英国のセキュリティ企業Pen Test Partnersは先日、子供向けスマートウォッチから送信された位置情報が、非常にずさんなセキュリティ状態で、ウェブ上に置かれているのを発見した。そこでは、3万5000名以上の子供の位置情報が閲覧可能になっていたという。
子供向けスマートウォッチのセキュリティ問題が報じられるのは、今回が2回目だ。2017年10月に、ノルウェー消費者委員会(Norwegian Consumer Council)が子供向けの4つのスマートウォッチに関する調査結果を発表し、そのうちの3つにセキュリティの問題があると報告した。
その後、問題のスマートウォッチの製造元はデバイスの更新を行い、セキュリティを高めたと宣言していた。
しかし、Pen Test Partnersが今回、改めて調査を行ったところ、以前に問題を起こしたメーカーのデータベースが、今でも非常にずさんな管理体制であることが判明した。
同社のリサーチャーによると、親たちが子供の位置情報を把握するためのデータベースが、外部から簡単にアクセス可能になっていたという。Pen Test Partnersによると、データを格納したサイトにアクセスした際、パラメーターの値を2からゼロに変えるだけで、管理者権限で全データを閲覧できたという。
この脆弱性を発見したVangelis Stykasは「全ユーザーの全てのデバイスのデータが閲覧可能で、名前をリスト化したり変更を加えることも可能になっていた」と述べた。子供の現在の位置情報が知られるだけでも恐ろしいが、さらに酷いのは、このデータは特定の子供の行動履歴を詳細に把握することが可能になっていた点だ。
ここから得たデータを、ネットに流出済みのメールアドレスなどと組み合わせれば、特定の個人をターゲットとした、フィッシング攻撃を行うことが可能になる。例えば、子供の通学路の詳細なデータを添付した、脅迫メールを親に送りつけるサイバー犯罪者が現れることも想定できる。
ただし、そのような最悪の事態は当座のところは回避できた模様だ。Pen Test Partnersが問題のメーカーに改善を命じたところ、その5日後には対策が講じられたという。
