クラウドを通じてボイスメッセージを再生するクマのぬいぐるみが数百万件の録音データを漏洩

録音したメッセージをクラウドを通じて離れた場所にあるテディベアで再生できるIoTデバイスが、82万人以上のユーザーアカウントに保存されていた写真や220万件以上の録音データなどを含む個人情報を、誰でも閲覧可能な状態でクラウドサーバーに保存していたことが判明しました。

Troy Hunt: Data from connected CloudPets teddy bears leaked and ransomed, exposing kids' voice messages
https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/

Stuffed toys leak millions of voice recordings from kids and parents - Feb. 27, 2017
http://money.cnn.com/2017/02/27/technology/cloudpets-data-leak-voices-photos/index.html

セキュリティ専門家のトロイ・ハント氏がデータ侵害の情報をやり取りしているサークルの誰かから、子ども向けIoTデバイス「CloudPets」のユーザーアカウント情報を含むデータを受け取りました。ハント氏がこのデータを検証したところ、間違いなくCloudPetsに実在するユーザーのデータであることがわかったそうです。

CloudPetsがどのようなグッズなのかは、以下の公式ムービーを見るとわかります。

CloudPets Commercial - YouTube


CloudPetsはアプリやから録音したメッセージをテディベアなどのぬいぐるみから再生したり、テディベアに話しかけてボイスメッセージを返信したりできるというもの。

ムービーを見ればCloudPetsは「離れた場所で暮らすおばあちゃんと孫」などをターゲットユーザーにしていることがわかります。ハント氏によると、これらのユーザーはWi-Fiを使用するのに十分な知識を持っていますが、テディベアを通じて自分たちのメッセージがどのようにして再生されているか、ということまではわからないレベルの人だと話しています。

ハント氏が匿名でリークされたCloudPetsのデータを調査したところ、ユーザーのデータは認証不要で公開されているデータベース「MongoDB」に保存されており、IoTデバイスのデータ侵害を検索できる検索エンジン「Shodan」にインデックスされていたとのこと。

この情報をハント氏にリークした人物は82万人以上のユーザーデータが誰でも閲覧可能な状態であることを警告するべく、CloudPetsのサポートページ、サポートページに使われていたメールアドレスのWHOISレコードに登録されていた会社のメールアドレス、CloudPetsが使用しているプロバイダーなどから連絡を試みたそうですが、いずれも返事がなかったそうです。

セキュリティ専門家のNiall Merrigan氏は、MongoDBを通じて盗み出したデータを復旧させる代わりに1BTC(約13万8000円)を要求するというハッキングの手口について報告しているのですが、ハント氏は同様の身代金詐欺がCloudPetsのデータでも行われていることを確認しています。認証不要のデータベースには録音データや写真のほか、子どもの名前や生まれた月日(生年は含まれず)、子どもとメッセージを共有できる「友人リスト」および、友人リストの登録者の子どもとの間柄(父・母・祖父・祖母)などのプライベートな情報含まれていたとのことです。

すでにCloudPetsのデータベースは非公開になっていますが、CloudPetsのメーカーであるSpiral Toysは、ユーザーに対してパスワードの変更を求めるなどの対応を行なっておらず、これはアメリカでは法律に違反する可能性もあるとのこと。ハント氏は「私は通常、知り得た情報に関与する企業に連絡をとっていますが、CloudPetsからは何の返信もなく、無責任です。オンラインサービスを提供する企業は、誰かからの予想外のフィードバックについて考慮するべきです」と話しており、今回の件はしかるべき規制当局に通報する考えであると話しています。