フォトブースは素晴らしいものです。ボタンを押せば、すぐに結果が得られます。しかし、少なくともそれを運営するある企業のセキュリティ対策については、同じことは言えない――とされます。
あるセキュリティ研究者は、フォトブース運営会社にシステムの脆弱性について警告しようと、数週間にわたって試みました。その欠陥により、どこを見ればよいか知っている人なら誰でも、数百人の顧客のプライベート写真にアクセスできたと報じられています。
Zeacer(ジーサー)という名で活動する研究者によれば、写真キオスク企業Hama Filmが運営するウェブサイトでは、ログインなしで誰でも顧客の写真や動画をダウンロードできたとのことです。このオーストラリア企業は、フェスティバル、コンサート、商業イベント向けに写真キオスクを提供しています。人々はその場で撮影し、ローカルで印刷できるだけでなく、後で取得できるようウェブサイトにアップロードすることもできます。
そのようなサイトは適切に保護されていて、自分の友人の独身最後のパーティーで、羽根のボアだけを身にまといジャックダニエルをボトルからあおっている自分の姿を見られるのは自分だけ――と期待するでしょう。しかし報じられているところでは、そうではありませんでした。
写真がもらえる!写真がもらえる!みんな写真がもらえる!
研究者の分析を確認したTechCrunchによると、このウェブサイトはよく知られた、しかも極めて基本的なセキュリティ上の欠陥を抱えていました。TechCrunchはその名称を明言することは避けましたが、同様の欠陥を持つサイトでは、ファイルが置かれている場所を人々が簡単に推測できると述べています。
ファイルが推測しやすい場所に保存され、パスワード保護もされていない場合、誰でもアクセスできます。場所が予測可能であるため、攻撃者はそこを自動的に巡回してファイルをダウンロードするスクリプトを書けます。これらのファイルがユーザーのもの(写真や動画など)であれば、深刻なプライバシーリスクになります。
一見すると、無作為な写真の盗難はそれほど危険には聞こえないかもしれません。しかし可能性を考えてみてください。顔認識技術は広く普及しています。イベントでは、企業名の入ったストラップや名札を身につけている人も少なくありません。そして、恥ずかしい写真なら笑って済ませられるかもしれませんが、家族写真で子どもが写っているとなれば話は別です。そうした写真がどこかの誰かのハードドライブに保存され、取り戻す手段も、盗まれたことを知る手段もないままになり得ます。
企業には対応する倫理的責任がある
だからこそ、Zeacerが特定したと思われるような基本的な脆弱性を、組織が防ぐことが非常に重要です。適切にファイルをパスワード保護し、1人のユーザーが短時間に大量のファイルへアクセスできる速度を制限し、場所を推測不可能にすることで対策できます。
また、研究者から報告があった際には、それを認め、迅速に脆弱性を修正すべきです。公表されている報告によれば、Hama FilmはZeacerのメッセージに返信せず、代わりにファイルの保持期間をおよそ2〜3週間から約24時間へ短縮しました。これは攻撃対象領域を狭めるかもしれませんが、誰かが毎日すべての画像をスクレイピングするのを止めるものではありません。
では、これらのブースを利用した場合、何ができるのでしょうか。残念ながら、できることは自分の写真がアクセスされたものと想定する程度です。
フォトブース提供会社を雇う組織のほうが、より大きな影響力を持っています。画像がどれくらいの期間保持されるのか、どのようなデータ保護ポリシーがあるのか、ダウンロードリンクはパスワード保護されレート制限されているのか、第三者によるセキュリティ監査を受けているのか――といった点を確認できます。
Hama Filmだけがこの種の攻撃の被害に遭ったわけではありません。TechCrunchは以前、陪審員管理システムが陪審員の個人データを露出させた件を報じています。ペイデイローンのサイトは機微な金融情報を漏えいさせ、2019年にはFirst American Financial Corpが16年分にさかのぼる8億8,500万件のファイルを露出させました。
2021年には、右派系ソーシャルネットワークParlerで、ハクティビストが連番のエンドポイントを持つ保護されていないAPIを発見した後、最大60TBのデータ(削除済み投稿を含む)がダウンロードされました。残念ながら、今回の最新の出来事が最後になることはないでしょう。
