「IoTアダルトグッズ」データを無断で収集（前編）

December 19, 2016 08:30

by 江添 佳代子

インターネットに接続できるアダルトグッズのメーカーが、ユーザーの承認を得ぬまま「非常にセンシティブな情報」を収集しているとして訴訟を起こされていた事件で、2016年11月29日、両者の和解を目指す紛議調停の手続きがとられることが確定した。この訴訟について、原告側の弁護士は「これまで私が対処してきた事件の中でも、より『信じがたいプライバシー侵害』のひとつ」と表現した。それはいったいどのような内容だったのか？

アダルトグッズのプライバシーをめぐる訴訟など、取るに足らないニュースだと感じられる向きもあるだろう。しかし、これは「IoT製品が慢性的に抱えている問題」と「メーカーによる個人情報の取り扱いの問題」について、大いに考えさせられる事件である。

スマートフォンと連動させる「バイブレーター専用アプリ」

問題となったアダルト玩具「We-Vibe」は、カナダの企業Standard Innovationの製品だ。バイブレーションのプログラムを備えたU字型の本体にはリモコンが付属している。そして同社が提供するアプリとの連動によってインターネットに接続でき、スマートフォンを利用したBluetooth接続の制御も可能となる。平たく言えば「高性能なIoTのバイブレーター」だ。

「なぜバイブレーターをインターネットに接続しなければならないのか？」という素朴な疑問を持たれた方のために、製品の性能について説明しよう。ウェブサイトの説明によれば、このWe-Vibeシリーズは女性が一人で使うものではなく、あくまでも「カップル向け」の製品で、プロモーションの動画や図解でも「パートナーと一緒に使う際の利用法」が真っ先に示されている。その最も特徴的な機能が「専用アプリWE-CONNECTとの連動」だろう。

専用アプリWE-CONNECTを利用すると操作性が広がる

このアプリをスマートフォンにダウンロードしたユーザーは、標準搭載の振動パターンよりも多くのパターンを利用できるようになり、それらのカスタマイズも可能となる。また、スマートフォンのスクリーン上に表示されるスライドバーを調整することにより、利用中の細かい制御ができるようになる。そして特定のパートナーをアプリに「招待」することで、2台のスマートフォンでのテキスト・音声・ビデオによるチャット、さらに「遠隔操作」が可能となる。つまり、離れた場所にいるカップルが会話を楽しみながら、製品（バイブレーター）の細かい動作をリアルタイムでコントロールできる。どうもピンと来ないという方は、同社が提供している動画をご覧になるのが一番だろう（ライトな内容だが、職場で見るにはあまり適さないのでご注意いただきたい）。

Standard Innovationの製品は北米だけで販売されているものではなく、世界中に200万人以上のユーザーがいると同社は説明している。We-Vibe自体も英語、中国語、チェコ語、フランス語、ドイツ語、日本語、ポーランド語、ポルトガル語、ロシア語、スペイン語、スウェーデン語に対応している。公式サイトで確認したところ、日本や近隣国（中国、韓国、台湾など）には販売店の登録がなかったが、香港やシンガポールでは店頭で購入できるようだ。ちなみに筆者の居住エリア（バンクーバー）では4つの取り扱い店舗が確認できた。

一般化しつつある「IoTのアダルトグッズ」

今回の訴訟は、未知なるIoTグッズへの単純な拒否反応ではない。以前に紹介した、「まだ発売もされていない『IoTのおしゃべりバービー』の機能に眉をひそめ、販売中止を訴えた保護者たちの反応」とは事情が異なっている。IoTのアダルトグッズは、昨今では複数のメーカーによって開発されており、すでに珍しいものではなくなりつつあるからだ。

これらの「最新の大人用デバイス」がユーザーを盗聴する可能性、あるいはセキュリティの甘さが原因でハッキングされる可能性についても、これまで複数のセキュリティ研究者が何度となく警鐘を鳴らしてきた（一例： 有名セキュリティ企業Trend Micro やMalwarebytesの研究者たちによる「IoTのアダルトグッズに対する見解」を掲載した2016年3月のNewsweekの記事）。このような状況下で、あえて「We-Vibe」が槍玉に挙げられたのには、大きく分けて2つの理由がある。

「パートナーと」共有されるはずの情報がカナダのサーバーに

まず1つめは、Standard Innovationが「ユーザーに無断で情報を収集していた」という問題だ。訴えによれば、同社はWE-CONNECTをダウンロードしたユーザーのスマートフォンを通して「デバイスの利用状況のデータ」を勝手に収集しており、それらのデータと「ユーザー個人のメールアドレス」は、カナダにある同社のサーバーに保管されていたという（今年9月中旬、訴訟が起こされた当時の『Ars Technica』の記事、および同誌が提供した訴状のPDFファイル）。このような無許可のデータ収集や管理は違法行為となる可能性が高い。

WE-CONNECTを提訴した際の訴状

自動的に収集されたデータが、どんな用途で使われているのかが、「説明されていないので分からない」という点も問題だった。自分のデバイスの利用状況が勝手に収集されていたと知れば、それだけで多くのユーザーは不快感を示す。まして製品がアダルトグッズとなれば、余計に気味が悪いだろう。このような情報収集を行ったメーカーに対して、ユーザーが不信感を抱き、さらなる懸念を抱いて──たとえば「本当はビデオチャットも録画されてサーバーに送られているのではないか」「パートナーや自分のスマートフォンを特定する情報も抜き取られ、一元的に保管されているのではないか」といった不安に駆られて──すべてを明らかにするためにはメーカーを訴えるしかない、と考えるのも道理だ。

もう1つは、「この収集の事実が、ハッカーによって暴露されたものだった」という背景にある。先述のとおりStandard Innovationはユーザーに情報収集の旨を伝えていなかったので、その事実に誰も気づかなければ訴訟も起きなかった。しかし、「ワイヤレスの機能を備えたデバイス」を米国で販売したいと望むメーカーは、製品の詳細を説明した報告書を米国の連邦通信委員会（FCC）に提出しなければならない。その報告書は、ハッカーの手に渡れば「ハッキングに便利なヒント集」となる。そして優秀なハッカーたちは得てして、そのようなヒントを手に入れてしまうものだ。

結局、We-Vibeの秘密はニュージーランドの2人のハッカーによって白日の下に晒された。つまり内部告発によって明るみに出たのではなく、また消費者団体の依頼をうけた専門機関の調査で暴かれたわけでもない。「その製品とは全く無関係の2人が、楽しいハッキングの実験をしてみた結果」、たまたま判明したのだ。そのニュースを聞いたユーザーたちは、まず自分のデータが収集されていたことに驚いたあと、その製品が「第三者によって気軽にハッキングされた」という事実に怯え、セキュリティの甘さにも怒りを覚えただろう。

We-Vibeによって収集されたデータが、もしもユーザーのスマートフォンのIPアドレスやメールアドレスに紐付けられていたなら、それは非常に悪質なハラスメントや恐喝に使えるデータとなる。データセキュリティを重視していない企業のサーバーに、そのような情報が蓄積されるのは恐ろしいと感じるのも無理はない。

後編では、2人のハッカーが示した「We-Vibeの研究結果」について詳しく説明したい。

（後編に続く）