Ankerが「Eufy」のセキュリティカメラで映像が適切に暗号化されていなかったことを認め欠陥を修正したと報告

by Focal Foto

中国に本拠を置くAnkerが、家電ブランドである「Eufy」のセキュリティカメラにおいて、撮影した映像がエンドツーエンドで暗号化されていなかったことを認めました。すでに暗号化の問題は修正されており、今後はEufyの慣行を監視するために外部のセキュリティ企業と提携することや、公式のバグ報奨金プログラムを立ち上げることも報告しています。

Anker finally comes clean about its Eufy security cameras - The Verge
https://www.theverge.com/23573362/anker-eufy-security-camera-answers-encryption

Anker Admits Eufy Cameras Did Not Offer End-to-End Encryption as Promised, Pledges to Do Better - MacRumors
https://www.macrumors.com/2023/01/31/anker-eufy-camera-security/

Anker admits that Eufy cameras were never encrypted | AppleInsider
https://appleinsider.com/articles/23/01/31/anker-admits-that-eufy-cameras-were-never-encrypted

Eufyのセキュリティカメラはユーザープライバシーを重視しているとうたっており、撮影した映像はエンドツーエンドで暗号化されると説明していました。ところが2022年11月、Eufyのセキュリティカメラがユーザーの同意なく映像のサムネイルをクラウドにアップロードしていたことや、ユーザーがEufyのWebポータルからアクセスできるストリーミング映像は暗号化されておらず、映像をメディアプレイヤーのVLCで再生できたことなどが発覚しました。

Anker・Eufyブランドのセキュリティデバイスがユーザーの同意なくコンテンツをクラウドにアップロードしていたことが判明 - GIGAZINE

その後も、Eufyのウェブサイトからプライバシーに関する文言が削除されていることが報じられたり、謝罪の声明が「用意された文章で、消費者にとって重要な疑問に答えていない」と批判されたりしています。

Ankerの「Eufy」がプライバシー問題で謝罪声明を発表するも「論点があっていないテンプレ回答」と批判されてしまう - GIGAZINE

一連の問題を報じてきた海外メディアのThe Vergeは、この件についてAnkerが論点そらしを続けてきたことを非難し、2022年のクリスマス前に「このまま筋の通った回答が得られなければ、Ankerのコミュニケーションの欠如について記事を公開する」と最後通告を送ったとのこと。その結果、Ankerのグローバルコミュニケーション責任者であるEric Villines氏から、Eufyのセキュリティカメラがネイティブでエンドツーエンド暗号化を提供していなかったことを認める声明が届いたと述べています。

Villines氏は、Eufyのセキュリティカメラのライブストリーム映像を再生する方法には、「Eufyセキュリティアプリ」と「EufyのWebポータル」の2つがあると説明。このうち、アプリでは映像が暗号化されていましたが、Webポータルではログインしたユーザーがブラウザの開発者ツールを使用して映像のリンクを見つけ、外部のユーザーと共有してセキュリティシステムの外部で映像を再生できたそうです。

AnkerはユーザーがWebポータルでデバッグモードに入ることを禁じ、コードを難読化したほか、アプリだけでなくWebポータルでも映像のエンドツーエンド暗号化を実装したと報告しました。Villines氏は声明で、「ビデオストリームのコンテンツは暗号化され、VLCなどのサードパーティーのメディアプレイヤーで再生できなくなりました。ただし、eufy.comのセキュアなWebポータル機能を利用しているのは、現在のデイリーユーザーの0.1％に過ぎないことに留意する必要があります。ほとんどのユーザーはライブストリームを見るためにEufyセキュリティアプリを使用しています。いずれにせよ、当社のWebポータルにはいくつかの問題がありましたが、その後解決されました」と述べました。

Villines氏はThe Vergeとのやり取りで、一連の問題はデータ漏えいや各国のデータ保護法に違反するものではなかったものの、Ankerは製品の包括的なセキュリティリスクを評価して潜在的な問題に対処するため、いくつかのセキュリティ企業と提携する予定だと回答しています。また、著名なセキュリティ専門家と話し合い、セキュリティとプライバシーに関する独立したレポートの作成を進めているほか、脆弱(ぜいじゃく)性発見に役立つ「Eufyセキュリティ報奨金プログラム」を外部ベンダーと協力して立ち上げる予定だと報告しています。

なお、The Vergeの「Anker/Eufyは暗号化されていないストリーミング映像を送信したことを謝罪していないのではありませんか？」という質問に対し、Villines氏は「謝罪の際には、何が起こったのか、そして二度とこのようなことが起こらないようにするための是正措置について、より詳しく説明する必要があります」と返答。Ankerは2023年2月初旬にユーザーへいくつかの最新情報を提供し、一連のプロセスについて説明する予定だそうで、「その時、この詳細を透明性の高い形で示すことで、より心のこもった謝罪ができるはずです」とVillines氏は述べました。