子供用スマートウォッチのセキュリティ問題にみるIoTデバイスの選定基準とは

Dec 18, 2017
コンシューマのIoT

メイン画像

スマートウォッチが市場に投入されてからはや数年がたちますが、いまやこのウェアラブルデバイスは、大人だけではなく子供にとっても魅力的なIoTデバイスの1つとなっています。

通話機能しか備えていなかった電話がスマートフォンに進化することでさまざまな価値を新たに提供しているように、スマートウォッチも時計の機能は必要最低限のものとして備えながら、つながることで様々な情報を出入力し、新たな価値を利用者に提供します。SIM内蔵のスマートウォッチであれば、スマートフォンと同期を取ることなく、単体でメッセージをやりとりしたり、位置情報を活用したりといったことも可能です。

アプリをつかってメッセージをやり取りしたり、内蔵カメラで写真を撮ることができるスマートウォッチは、子供たちからみれば単なる新しいおもちゃの1つかもしれません。しかし、保護者の視点からすると、スマートウォッチはSOS発信機能や位置情報通知機能を使って子供を見守るセキュリティツールの1つとして役立つと同時に、スケジュール通知機能を使うことで子供の自立と行動を促すための教育ツールにも役立てられるでしょう。

ただし、どういった利用目的にしろ、これから子供たちにスマートウォッチの購入を予定しているのであれば、それは単なる時計やおもちゃではなく、ネットとつながり情報をやりとりするデバイスであることを忘れてはなりません。これは、「セキュリティ」や「プライバシー」の問題をひきおこす可能性のあるデバイスであることを念頭に、製品選定や利用法について十分な検討が必要であることを意味しています。

2017年10月、ノルウェー消費者委員会(Norwegian Consumer Council)とセキュリティ会社Mnemonicは、子供向けの4つのスマートウォッチに関する調査結果を発表し、そのうちの3つにプライバシーとセキュリティを侵害するおそれがある複数の脆弱性が確認されたことを報告しました。調査対象となったスマートウォッチのうちの1つは、世界中に35万もの利用者を有しています。また他の2つの製品も、複数のブランド名を冠して世界中で販売されています。これらのスマートウォッチはリアルタイムの位置情報追跡(GPSトラッキング)機能を備え、双方向で通話を行うことができます。

調査によれば、アプリ内に存在する脆弱性が2つのデバイスで確認されており、攻撃者がこの脆弱性を悪用すれば、現在および過去の位置情報や個人情報を確認したり、子供たちに直接連絡を取ったりすることが可能です。また、いくつかのデバイスでは、個人情報が暗号化されることなく、北米や東アジアのサーバに送信されていたことも明らかになりました。

このレポートでは、テストしたスマートウォッチの1つでSOS機能とスマートウォッチを装着した子供が特定のエリアを離れると送信される通知も、信頼性を欠くものであったことが報告されています。

さらに、一部のスマートウォッチではエンドユーザ使用許諾契約(EULA)やデータの扱いに関する説明が存在せず、収集した情報がどのように扱われるのかが不透明でした。さらにサービス上のユーザアカウントを消去する方法も存在していませんでした。先に言及した国外に暗号化されていない子供たちの位置情報が送信、保存される件も含め、これらはヨーロッパのデータ保護法や、消費者保護法に違反していると考えられると述べられています。

ノルウェー消費者委員会がノルウェーのデータ保護機関に伝えた情報に基づいて、スマートウォッチの輸入業者や製造元に通知が行われ、確認されたセキュリティ上の欠陥の一部にはすでにパッチが適用され、当該企業は機器のセキュリティ向上に取り組んでいるとのことです。

IoTの浸透とともに、インターネットで情報をやりとりする方法は、新たなテクノロジによって再定義されようとしています。これまで以上に大量かつ重要な情報が、利用者の意識しない所でやりとりされる状況が生まれています。利便性に目が向きがちなスマートウォッチなどのIoTデバイスには、様々なセキュリティリスクが潜んでいます。

スマートウォッチをはじめとするIoTデバイスを選定して身近な人に提供する際には、便利さや手軽さだけをポイントとするのではなく、セキュリティやプライバシーの観点で以下の9つのポイントを検討してください。

■ 保護者が知っておきたいIoTデバイス選定時の9つのポイント

1.個人情報

  • 個人情報の収集、保管、情報開示に関する定義など、デバイス製造元の個人情報取り扱いやプライバシーに関する方針を確認する。
  • アカウント連携の制御や、特定サービスからのデバイス内情報参照の禁止など、利用者側で制御できるプライバシー設定機能が十分かを確認する。

2.位置情報

  • 住所や子供の位置情報が第三者や不特定多数に閲覧されないように位置情報サービスの制御が可能かを確認する。

3.写真、および動画

  • 不要なときはオフにするなどカメラ機能を制御できるかを確認する。
  • 撮影したデータの保存先が制御できるかを確認する。

4.音声情報

  • デバイスのマイク機能がついていれば、設定でオフにできるかを確認する。
  • マイクによる録音機能で録音されたファイルがどこに保存されるか、また保存されないように設定できるかを確認する。

5.音声通話

  • 音声通話機能をオフにできるかを確認する。または、見知らぬ相手からの着信を制御できる機能があるかを確認する。

6.メッセージ交換

  • 見知らぬ相手からのメッセージ受信を制御できる機能があるかを確認する。
  • 保護者による受信相手や時間帯のフィルタリングが可能かを確認する。

7.生体情報

  • 生体情報の収集、保管、情報開示に関する定義など、デバイス製造元の個人情報の取り扱いやプライバシーに関する方針を確認する。
  • 仮に生体情報が開発元に送信される場合、その収集を拒否できる選択肢があるかを確認する。

8.クラウド上の情報送信・保管

  • データの保管方法と収集したデータの使用方法等、デバイスの開発元、およびデバイス内で使用するアプリの開発元がクラウドに情報を保管する仕組みについて確認する。
  • クラウドに情報を送信しないオプションが選べるかを確認する。

9.セキュリティアップデート

  • 自動プログラム更新など、利用者のセキュリティリテラシに依存しない脆弱性への対応機能が提供されていることを確認する。

つながりを増やすことの必要性、学習と娯楽のより多くの手段を子供に与えることのメリット、そしてプライバシーを守ることの重要性の間でバランスをとることが保護者には求められています。

そして子供に限らず、インターネットのセキュリティやリスクに関して理解の浅い利用者がIoTの価値を享受することは、今後ますます一般的になってくるでしょう。家庭内においても、IoTデバイスやサービスをセキュリティの観点でその妥当性を判断し、利用者に教育できるホームネットワークのセキュリティ管理者が求められる時代となってきています。

一般利用者のIoTセキュリティに関する理解向上のための情報発信については、下記のセキュリティ情報サイトも参考にしてください。

トレンドマイクロis702: 家庭内のネットセキュリティ

 

トレンドマイクロではホームネットワークを保護する各種ソリューションも提供しています。

トレンドマイクロのコネクテッドホームへの取り組み


This website uses cookies for website functionality, traffic analytics, personalization, social media functionality, and advertising. By continuing to browse, you agree to our use of cookies.
Continue
Learn moreprivacy policy