カメラ付き無線バイブに覗き見を許す脆弱性。近所にプライバシーをご開帳

最近はあらゆるものがスマート機能を備えつつありますが、それが何であれネットに接続するなら気をつけなければいけないのがセキュリティです。絶対に他人の目に触れるはずのない道具がネットワーク機能をそなえ、しかも脆弱性を含んでいたとしたら、知らない間に自分のプライバシーを公開してしまっている可能性もありえます。

英国のセキュリティ企業Pen Test Partnersは「Svakom Siime Eye」と称するWiFi対応バイブレーターが、セキュリティ的にガバガバな状態で出回っていることを発見しました。

報告によると、Siime Eyeは自らがWiFiアクセスポイントとして機能する仕組みを備え、さらに接続のためのデフォルトパスワードが「88888888」という簡単に想像できるものになっていたとのこと。

さらにWiFi接続後に表示されるSiime Eye内蔵のウェブサーバーにはユーザー名「admin」およびパスワードなしでアクセスできることも判明しました。

ただネットワーク接続ができるだけならまだ良かったのですがそこは大人向け玩具、けしからんことにその先端部分にはカメラが備え付けられ、これまたけしからんことにアクセスポイントに接続したスマートフォンやブラウザーからはそのカメラの映像を見ることができます。

つまり、このSiime Eyeで楽しんでいる人たちは、知らない間に(電波の届く)お隣さんやお向かいさんたちをも楽しませていたかもしれないわけです。また世間のWiFi電波を拾ってまわるウォードライビングの手法を用い、Siime Eyeの電波を選別、覗き見て回る輩が現れる可能性もないとはいえません。

Pen Test Partnersはこの製品のメーカーに対し、数か月にわたってコンタクトを取ろうとしました。しかし応答が得られなかったため、情報の公開に踏み切ったとしています。Siime Eyeは日本でもAmazonなどで入手が可能です。もしも手元にある、毎晩使っているという人がいるのなら、今後の取り扱いについてよくご検討されることをおすすめします。

ちなみにSiime Eyeにかぎらず、ユーザーの意図しない情報をうっかり公開してしまっている大人の玩具の事例はたくさんあります。たとえば「We-Vibe」なる製品はユーザーの「非常にセンシティブな情報」を収集してメーカーのサーバーに送信していたとして、集団訴訟にまで発展していました。

また一般向けの製品でも、たとえばドイツでは音声応答機能付きの女児向けIoT人形「ケイラ」が、室内の会話をマイクで拾い、インターネット経由でサーバーに送信していたため発売禁止になったケースがありました。そういえばこのケイラの脆弱性を最初に報告したのも今回と同じPen Test Partnersでした。