昔のテレビ番組の言葉を借りれば、「笑ってください。」あなたはCandid Cameraに映っています。」しかし、インターネットカメラを販売する会社による緩いセキュリティを主張するFTCの訴訟によると、私生活をオンラインで監視されている何百人もの消費者にとって、微笑ましいことは何もなかった。
カリフォルニアに本拠を置く TRENDnet は、多くの購入者がセキュリティ目的、たとえば外出中の赤ちゃんや家や会社の監視に使用する IP カメラなどのテクノロジー機器を販売しています。ユーザーはカメラをセットアップして、別の場所からオンラインでライブフィードを視聴できます。しかしFTCは、「おっと」という事態があり、それは本当にとんでもない出来事だったと述べている。ソフトウェアの欠陥により、カメラのインターネット アドレスを持つ誰でもオンライン フィードを見る (場合によっては聞く) ことができました。
消費者への影響は仮説ではありませんでした。 FTC によると、あるハッカーがこの欠陥を公表したのは 2012 年 1 月だった。他の人が 700 台近くのカメラのライブ フィードへのリンクを投稿するのにそれほど時間はかからなかった。つまり、その気になれば誰でもベビーベッドの中の他人の赤ちゃんや他人の子供をこっそり見ることができたということだ遊んだり、ユーザーの家での日々の出来事など。
どうしてそうなったのですか? FTC によると、TRENDnet は安全なソフトウェアを開発および維持するための合理的な措置を講じていませんでした。デフォルトでは、TRENDnet はフィードにアクセスするためにユーザーにログイン資格情報 (ユーザー名とパスワード) を入力することを要求しました。しかし、同社のセキュリティ上の欠陥により、ハッカーがログイン資格情報を入力せずにカメラ フィードにアクセスできる Web サイトにアクセスできる「バックドア」が存在していました。さらに、ログイン資格情報が使用された場合でも、情報を保護するソフトウェアに無料でアクセスできたにもかかわらず、同社はインターネット上で明確で読みやすいテキストで送信していました。そのため、カメラはさらに脆弱になりました。問題をさらに悪化させたのは、同社がユーザーにログイン認証情報の要件をオフにする設定を提供していたことだ。 FTCは、それが良識ある消費者に印象を与えたと述べている。 彼らは 匿名でプライベートに見ているランダムなジョーではなく、誰が自分のフィードを閲覧できるかを制御していました。
TRENDnet は、モバイル デバイス経由でフィードを閲覧できるアプリも提供しました。これらのアプリは最初にログイン認証情報を必要としましたが、それをデバイスに保存することで、その後はユーザーがログイン認証情報を入力する必要がなくなりました。ここでもFTCは、同社が資格情報の保護に失敗し、平文で保存したため、さらなるセキュリティの抜け穴が生じたと主張している。
ああ、カメラの多くは「SecurView」という商品名で販売されており、南京錠の写真の横に「SECURITY」という言葉が書かれたステッカーが貼られていることについては触れましたか?
訴状によると、ユーザーのセキュリティを確保するために合理的な措置を講じたというTRENDnetの明示的および黙示的主張は虚偽であったという。これも誤りです。ユーザーが選択したセキュリティ設定を会社が尊重するという表現です。さらに訴状では、同社が行ったこと、しなかったことを総合すると、ライブフィードへの不正アクセスを防ぐための合理的なセキュリティを提供できなかったと主張している。これは不当な行為に当たるとFTCは述べている。
訴訟を解決するには、TRENDnet はデータを保護し、IP カメラだけでなく、インターネットにアクセスできる同社の製品への不正アクセスにつながる可能性のあるセキュリティ リスクに対処するために設計された包括的なセキュリティ プログラムを実装する必要があります。また、TRENDnet は今後 20 年間、隔年ごとに独立した第三者によるセキュリティ評価を受ける必要があります。さらに、消費者に問題について通知し、修正用のセキュリティ アップデートについて伝え、カメラのアップデートやアンインストールを支援するための 2 年間の無料技術サポートを提供する必要があります。
FTCは企業がこの和解から何を学ぶことを望んでいますか?インターネットに接続されたデバイスを販売する場合は、ユーザーのプライバシーとセキュリティを保護するために合理的な措置を講じてください。ハードウェア、ソフトウェア、またはその両方を販売する場合、ハッカーが悪用できる大きな穴のある製品を販売するのは賢明ではありません。さらに、製品やサービスに影響を与える可能性のある欠陥を発見するプロセスを整備します。 FTC の訴状によると、TRENDnet はオンラインでの自社製品に関する議論を積極的に監視しなかったため、問題を発見して即座に修正する機会が遅れたとのことです。
TRENDnet IP カメラを所有している場合は、会社のセキュリティ パッチが適用されていることを確認してください。他社から同様のカメラを購入した場合は、以下をお読みください。 IPカメラを安全に使用するために リスクを軽減するためのヒントをご覧ください。あなたもできます オンラインコメントを提出する 和解案について。締め切りは10月4日です。
ホームテクノロジーをテーマにしている間に、FTC のモノのインターネットワークショップの最新情報をチェックしてください。 2013 年 11 月 19 日、ワシントンDCにあります。
