「米国史上最大の民間監視ネットワーク」と呼ばれるビデオドアベルメーカーのRing(リング)が、新しい、しかし長い間待ち望まれていたセキュリティとプライバシー機能のロールアウトを開始した。
Amazon傘下の同社は、2019年末にハッカーがRingのユーザーアカウントに侵入し、自宅にいる子どもたちに嫌がらせをするというアカウント侵害が相次いで発生し、評判を落とした。その後、Ringの脆弱なセキュリティ対策を利用してハッカーらはオーダーメイドのソフトウェアを開発し、その時点ではユーザーのパスワードでしか保護されていなかったRingアカウントのパスワードをブルートフォース攻撃した。その間、Ringのユーザーパスワードのキャッシュが、ダークウェブ上にいくつか出回っていた。Ringは当初、ユーザーが脆弱なパスワード(「password」や「12345678」など、同社がユーザーにパスワードとして設定することを許していたもの)を使用していたことを非難し言い訳にしていたが、数ヵ月後、企業としての不備を認め、テキストメッセージによる必須の2ファクタ認証を導入した。これは、アカウントハイジャックをわずかではあるがより困難にし、自動化された攻撃の大部分を抑制することを目指す良いスタートだった。
しかしこれから、Ringはさらに一歩進んで、多くの企業がすでに提供している(そしてだいぶ前からそうしている)アプリベースの2ファクタ認証を提供開始する。傍受される可能性のあるテキストメッセージに比べ、暗号化された接続を使用して確認コードをはるかに安全に配信できるためだ。
Ringはさらに、CAPTCHAをアプリ内で有効にし、ユーザーにロボットではないことを証明してもらうことで、自動ログインをより困難にするための新たなハードルを追加する。
また、Ringが2021年初めにテクニカルプレビューとして公開した、ビデオのエンド・ツー・エンド暗号化の開始も発表された。Ringが最も誇示している(が、大いに物議を醸している)機能の1つは、ユーザーがビデオ映像をRingと提携している1800以上の地域警察と直接共有できることだ。とはいえ、警察は捜索令状があれば、代わりにRingから映像を要求することもできる。ビデオのエンド・ツー・エンドの暗号化により、Ringのデバイスで撮影されたビデオにアクセスできるのはアカウントの所有者だけになり、Ringやそのパートナーである警察はアクセスできなくなる。
関連記事
・防犯カメラのRingがビデオのエンドツーエンド暗号化を今年中に導入
・アマゾン傘下Ringが警察に映像を取得されたユーザー数についての情報開示を拒否
同社のCTOであるJosh Roth(ジョシュ・ロス)氏はブログ記事の中で、Ringは「誰が自分のビデオを見るかは、お客様がコントロールすべきである」と考えている、と述べている。もしそれが本当なら、Ringはすべてのユーザーにエンド・ツー・エンド暗号化を適用し、すべてのアカウント所有者にデフォルトでプライバシーを与えるはずだ。しかしそれでは、警察とのパートナーシップを拡大し、そのパートナーシップを通じて地域住民にRingデバイスを普及させようとしている同社の取り組みに支障をきたすことになる。
これまでのセキュリティアップデートが十分な効果を上げていなかったのに比べ、Ringの新機能は意味のある変更であり、ユーザーにとっては自分のアカウントをより安全にし、データを保護するための選択肢を得られるものだ。しかし、ここでのキーワードは「選択」である。なぜなら、ユーザーは新機能を利用するためにオプトインする必要があるからだ。これ自体は珍しいことではない。企業はユーザー体験に摩擦が生じることを恐れるため、ユーザーにセキュリティ上の変更を強要することはめったにないが、セキュリティ管理が不十分なためにアカウントがハッキングされた場合、そこからの回復は間違いなくもっと大きな問題だ。
アプリベースの2ファクタ認証への切り替えは簡単で、Ringのアカウント設定を開き、テキストメッセージで送られてくる確認コードを認証アプリ経由のコードに切り替えるだけだ。なぜそれが重要なのか、なぜアプリを使わなければならないのか、どのアプリを使うのがいいのかについては、以前こちらの記事で解説した。
しかし、Ringユーザーが今回できる最大の変更は、Ringコントロールセンターの詳細設定で、アカウントのエンド・ツー・エンド暗号化をオンにすることだ。エンド・ツー・エンド暗号化をオンにすることで、アカウントでできることが制限されたり、友人や家族、警察とビデオ映像を共有できなくなったりすることはないが、自分のデータやそれを何に使うか管理するのはRingではなく、自分がコントロールしているという安心感を得ることができる。
関連記事:アマゾン傘下Ringの近隣住民監視アプリ「Neighbors」にバグ、投稿者の位置情報や住所に流出の可能性
カテゴリー:セキュリティ
タグ:Ring、アマゾン、アップデート
画像クレジット:Ring / file photo
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)