両親は子供たちの居場所を確認しようとGPS機能付きのスマートウォッチを買い与えるが、セキュリティー上の欠陥があると子供の居場所は赤の他人にも見られてしまう。
今年だけでも、研究者たちの手により子供の位置情報がトラッキングできる何種類ものスマートウォッチにいくつかの脆弱性が発見されている。しかし、米国時間12月18日に発表された新しい調査結果によると、数百万台ものセルラー対応スマートウォッチの機能を支える共用クラウドプラットフォームに深刻で有害な欠陥が内在しているという。
そのクラウドプラットフォームは、位置情報トラッキング機器の最大手メーカーである中国のThinkrace(シンクレース)で開発されたものだ。このプラットフォームは、Thinkrace製機器のバックエンドシステムとして働き、位置情報や機器からのその他のデータの保管と検索を行う。同社は、我が子の居場所を確認したい親たちに向けた、子供の位置情報をトラッキングできる自社製腕時計だけでなく、サードパーティー向けのトラッキング機器も販売している。それを購入した企業は、自社のマークを貼り付け、自社の箱に入れ替えて、自社ブランド製品として消費者に販売する。
直販されるもの再販されるものを含め、これらすべての機器は同じクラウドプラットフォームを使用しているため、Thinkraceが製造して顧客企業が販売したそのOEM機器はすべて脆弱ということになる。
Pen Test Partners(ペン・テスト・パートナーズ)のKen Munro(ケン・ムンロー)氏は、TechCrunchだけにその調査結果を教えてくれた。彼らの調査では、少なくとも4700万台の脆弱な機器が見つかった。「これは氷山の一角に過ぎません」と彼はTechCrunchに話した。
位置情報をリークするスマートウォッチ
ムンロー氏率いる調査チームは、Thinkraceが360種類以上の機器を製造していることを突き止めた。そのほとんどが腕時計とトラッキング機器だ。実際の販業者はラベルを貼り替えて販売するため、Thinkrace製品の多くは異なるブランド名になっている。「自分たちが売っている製品がThinkraceのプラットフォームを使っていることすら知らない業者も少なくありません」とムンロー氏。
販売されたトラッキング機器は、それぞれがクラウドプラットフォームと通信する。直接通信するのもあれば、再販業者が運営するウェブドメインがホスティングするエンドポイントを通して行われるものもある。調査チームは、コマンドがThinkraceのクラウドプラットフォームに送られることを突き止めた。彼らの説明によれば、これが共通の障害点だ。
調査チームによると、機器を制御するコマンドのほとんどは認証を必要とせず、コマンドの説明がしっかりついているので、基本的な知識のある人間なら誰でも機器にアクセスしてトラッキングができるという。また、アカウント番号はランダムではなく、アカウント番号を1ずつ増やすだけで大量の機器にアクセスできた。
この欠陥は、子供を危険にさらすばかりか、この機器を使う人全員にも危険が及ぶ。Thinkraceはスペシャルオリンピックスの参加者に1万台のスマートウォッチを提供したことがある。しかし、その脆弱性のために、アスリート全員の位置情報がモニターできたとはずだと調査チームは話していた。
子供の録音音声が漏洩する
ある機器メーカーがThinkrace製スマートウォッチの販売権を取得した。他の業者と同じくこの業者も、両親が子供の居場所を追跡できるようにし、両親が設定した範囲から出たときに警報を鳴らせるようにしてあった。
調査チームの話では、簡単に推測できるアカウント番号を1ずつ増やしていくだけで、この腕時計を装着しているすべての子供の居場所をトラッキングできたそうだ。
また、このスマートウォッチには、トランシーバーのように両親と子供とが会話できる機能もある。だが、その音声は録音され、セキュリティーの緩いクラウドに保存されていることを調査チームは発見した。その音声データは誰にでもダウンロードできてしまう。
TechCrunchは、ランダムに選んだ音声をいくつか聞いてみたが、子供たちがアプリを通して親に話しているのがよく聞き取れる。調査チームはこの調査結果を、インターネットに接続して遊ぶテディベアのようなおもちゃCloudPets(クラウドペッツ)に例えていた。2017年、そのクラウドサーバーは保護されていなかったため、200万人の子供たちの声が漏洩してしまったのだ。業者が販売したスマートウォッチを利用している親と子供たちは、およそ500万人いる。
情報開示のモグラ叩き
この調査チームは、2015年と2017年にも、複数のOEM電子機器メーカーの脆弱性を公表している。Thinkraceもそこに含まれていた。一部の販売業者は、そのエンドポイントの脆弱性を修正した。中には、脆弱なエンドポイントを保護する修正を行ったものの、後に元に戻してしまった業者もある。しかし大半は、単に警告を無視し、調査チームに彼らの調査結果を公表しろと促しただけだった。
Thinkraceの広報担当者Rick Tang(リック・タン)氏は、我々の質問に応じなかった。ムンロー氏は、脆弱性が広く悪用されているとは思えないが、Thinkraceのような機器メーカーは、より安全性の高いシステムの構築能力を「高める必要がある」と話している。そうなるまで、それらの機器を持っている人たちは使用を中止すべきだとムンロー氏は言う。
関連記事:スマート家電メーカーは見聞きした情報を政府に開示するのか?
画像クレジット:Getty Images
[原文へ]
(翻訳:金井哲夫)