Iphone

Wyze社のデータ漏洩:240万人の顧客情報を漏洩させたサーバーミスから得られた重要な教訓

Wyze社のデータ漏洩:240万人の顧客情報を漏洩させたサーバーミスから得られた重要な教訓
シアトル地域のスタートアップ企業Wyzeは、低価格のビデオセキュリティカメラやその他のIoTデバイスを提供しています。(Wyze Photo)

12月29日午後6時に投稿を更新しました。

家庭用ビデオカメラやその他のモノのインターネット(IoT)デバイスを提供するシアトル地域の新興企業Wyzeは12月26日、顧客240万人の個人情報が漏洩したとされる「データ漏洩」の報告を受けたと発表した。

この問題は、「デバイスのアクティベーションや接続失敗率などの基本的なビジネス指標を測定するためのより良い方法を見つけるための新しい社内プロジェクト」から生じたと、Wyzeの共同創業者兼最高製品責任者であるDongsheng Song氏は同社の投稿に書いている。

「メインの運用サーバーから一部のデータをコピーし、より柔軟でクエリしやすいデータベースに格納しました」と彼は説明します。「この新しいデータテーブルは、元々作成時には保護されていました。しかし、12月4日にWyzeの従業員がこのデータベースを使用していた際にミスを犯し、このデータに対する以前のセキュリティプロトコルが削除されてしまいました。」

2017年にAmazonのベテラン社員グループによって設立されたWyzeは、低価格のカメラ、コンセントプラグ、電球、その他のスマートホームデバイスを提供しています。ワシントン州カークランドに拠点を置く同社は、ベンチャーキャピタルから2,000万ドルを調達しました。GeekWireはWyzeにコメントを求めて連絡を取りました。

Wyzeは、オリジナルのビデオカメラだけでなく、スマートプラグやその他のIoTデバイスにも事業を拡大しています。(Wyze Image)

Wyze の功績として、何がいつ、なぜ、どのように起こったのか、そして同社がそれに対してどのような対応をしているのかを非常に詳細に説明している。

Twelve Security の投稿によると、漏洩したデータには以下の内容が含まれているとのことです。

  • カメラを購入し、自宅に接続した人のユーザー名とメールアドレス
  • 家族など、カメラへのアクセスを共有したことがあるユーザーのメールアドレス
  • 家庭内のすべてのカメラのリスト、各カメラのニックネーム、デバイスモデル、ファームウェア
  • WiFi SSID、内部サブネットレイアウト、カメラの最終オン時間、アプリからの最終ログイン時間、アプリからの最終ログアウト時間
  • あらゆるiOSまたはAndroidデバイスからユーザーアカウントにアクセスするためのAPIトークン
  • AlexaデバイスをWyzeカメラに接続した24,000人のユーザーにAlexaトークンをプレゼント
  • 身長、体重、性別、骨密度、骨量、1日のタンパク質摂取量、および一部のユーザーのその他の健康情報

Wyze は元の投稿でそのリストを引用したが、「現在ベータテスト中の製品からでも、骨密度や毎日のタンパク質摂取量に関する情報は収集していません」と付け加えた。

この出来事を振り返ると、セキュリティとプライバシーに関する重要なポイントが 10 点あります。

1) 「責任ある情報開示」をめぐるもう一つの議論

Wyze社は、漏洩の通知を受けた経緯について率直に述べており、公表前に問題を軽減する時間はほとんど、あるいは全くなかった。ZDNetのCatalin Cimpanu氏は、この情報開示が「責任ある」ものであったかどうかについて、多くの人々(おそらくWyze社も含む)の感情を総括した。

https://twitter.com/campuscodi/status/1211123514981408769

これらは正当かつ合理的な懸念です。「情報開示戦争」においてよくあることですが、おそらく解決策は見つからず、双方の主張が再び対立することになるでしょう。情報開示を支持する側は、情報は数日間公開されており、情報を隠蔽することでリスクが長引くと主張するでしょう。反対する側は、ベンダーが行動を起こすには時間が足りなかったと主張するでしょう。いずれにせよ、今回の状況は、このような状況への対処方法について合意が得られない限り、情報開示戦争は続くことを示しています。

2) ワイズは迅速に対応した

Wyzeの功績と言えるのは、事態が発覚した途端、迅速に対応したことだ。同社の投稿には、「潜在的な侵害の兆候を察知したWyzeは、直ちに適切な開発者と幹部(CEOとCPO)を動員し、疑惑に対処した」と記されている。

さらに、「これは、Wyzeのすべてのユーザーアカウントがログアウトされ、再度ログインを強制されることを意味します(ブログ記事で主張されているように、ユーザートークンが侵害された場合の予防措置です)。ユーザーは、Googleアシスタント、Alexa、IFTTTとの連携を再リンクする必要もあります。」と付け加えています。

