10,000台以上のカメラが他人の家に接続されています。ネットワーク障害により中断と再起動が発生し、公式の責任はサードパーティのキャッシュライブラリに帰せられました。

自宅に設置したカメラにシステム障害が発生し、他人にプライバシーが「覗き見」されてしまう――

心配していたことが本当に起こりました。

米国の有名なスマートホーム企業が暴露されました。

多くのユーザーは、同社のカメラ監視プラットフォームにログインすると他人の家の映像が表示されることに驚いた。

このせいで他人のプライバシーを「うっかり覗いてしまった」人は何人いるでしょうか？

13000以上。影響範囲は広く、大手ウェブサイトでも話題となった。

しかし、当局が事故の原因は第三者にあると主張して、次のように非難しているのは言語道断だ。

大量のデバイスが同時にオンラインになったことで負荷が急増し、使用していたサードパーティのキャッシュライブラリがデバイスIDとユーザーIDのマッピングにエラーを起こし、一部の画面で誤って他人のアカウントが入力される問題が発生しました。

これに対し、不満を持ったネットユーザーの中にはアカウントを削除し、製品を放棄する者もいた。

10,000台以上のカメラが他人の家に接続されている

関係する会社はWyzeと呼ばれます。

事故自体は、実は会社のカメラが突然信号を失い、使用できなくなったことが原因でした。具体的な症状としては、ログインが不可能になったり、ログインに使用したデバイスが不可解なオフラインになったりしました。

公式チームは緊急にメンテナンスのためにオンラインになり、すぐに「AWS のサービス」に問題があることを発見しました。

システムが復旧するまで数時間待った後、一部のユーザーはすぐにログインしたが、その結果は衝撃的なものでした。

Wyze カメラに付属する監視プラットフォームには、「イベント」というタブがあり、カメラが捉えたさまざまな「動き」が保存されます。

これらのユーザーは、提供された画像やビデオがまったく自分のものではないことに気付きました。

Wyze 社は当初、このバグを経験した人は 14 人だけであると報告しました。

しかし、最終的な統計では、13,000人以上の顧客が、見るべきではない他人のプライバシーを見てしまったことが判明した。

特に特筆すべきは、カメラシステムによりサムネイル画像が提供され、1,504人がクリックして拡大し鮮明な画像を見た（動画を見た人もいた）ことだ。

つまり、多くの人のプライバシーが本人の同意なく閲覧されているということになります。

この件は小さな問題ではありません。そのため、事件後、Wyze は抜本的な対策を講じ、「Matters」タブ機能を直接無効にして調査を実施しました。

その理由はすぐに明らかになった。

どうしたの？これはサードパーティのキャッシュライブラリのせいです。

具体的には、Wyze は次のように説明しています。

当時、システム全体の信号が中断され、誰も使用できませんでした。その後、修復後、大量のデバイスが同時にオンラインに戻り、システムが過負荷状態になりました。

システムが過負荷になると、デバイス ID とユーザー ID 間のマッピングが不正確になり、一部のアカウントが間違ったカメラに接続されるようになりました。

では、なぜマッピングが失敗するのでしょうか?これはすべて、最近システムに統合したサードパーティのキャッシュ ライブラリのおかげです。

当局は、サムネイルが他人に見られてしまったユーザーや、他人のサムネイルしか見ることができず自分のサムネイルは漏洩していないユーザーなど、事件の影響を受けたさまざまなユーザーに謝罪の意を表したメールを送った。

ワイズ社は一つ一つ説明した上で、このような事件が二度と起こらないよう、ユーザーが「イベント」を閲覧する際の検証を強化し、システムプロセスを修正し、同様の「極端な状況」に遭遇してもエラーが発生しないようストレステストを実施したと述べた。

しかし、一部のユーザーは、「負荷が増加すると応答時間も長くなるはずなのに、どうしてデータベースの混乱が起こるのか」と納得していません。

普段はペットの監視にカメラを使用していたある女性は、メールを受け取って初めて自分が被害に遭ったことを知った。彼女は非常に動揺し、アカウントを削除して製品の使用をやめた。

初犯ではない

問題の企業であるWyzeは、2017年に元アマゾンの従業員3人によって設立されたとみられており、設立後間もなく米国のウェブカメラ市場に足がかりを築いた。

2022年、WyzeはTime誌の「最も影響力のある企業」の1つにも選ばれました。

しかし、同社で同様の事故が起きたのは今回が初めてではない。

昨年、Wyze 社は、ハッカーが同社のカメラの SD カードに保存されたビデオに直接アクセスできることが明らかになりました。

しかし、Wyze 社は実はこの脆弱性についてかなり以前から認識していたものの、修正には 3 年もかかりました。

2019年、Wyzeは大規模なセキュリティ侵害に見舞われ、240万人以上のユーザーの個人データが漏洩した。

今日再び事件が起こったため、一部のネットユーザーは再び次のように呼びかけた。

自宅のリアルタイムカメラフィードはクラウドに転送せず、可能であればローカルに保存してください。

どうしてもできない場合は、自宅にカメラを設置してください。

どう思いますか？