玩具メーカーVTechにサイバー攻撃、アカウント情報480万件が漏えいか

UPDATE　香港を拠点に子供向けのハイテク玩具を製造するVTech Holdingsは、クリスマス商戦がまさに始まるこのタイミングで同社の「Learning Lodge」アプリストアのデータベースがサイバー攻撃と思われるものによってハッキングを受けたと発表した。

　Learning Lodgeは、学習ゲームなどの教育用ツールを中心とするVTech製品のアプリストアだ。

　同社は現地時間11月27日、データ漏えいを認めた。

　この事件を最初に報じたMotherboardは、流出したアカウント件数を480万件としている。その数が正確であるとすれば、VTechの情報流出件数は、サイトHave I Been Pwnedの流出件数ランキングの中でも大規模なものの1つとなる。ただし、3000万件を超えるアカウントが被害に遭ったAshley Madisonに対する攻撃と比べれば、その規模はかなり小さい。

　2013年のクリスマスシーズンに、米小売大手のTargetは約1億1000万件の顧客情報が漏えいしたことを発表した。そのサイバー攻撃が主な理由となって、各種小売業者は2015年、POSシステムをアップグレードしている。

　VTechは、被害に遭ったアカウント件数を公表していないが、アプリストアがハッキングされたのは11月14日であることを明らかにした。同社のFAQによると、あるジャーナリストから質問が寄せられ始めた11月23日まで、同社はこの攻撃に気付かなかったという。VTechは、その翌日に情報流出を確認した。

　同社は捜査当局に通知し、これ以上の攻撃を阻止するための対策を講じたと述べた。VTechのデータベースには、氏名、メールアドレス、パスワード、IPアドレス、住所などのプロフィール情報が含まれていた。

　パスワードは、旧式のハッシュアルゴリズムであるMD5で暗号化されていたとのことで、MicrosoftのDeveloper Security部門MVP受賞者であるTroy Hunt氏によると、単純なパスワードは簡単に解読可能だという。これによりハッカーらが、他のインターネットアカウントも侵害する恐れがある。

　ただしこのデータベースには、クレジットカード情報や、社会保障番号などの個人データは格納されていなかったという。

　しかし、Motherboardは、VTechのデータベースには、20万人を超える子供のファーストネーム、性別、生年月日が含まれていたと報じている。この情報が流出したことで、親のデータが子供に紐付けされる恐れがある。