家庭用防犯カメラに関して言えば、ほとんどの人は録画映像の安全性を第一に考えます。映像は暗号化され、見られたくない人にはアクセスできないようにする必要があります。Eufyは、すべての映像とその他のデータはローカルに保存されると約束する防犯カメラをいくつか販売しています。しかし、これは嘘であることが判明し、Eufyの対応は、この約束破りに対する私の懸念をほとんど払拭するものではありませんでした。

セキュリティ研究者がEufyのローカルのみのカメラストレージの約束が虚偽であることを発見

例えば、EufyのVideo Doorbell Duoを見てみましょう。製品情報ページによると、このビデオドアベルはクラウドに何も保存しません。Eufyは「つまり、あなた以外の誰もあなたのデータにアクセスできないということです」と主張しています。

セキュリティ研究者のポール・ムーア氏によると、これは明らかに誤りだ。11月23日から始まった一連のツイートで、ムーア氏はクラウドストレージが無効になっているにもかかわらず、Doorbell Duoからの動画映像がクラウドサービスにストリーミングされている様子を実演した。

それだけでなく、ムーア氏は、ビデオドアベルからのストリーミング映像に、暗号化も認証も一切なしで遠隔からアクセスできることを発見しました。これは深刻なセキュリティ上の懸念事項であり、Eufyが製品に謳うプライバシーレベルとは正反対です。

ムーア氏がEufyのローカルのみのデータ保存という約束が虚偽であることを同社に伝えた時、Eufyにとっては事態を改善する絶好の機会となった。ところが、サポート担当者はまずムーア氏に対し、クラウドストレージには何も送信されていないと説得しようとした。次に、Eufyのカスタマーサービスエンジニアは、侵害の深刻さを軽視しようとした。担当者はメールで、Amazonクラウドサーバーにアップロードされたリソースは「公開されることはない」と主張した。

Eufyは後退し、そもそもの安全性を脅かす原因を止めずに、安全性の低い製品を隠そうとしている

ムーア氏は最新情報の中で、Eufyがクラウドに保存されている画像を公開していたバックグラウンド通話を1件削除したと述べています。しかし、映像自体はまだ残っていました。さらにムーア氏は、Eufyが「他の通話もほぼ検知できるように暗号化」し始めていることを発見しました。

つまり、Eufyはセキュリティ侵害を修復し、約束を守るどころか、問題を隠蔽しようとし始めたのです。Eufy Video Doorbell Duoの映像は依然としてクラウドに送信されます。ユーザーは、どれほど技術に精通していても、侵害が発生していることに気づくのが難しくなっています。

ムーア氏のツイートに返信したところ、複数のユーザーが他のEufy製品でも​​全く同じ動作をしていることに気づいた。あるユーザーは、EufyCam 2CとEufy Homebaseも映像をクラウドに送信していることを知った。ウェブブラウザの開発者ツールを使うと、「別のブラウザに貼り付けて、最後に録画されたイベントのオンラインサムネイルを確認できるURLを見つけることができた」という。

本稿執筆時点では、Anker社とEufy社からコメントを得ることができなかった。ムーア氏が両社に対して訴訟を起こしているため、同社が近い将来に公に回答する可能性は低い。

これは、私自身のスマート ホーム セットアップでは HomeKit Secure Video 製品のみを使用するという私の主張を強化するだけであると言っても過言ではありません。