子供用タブレットから個人情報290万件流出 米議員ら調査要請

altanaka / Shutterstock

香港の玩具メーカーVTechのデータベースが不正アクセスされ、640万人の子供と480万人の保護者の個人データが流出した問題で、同社の株価は急落し、12月2日、今年の最安値をつけた。セキュリティ専門家らは、同社のキッズ用タブレット「InnoTab Max」に2点の脆弱性が検出されたことを明らかにした。VTechは「社内にセキュリティ対策チームが存在するのか」という質問に回答を拒否している。

セキュリティ企業Pen Test PartnersのKen Munroは、このタブレットの問題点は以前から知られていたため、原因を1日で突き止めることができたと述べている。問題はRockchip RK3168というプロセッサにあり、無料ツールの「rkflashtool」を使えば、誰でもタブレットのメモリからデータを盗むことが可能だという。
「このバグは2年以上も前から知られていた。VTechが子供たちの個人情報が流出する危険性があるにも関わらず、脆弱性の高いタブレットを販売し続けたことは批判されるべきだ」とMunroはPen Test Partnersのブログの中で述べている。

Munroはさらに、タブレット内のマザーボードにユーザーデータを保存するSDカードを発見した。SDカードは簡単に取り外せる状態だったという。「大切な個人情報が簡単に盗み取られてしまう。VTech社は、私たちの子供たちのデータを守るためにハードウェアのセキュリティ対策を講じる必要がある」と彼は書いている

Motherboardの報道によると、ハッキングで使われた技術は昔からあるSQLインジェクションであり、対策を講じていれば十分防げたものだ。また、子供の顔写真や親子間のチャット記録は暗号化されておらず、VTechのウェブサイトもSSLで保護されていなかった。親子の間で会話ができるアンドロイドアプリも脆弱な状態だったと言われている。

事態を重く見たエドワード・マーキー上院議員とジョー・バートン下院議員はVTechに質問状を送り、顧客を保護するための対策を問いただした。VTechは12月1日、アメリカ国内で290万人の子供の情報が流出したと発表した。
VTechは年商19億ドル(約2280億円)の大企業だが、社内にセキュリティ対策の専任者がいるのかという質問を繰り返し投げかけても、いまだに返答はない。

編集=上田裕資

タグ:

ForbesBrandVoice

人気記事