同意を求めていますが、Gatorにはユーザ同意書がありません。また3製品は、ユーザの承諾を得ることなく個人情報を収集しマーケティングに使用しているため、欧州のデータおよび消費者保護法違反となります。

ニーモニック社は、不正な動作に対して警告を表示させることなく、Gator 2とViksfjordデバイスに侵入することができる複数の方法を発見しました。 同社はNCC向けの報告書で、「消費者が自分自身を守る方法はない」とし、「既にデータが収集されてしまっているため、使用を中止しても、時計の追跡とさらなるデータ収集を妨げるだけだ」と付け加えました。

さらに、これら2つのスマートウォッチは、デバイスからの位置データの操作を可能にする中間者(Man-in-the-Middle)攻撃*2に対して脆弱です。 その結果、攻撃者が子どもの位置を監視し、不正に操作して子どもが安全な場所にいるように見せかけることができます。 また、Viksfjordはユーザが操作することなく特定の電話番号へ通話を開始し、特定の電話番号をスパイガジェットに変換することができます。

NCCのレポートでは、ニーモニック社がテストした4つのデバイスのすべての問題点が指摘され、子どもの居場所を見守る両親の間に懸念をもたらしています。安心・安全を提供するどころか、子どものデバイスから第三者に個人情報を送信し、より多くの害を及ぼす可能性があることを示しています。たとえば、Gatorは情報を暗号化せず、平文で中国のサーバーに配信しています。

より深刻な懸念となっているのは、これらのスマートウォッチが複数の異なるブランド名で販売されていることがあるため、ユーザに危険をもたらすデバイスを正確に把握することが困難になることです。 消費者は購入するIoT製品が最低限のセキュリティ基準を満たしていることを確認し、責任の所在を把握しておくことが非常に大切になります。

*1 ジオフェンシング:仮想的なフェンス(柵)を作る仕組みのこと。GPSなどで取得できる位置情報を使って、利用者がこのフェンスで囲まれた領域に入ったことを判定し、コンテンツを表示するなどのマーケティング活動に利用される。

*2 中間者攻撃:通信している2人のユーザの間に第三者が介在し、送信者と受信者の両方になりすまして、ユーザが気付かないうちに通信を盗聴したり、制御したりすること。主にパスワードの不正取得やデータの盗聴などを目的として行われる。

画像著作権:ノルウェー消費者評議会(NCC)