このレベルの対応と手順は、認証トークンの紛失に伴うリスクに対処する上で妥当です。ただし、これらの措置はユーザーに負担をかけるものでもあります。

最初の点に戻りますが、今回の対応がどの程度開示内容に起因するものなのかについては議論の余地があり、また議論されるでしょう。しかし、これらは使い勝手よりもセキュリティを優先した、適切かつ具体的な措置です。Wyzeはセキュリティ強化のためにユーザーのフラストレーションを負うリスクを負っているのです。

3) しかしWyzeはパスワードのリセットを強制していない

しかし、Wyzeが行っていないことの一つは、ユーザーにパスワードのリセットを強制することです。Wyzeはパスワードが盗まれたわけではないと主張していますが、確信を持つことはしばしば困難です。AmazonのRingをめぐる今回の事態から学ぶべきことがあるとすれば、それは、特にIoTデバイスに関しては、人々がパスワードを頻繁に使い回しているということです。パスワードのリセットを強制しないことは、顧客セキュリティ全体を向上させるための徹底的な対応の機会を逃すことになります。

4) これはリングの状況とは異なり、より深刻である

Ringは最近、「ハッキング」されたことで頻繁にニュースになっています。前述の通り、こうしたハッキン​​グの本質は、パスワードに依存することの本質的な弱点にあります。今回のケースは、Wyzeが保有するデータの漏洩であるため、状況が異なります。実際、パスワード情報さえも盗まれていないようです。

この場合、2 要素認証 (2FA) を使用していたとしても、データ侵害のリスクは依然として残ります。

Ring の件が、パスワードの再利用のリスクと、IoT のセキュリティ対策としてのパスワードの全体的な弱点を思い起こさせたとすれば、今回の侵害は、家庭内の IoT や健康関連デバイスで使用される種類のデータを失うことに伴うリスクを浮き彫りにしています。

5) IoTデータ侵害が何を意味するかを示している

IoTデバイスは、その性質上、私たちの最もプライベートな空間に深く浸透しています。特にカメラは、Ring事件への反応からもわかるように、私たちの最も保護されたパーソナルスペースへの大きな窓となっています。

この侵害で失われる可能性のある情報を見ると、IoT データ侵害が実際に何を意味するのかがより具体的にわかります。

特に、Wyze社は、損失データには「家庭内のすべてのカメラのリスト、各カメラのニックネーム、デバイスモデル、ファームウェア、Wi-Fi SSID、内部サブネットレイアウト、カメラの最終オン時間、アプリからの最終ログイン時間、アプリからの最終ログアウト時間」が含まれると指摘しています。

このデータは、現実世界の犯罪に有用な非常に具体的な情報を提供する可能性があるため、厄介です。人々は、デバイスが公に知られることを想定せず、自分を表すような名前を付けることがよくあります。例えば、子供部屋のカメラに「ベティの部屋」という名前を付ける人がいます。このような情報は、家の中に誰がいるのか、どこにいる可能性があるのか​​、そしてカメラがどこに設置されるのかといった情報を攻撃者に与えてしまう可能性があります。これらすべてが、悪意を持って家に侵入しようとする者にとって有用な情報となり得ます。

Wyze社が推奨していないことの一つは、ユーザーが社内Wi-FiのSSID名を変更し、カメラ名を変更し、場合によってはカメラの位置を変えることです。これらの対策を講じることで、情報が一般公開されるリスクを軽減できます。

6) IoTの健康データは非常に個人的なもの

公開されたデータのもう1つは、「一部のユーザーの身長、体重、性別、骨密度、骨量、1日のタンパク質摂取量、その他の健康情報」です。

Wyze社は、今回の情報漏洩はごく少数のユーザー、具体的には「140名の外部ベータテスター」にのみ影響すると強調しています。確かに、これはごく少数のユーザーです。しかし、漏洩した情報は非常に機密性が高く、非常に個人的な健康情報です。これは、IoTや健康機器で扱われているデータの性質を改めて認識させるものです。

7) キャピタル・ワンの侵害との類似点

Capital Oneのデータ侵害との類似点は顕著です。Wyze社によると、今回のケースでは「12月4日、Wyze社の従業員がこのデータベースを使用していた際にミスを犯し、このデータに対する以前のセキュリティプロトコルが削除されました。」

これはキャピタル・ワンで発生した事例と全く同じではありませんが、どちらのケースも、人為的ミスにより適切なセキュリティ保護が施されていないクラウド上のデータにアクセス可能でした。また、どちらのケースでも、監査と監視によって設定ミスが検知されなかったことも注目に値します。

これら2つの事例は、残念ながら、クラウドに展開すると、情報漏洩や侵害のリスクがしばしば増大することを改めて認識させてくれます。また、IT運用と実践の面では、クラウド展開における管理策や対策は、従来のオンプレミス展開ほど堅牢で成熟していないことがよくあります。

