子ども向けスマート玩具にセキュリティ上の脆弱性が発見される

この脆弱性により、ハッカーはロボットシステムを操作して、保護者の同意なしに子供とビデオチャットを行うことが可能です。さらに、このロボットシステムの適用に伴うリスクは、子供の名前、性別、年齢、さらには位置情報といった個人情報の盗難など、他の危険も引き起こします。

これはAndroid搭載の子供用おもちゃロボットで、カメラとマイクを搭載しています。人工知能（AI）を活用して子供を認識し、名前を付け、子供の気分に合わせて自動的に反応を調整します。そして、ロボットは時間の経過とともに子供を理解していきます。ロボットの機能を最大限に活用するには、保護者がモバイルデバイスに制御アプリケーションをダウンロードする必要があります。このアプリケーションを使用すると、保護者は子供の学習プロセスを監視したり、ロボットを介して子供とビデオ通話したりすることができます。

セットアップ段階では、保護者はロボットをWi-Fi経由でモバイルデバイスに接続し、その後、子供の名前と年齢をデバイスに入力するよう指示されます。しかし、カスペルスキーの専門家は、懸念すべきセキュリティ上の問題を発見しました。子供の情報を要求するアプリケーションプログラミングインターフェース（API）に認証機能が欠けているのです。これは、ユーザーのネットワークリソースへのアクセス権限を持つユーザーを確認するための重要なチェック機能です。

これにより、サイバー犯罪者がネットワークのアクセス頻度を傍受して分析することで、子供の名前、年齢、性別、居住国、さらには IP アドレスなど、さまざまなデータを傍受して盗むリスクが生じます。

この脆弱性により、攻撃者は保護者のアカウント同意を完全に回避し、子供とのライブビデオ通話を開始できます。子供が通話を承認した場合、攻撃者は保護者の許可なく子供と密かに情報を交換できます。この場合、攻撃者は子供を操り、家から誘い出したり、危険な行動をとらせたりすることが可能になります。

さらに、保護者のモバイルデバイス上のアプリのセキュリティ上の問題により、攻撃者がロボットを遠隔操作し、ネットワークへの不正アクセスを行う可能性があります。ブルートフォース攻撃を用いてOTPパスワードと無制限のログイン試行回数を回復することで、攻撃者はロボットを自身のアカウントに遠隔接続し、所有者によるデバイスの制御を無効化することが可能です。

Kaspersky ICS CERTのシニアセキュリティ研究者、ニコライ・フロロフ氏は次のように述べています。「スマートトイを購入する際には、娯楽性や教育的価値だけでなく、安全性やセキュリティ機能も考慮することが重要です。価格が高いほどセキュリティが高いという認識が一般的ですが、最も高価なスマートトイであっても、攻撃者が悪用できる脆弱性から完全に逃れられるわけではないことに留意する必要があります。そのため、保護者はおもちゃのレビューをよく読み、スマートデバイスを常に最新バージョンに更新し、お子様の遊びを注意深く見守る必要があります。」