ここから本文です

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

3/24(金) 15:31配信

THE ZERO/ONE

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。

200万件以上の音声データがダダ漏れ

危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200万件以上の音声メッセージ」だった。驚くべきことに、それらのデータは認証制限がないままオンラインに晒されていたため、誰でも閲覧・聴取することができた。

IoTの玩具といえば、先日もインターネット接続の人形「My Friend Cayla」がドイツの連邦ネットワーク規制庁によって禁止された経緯をお伝えしたばかりだ。この禁止令は、ケイラが音声監視として悪用されかねないほど脆弱な製品であり、「子供が(あるいは子供のプライバシーが)危険に晒される可能性があると見なされたため」に発令されたものだった。また高度な会話を可能とするIoT人形「Hello Barbie」にもセキュリティを不安視する声が相次いでいるという話題を掲載した。

一方、今回の「CloudPets」の問題は、セキュリティの弱さが指摘されたのではなく「実際に」情報流出が起きた。このインシデントで危険に晒された情報には、子供の音声データも大量に含まれていたとなれば、メーカーの責任が問われるのは当然だ。しかし特に問題視されているのは、「あまりにお粗末だったデータ管理と、無責任すぎた対応」の部分である。いったい何が起きたのか?

「抱きしめられるメッセージ」

まずは問題の玩具「CloudPets」の機能について説明しよう。一言でまとめると、このヌイグルミは単に「インターネット経由で音声を送り、それを再生する玩具」だ。他にゲームや子守歌などのオマケ機能もついているが、基本的な機能はそれだけである。具体的な動作は、プロモーション動画を見ていただくのがいちばんだ。

https://www.youtube.com/watch?v=EcxNHgYUz6s

ご覧の通り、これは過去にお伝えした「Hello Barbie」や「My Friend Kayla」のように高度な技術を搭載したIoT玩具ではない。ずっと昔からある「音声を録音、再生できるオウムのおもちゃ」に、インターネット接続の送受信機能がプラスされたようなヌイグルミだ。

このCloudPetsを利用するには、音声を送る側も受け取る側も、AndroidかiOSの端末に「CloudPets App」という専用アプリをインストールしなければならない。双方が携帯端末を持っているのなら、わざわざヌイグルミを使わなくとも、ウェブカメラでお互いの顔を見ながら音声チャットをしたほうが良いのでは? と疑問に思われた方もいるだろう。

実は、この商品は「離れた人と会話できるヌイグルミ」ではなく「ハグできるメッセージ」という触れ込みで販売されている。まだ携帯端末を操作できない(もしくは与えられていない)幼い子供が、いつでも好きなときに愛する人のメッセージを聞き、抱きしめて一緒に寝られるのが特徴だ。家族愛を重んじる北米圏において、それは意外と受けるアイディアだったようで、米Amazonでもなかなかの高評価を得ている。ちなみにパニック・アット・ザ・ディスコの元ベーシスト、ダロン・ウィークスも昨年、自分の子供に買い与えたCloudPetsのテディベアを自分が愛用しているとツイートしていた。

CloudPetsで音声を送る仕組みは単純である。まず送信者が携帯端末のアプリでメッセージを録音する。その音声データはクラウドに送られ、受信者(子供と一緒にいる保護者)の携帯端末にダウンロードされる。受信者がそのデータをBluetoothでヌイグルミに送ると、ヌイグルミ本体のスピーカーから再生できるようになる。子供が返事を送りたいときは、逆の流れとなる(音声をヌイグルミで録音→保護者の端末→クラウド→相手の端末へ送られる)。この双方向の通信には「音声データの録音、収集、保管」がともなう。

音声データが「クラウドに」格納されるという点は、説明を読むまでもなく商品名から察しがつく。録音されたデータの安全性を気にする人であれば、「声を再生するだけの機能」のためにリスクを冒したくないと感じるだろう。だが、CloudPetsを子供に買い与えたいと考える保護者たちが、そのリスクを必ずしも理解しているとは限らない。

1/3ページ

最終更新:3/24(金) 15:31
THE ZERO/ONE