「プライバシーが丸裸に」 韓国で販売中の中国製ロボット掃除機の裏切り…「セキュリティアップデート」確認を

「最高レベルのセキュリティ等級で安心して使用可能」（エコバックス）「1位を信じてください、セキュリティ安心センター」（ロボロック）「セキュリティ性能の新たな基準」（ナーワル）「安全な双方向通信」（ドリーミー）現在、韓国の市場で販売されている中国製ロボット掃除機は、このような宣伝文句を掲げている。公式ホームページや製品説明ページではいずれも「国際的に認定された機関のセキュリティ認証を取得している」と強調している。しかし、最近の韓国消費者院の調査では、これらの製品からプライバシー侵害や個人情報流出の可能性など、さまざまなセキュリティ上の脆弱性が相次いで見つかった。国際認証を掲げていたセキュリティ・マーケティングの落とし穴とは何だったのか。◇国際認証を掲げた中国製ロボット掃除機、むしろセキュリティが脆弱だった韓国消費者院は9月2日、ロボット掃除機6製品を対象に、計40項目のセキュリティ項目に対する実態調査結果を発表した。そのうち韓国メーカー2社（サムスン電子・LGエレクトロニクス）だけが、モバイルアプリのセキュリティおよびポリシー管理項目において総合的に「優秀」と評価された。一方、中国メーカーの製品からは、カメラ機能の強制起動、マルウェア送信、パスワード流出などの脆弱性が確認された。調査対象となったのは▷BESPOKE AI スチーム（サムスン電子）▷コードゼロ ロボキング AI オールインワン（LGエレクトロニクス）▷Freo Z Ultra（ナーワル）▷X50 Ultra（ドリーミー）▷S9 MaxV Ultra（ロボロック）▷DEEBOT X8 PRO OMNI（エコバックス）－－の6製品だ。これら中国製ロボット掃除機は、セキュリティ上の問題が見つかる前から「高度な安全性」を強調してきた。4社すべてが製品紹介で国際公認試験認証機関のロゴを強調しており、「欧州電気通信標準化機構（ETSI）」が定めたIoT（モノのインターネット）セキュリティ関連の国際標準「EN 303 645」に準拠していると宣伝していた。 ◇「国際標準に準拠」とうたいながら…実際は「未順守」問題は、企業が国際認証で要求されるセキュリティ水準を実際には十分に守っていなかったことだ。韓国消費者院は、中国メーカーが「EN 303 645」認証を取得していたにもかかわらず、セキュリティ更新方針や個人情報保護対策を適切に履行していなかったと指摘した。2020年に策定された「EN 303 645」は、消費者向けIoT製品に関する世界初の国際標準で、計13項目のサイバーセキュリティ要求事項を含む。主な内容は「ソフトウェアの更新維持」「脆弱性報告・管理体制の構築」「個人データの安全保障」「重要なセキュリティ情報の安全な保存」などだ。認証発行機関の関係者は「EN 303 645の認証を受けたということは、欧州市場で通用するセキュリティレベルを備えたという意味」としながらも「韓国消費者院はこれよりも厳しい基準で試験を行った部分もあった」と説明した。韓国消費者院の勧告に基づき、今回調査対象となった製品はいずれもすでに脆弱性の改善措置を完了している。一方、サムスン電子とLGエレクトロニクスは国内認証と独自のセキュリティ技術を前面に出している。サムスン電子の製品は、韓国インターネット振興院（KISA）のIoTセキュリティ認証で最高等級を取得しており、ロボット掃除機としては国内唯一だ。LGエレクトロニクスは独自のセキュリティ体系「LG標準セキュリティ開発プロセス（LG SDL）」を開発し、ロボット掃除機に適用している。 ◇セキュリティパッチ・更新などのアフターケアが核心」専門家たちは、「国際認証の有無よりも、継続的なセキュリティ更新などのアフターケアがより重要だ」と口をそろえる。国民大学情報保安暗号数学科のチ・ジェドク研究教授は、「国際的に認められた認証を受けたからといって、あらゆる環境で安全だとは限らない」とし「ハッキング手法は常に進化しているため、認証取得後も新たな脆弱性が発見された場合、メーカーがどれほど迅速にファームウェアの更新やセキュリティパッチを提供できるかが鍵だ」と指摘した。消費者自身によるセキュリティ管理も重要だ。韓国消費者院の関係者は、「定期的にモバイルアプリでセキュリティパッチの有無を確認し、自動更新機能がある場合は必ず有効にするのがよい」とし「初期パスワードは英数字と記号を組み合わせた8文字以上に変更したほうがよい」と助言した。