子ども向けスマート玩具にセキュリティ上の脆弱性が発見される

この脆弱性により、ハッカーはロボットシステムを操作して、保護者の同意なしに子供とビデオチャットを行うことが可能です。さらに、このロボットシステムの適用に伴うリスクは、子供の名前、性別、年齢、さらには位置情報といった個人情報の盗難など、他の危険も引き起こします。

これはAndroid搭載の子供用おもちゃロボットで、カメラとマイクを搭載しています。人工知能（AI）を活用して子供を認識し、名前を付け、子供の気分に合わせて自動的に反応を調整します。そして、しばらくするとロボットは子供のことをよく理解するようになります。ロボットの機能を最大限に活用するには、保護者がモバイルデバイスに制御アプリケーションをダウンロードする必要があります。このアプリケーションを使用すると、保護者は子供の学習プロセスを監視したり、ロボットを介して子供とビデオ通話したりすることができます。

セットアップ段階では、保護者はロボットをWi-Fi経由でモバイルデバイスに接続し、その後、子供の名前と年齢をデバイスに入力するよう指示されます。しかし、カスペルスキーのエキスパートは、懸念すべきセキュリティ上の問題を発見しました。子供の情報を要求するアプリケーションプログラミングインターフェース（API）に認証機能が欠けているのです。これは、ユーザーのネットワークリソースへのアクセス権限を持つユーザーを確認するための重要なチェック機能です。

これにより、サイバー犯罪者がネットワークアクセスの頻度を傍受して分析することで、子供の名前、年齢、性別、居住国、さらには IP アドレスを含む幅広いデータを傍受して盗むリスクが生じます。

この脆弱性により、攻撃者は保護者のアカウント同意を完全に回避し、子供とのライブビデオ通話を開始できます。子供が通話を承認した場合、攻撃者は保護者の許可なく子供と密かに通信できます。この場合、攻撃者は子供を操り、家から誘い出したり、危険な行動を指示したりすることができます。

さらに、保護者のモバイルデバイス上のアプリのセキュリティ上の問題により、攻撃者がロボットを遠隔操作し、ネットワークへの不正アクセスを行う可能性があります。ブルートフォース攻撃を用いてOTPパスワードを復元し、無制限のログイン試行回数を制限できる機能を利用することで、攻撃者はロボットを自身のアカウントに遠隔接続し、所有者によるデバイスの操作を無効化することが可能です。

「スマートトイを購入する際には、娯楽性や教育的価値だけでなく、安全性やセキュリティ機能も考慮することが重要です」と、Kas​​persky ICS CERTのシニアセキュリティリサーチャー、ニコライ・フロロフ氏は述べています。「価格が高いほどセキュリティが高いという一般的な認識がありますが、最も高価なスマートトイであっても、攻撃者が悪用できる脆弱性から完全に逃れられるわけではないことに留意することが重要です。そのため、保護者はおもちゃのレビューをよく読み、スマートデバイスを常に最新バージョンに更新し、お子様の遊びを注意深く見守る必要があります。」