8) スピードは命取り

スタートアップにとっても、2つの教訓があります。1つは警告となるものであり、もう1つは潜在的にプラスとなるものです。

まず警告しておきますが、スピードは命取りです。

改めて、Wyze社は今回の件についてオープンに説明し、スタートアップ企業への明確なメッセージを伝えています。同社の投稿には次のように記されています。「Wyze社の急速な成長を管理するため、デバイスのアクティベーション率や接続失敗率といった基本的なビジネス指標をより効果的に測定する方法を模索する新たな社内プロジェクトを最近開始しました。主要な本番サーバーから一部のデータをコピーし、より柔軟でクエリしやすいデータベースに格納しました。」

ここではスタートアップによくある2つの出来事が起こりました。1つ目は、会社が突然の急成長を遂げたことです。2つ目は、成長の影響に対処するために迅速に行動したことです。

上で述べたように、この「迅速な移行」の最中、ある時点で、データを保護していたセキュリティが従業員によって削除されました。

Wyzeが急成長に伴う問題に迅速に対応できたのは素晴らしいことです。しかし、これはスピードが命取りになることもあることを改めて認識させられます。物事が急速に進み、十分な検証が行われていないと、ミスは起こり得ます。これはすべてのスタートアップが直面するリスクであり、意識しておくべきものです。

9) スピードはあなたを救う

もちろん、スタートアップにとって致命的なスピードは、同時に救いにもなり得ます。Wyzeの迅速な対応は、スタートアップが達成できるスピードの一例です。このスピードのもう一つのプラス面は、「2要素認証に加えて、ユーザーからの要望が多いセキュリティ機能の優先順位を高める」という声明に表れています。

これをRingの現状への対応と比較すると、その違いは歴然としています。Ringは、Ringデバイスのハッキング被害の報道を受けても、セキュリティ機能の大幅な改善計画を発表していません。一方、Wyzeは、ユーザーから要望のあった新しいセキュリティ機能の優先順位付けを見直すことを早期かつ公然と表明しています。

ここでもスタートアップにとってのもう一つの教訓は、スタートアップならではのスピードと機敏性を活用して、不利な状況を有利な状況に変えるために素早く行動することです。

10) データと中国に対する警戒的な反応

Wyzeは投稿の中で、同社が中国のAlibabaのクラウドにデータを送信しているという主張を明確に否定しました。投稿内の質疑応答は、この点を直接的に示唆しています。

Wyze がユーザーデータを中国に送信しているという主張には正当性がありますか?

WyzeはAlibaba Cloudを使用していません。記事で主張されているように、WyzeがAlibaba Cloudを使用しているという主張は誤りです。

同社は中国に従業員と製造業者を抱えているが、「Wyzeは中国や他の国の政府機関とユーザーデータを共有することはない」と付け加えている。

この主張がなされ、Wyzeが反論する必要性を感じているという事実は、もう一つの重要な点を示唆しています。それは、中国と関係のあるテクノロジー企業が中国にデータを保管している、あるいは中国政府とデータを共有しているという、いわば「マッカーシズム」的な示唆や主張が最近台頭しているということです。TikTokに関しても同様の示唆が見られました。

これは、企業がデータの保管場所について明確な情報を提供しない場合に、その空白を埋める可能性のある憶測の一種と言えるでしょう。数年前、特に欧州では、データが米国に保管され、愛国者法に基づく差し押さえの対象となる可能性を懸念する声が上がっていました。現在、人々はデータが中国に保管され、中国政府がアクセスできることを懸念しています。

企業がこの懸念を軽減するためにできることの一つは、データをどこに保存しているかを公開することです。

しかし、それ以上に、中国でデータが保管され共有されることに対する懸念が明らかに高まっており、その懸念はデータが中国に保管または出荷されることについての主張やほのめかしとなって現れています。

Wyze社の侵害は深刻な問題です。Wyze社は迅速かつ的確な対応をとったことで高く評価されるべきです。しかし、さらに詳しく調査を進めていくと、この状況はIoTデバイス、データストレージ、セキュリティ、インシデント対応に関する多くの問題を提起していることがわかります。

私たちは皆、この出来事から学ぶべきことがあります。だからこそ、Wyzeチームがこの状況をオープンかつ率直に伝えてくれたことは、業界全体が学び、成長していく上で非常に良いことだと言えるでしょう。また、Wyzeはスタートアップ企業であるため、その経験と対応は、IoT分野の他の新興企業にとって特に大きな教訓となるでしょう。

更新: Wyze は 12 月 29 日の投稿の更新で追加の問題を明らかにしました。

その後、すべてのサーバーとデータベースを監査した結果、保護されていないデータベースが新たに発見されました。これは本番環境のデータベースではなく、パスワードや個人の金融データは含まれていなかったことを確認できます。現在も、漏洩した追加情報の内容と、その原因となった状況について調査中です。

また、漏洩されたデータにそのようなデータが含まれていたとする報道とは対照的に、Wyze はタンパク質摂取量や骨密度に関する情報は収集していないと述べていることを上記の投稿で明確にしました。