フォトブースは素晴らしいものです。ボタンを押せば、すぐに結果が得られます。しかし、少なくともそれを運営するある企業のセキュリティ対策については、そうとは言えないようです。
あるセキュリティ研究者は、フォトブース運営会社にシステムの脆弱性について警告しようと何週間も費やしました。その欠陥により、どこを見ればよいか知っている人なら誰でも、数百人の顧客のプライベート写真にアクセスできたと報じられています。
Zeacer(ジーサー)という名で活動する研究者によれば、写真キオスク企業Hama Filmが運営するウェブサイトでは、ログインせずに誰でも顧客の写真や動画をダウンロードできたとのことです。このオーストラリア企業は、フェスティバル、コンサート、商業イベント向けに写真キオスクを提供しています。人々はその場でスナップ写真を撮り、ローカルで印刷できるだけでなく、後で取得できるようウェブサイトにアップロードすることもできます。
当然、そのようなサイトは適切に保護されていて、友人の独身最後のパーティーで羽根のボアだけを身につけ、ジャックダニエルのボトルをあおっている自分の姿を見られるのは自分だけ――そう期待するでしょう。しかし、報道によれば、そうではありませんでした。
写真をどうぞ!写真をどうぞ!みんなに写真をどうぞ!
研究者の分析を確認したTechCrunchによると、そのウェブサイトはよく知られた、しかも極めて基本的なセキュリティ上の欠陥を抱えていました。TechCrunchはその欠陥の名称を明言することは避けましたが、同様の欠陥を持つサイトでは、ファイルが置かれている場所を人々が容易に推測できたと述べています。
ファイルが推測しやすい場所に保存され、パスワード保護もされていない場合、誰でもアクセスできます。場所が予測可能であるため、攻撃者は自動的にそこへアクセスしてファイルをダウンロードするスクリプトを書けます。これらのファイルが(写真や動画など)ユーザーのものであれば、深刻なプライバシーリスクになります。
一見すると、無作為な写真の盗難はそれほど危険に聞こえないかもしれません。しかし、可能性を考えてみてください。顔認識技術は広く普及しています。イベントでは、企業名の入ったストラップや名札を身につけている人も少なくありません。そして、恥ずかしい写真なら笑って済ませられるかもしれませんが、家族写真で子どもが写っているとなれば話は別です。そうした写真がどこかの誰かのハードドライブに保存され、取り戻す手段も、盗まれたことを知る手段すらないままになり得ます。
企業には対応する倫理的責任がある
だからこそ、Zeacerが特定したと思われるような基本的な脆弱性を、組織が防ぐことは非常に重要です。適切にファイルをパスワード保護し、1人のユーザーが短時間に大量のファイルへアクセスできないよう制限し、保存場所を推測不可能にすることで対策できます。
また、研究者から報告があった際には、それを認めて迅速に脆弱性を修正すべきです。公の報告によれば、Hama FilmはZeacerのメッセージに返信せず、代わりにファイルの保持期間をおよそ2〜3週間から約24時間へ短縮しました。これは攻撃対象領域を狭めるかもしれませんが、誰かが毎日すべての画像をスクレイピングするのを止めることにはなりません。
では、これらのブースを利用した場合、何ができるのでしょうか。残念ながら、できることは、あなたの写真がアクセスされた可能性があると考える以上のことはほとんどありません。
フォトブース提供会社を雇う組織のほうが、より大きな影響力を持っています。画像がどれくらいの期間保持されるのか、どのようなデータ保護ポリシーがあるのか、ダウンロードリンクはパスワード保護されレート制限されているのか、そして第三者によるセキュリティ監査を受けているのか――といった点を確認できます。
Hama Filmだけがこの種の攻撃の被害に遭ったわけではありません。TechCrunchは以前、陪審員管理システムが陪審員の個人データを露出させた件を報じています。ペイデイローンのサイトは機微な金融情報を漏えいさせ、2019年にはFirst American Financial Corpが16年分にさかのぼる8億8500万件のファイルを露出させました。
2021年には、右派系ソーシャルネットワークParlerで、ハクティビストが連番のエンドポイントを持つ保護されていないAPIを発見した後、最大60TBのデータ(削除済み投稿を含む)がダウンロードされました。残念ながら、今回の最新の出来事が最後になることはないでしょう。
