中国の知育玩具メーカーVTechのサーバに11月初旬に不正アクセスがあり、約5万人の保護者と20万人以上の子供の個人情報が流出したと、米メディアMotherboardのロレンゾ・フランチェスキ-ビキエライ記者が11月27日(現地時間)、セキュリティ専門家のトロイ・ハント氏との共同調査に基いて報じた。VTechもこの報道の後、声明を出した。
クレジットカード情報は含まれていないが、盗まれたデータから、子どもの性別、誕生日、住所などを特定できるという。
VTechの声明文は、情報流出は認めているものの、影響を受けたユーザーの数やパスワードのデータが暗号化されていなかったことなどは開示していない。
ビキエライ氏が不正アクセスを行ったハッカーから流出データを入手し、ハント氏がこれを解析した。ハント氏によると、VTechのログインプロセスは暗号化されておらず、ユーザー名、パスワード、住所などの入力ページがSSLではない標準HTTPプロトコルになっている。また、子どものパスワードはプレーンテキストで、保護者のパスワードは非常に弱い暗号化でサーバに保存されていたという。
これらのパスワードは、Wi-Fi接続の玩具に「Learning Lodge」アプリストアから追加の教材をダウンロードするためのものだ。
VTechの玩具は日本でも販売されており、このアプリストアには日本からもアクセス・ダウンロードできるようになっている。
VTechのFAQページによると、影響を受けたデータベースには、米、カナダ、英国、アイルランド、フランス、ドイツ、スペイン、ベルギー、オランダ、デンマーク、ルクセンブルグ、中南米、香港、中国、オーストラリア、ニュージーランドの顧客データが含まれていたという。
ビキエライ氏は「ハッカーは今回、データを販売してもうけるつもりはないようだが、VTechは次回(の情報流出)はこれほど幸運ではないだろう」としている。
Copyright© 2015 ITmedia, Inc. All Rights Reserved.