AIおもちゃが5万人の子供の会話を全世界に公開

Googleアカウントさえあれば、世界中の誰でも他人の子供とAIおもちゃの会話を覗き見できる状態が続いていました。セキュリティ研究者が発見したこの事実は、AI時代の児童プライバシー保護について深刻な問題を提起しています。

数分で発覚した重大な欠陥

セキュリティ研究者のジョセフ・サッカー氏は、隣人がAIチャット機能付きの恐竜のぬいぐるみ「Bondu」を子供のために予約購入したと聞き、軽い気持ちで調査を始めました。しかし、同僚のジョエル・マーゴリス氏とわずか数分の作業で、衝撃的な事実を発見します。

Bonduの管理者向けウェブポータルは、親が子供の会話をチェックしたり、会社スタッフが製品の使用状況を監視したりするためのものでした。ところが、このポータルは任意のGmailアカウントでログインするだけで、5万件以上の子供とAIおもちゃの会話記録に誰でもアクセスできる状態だったのです。

研究者らが目にしたのは、子供たちの名前、生年月日、家族の名前、親が設定した「目標」、そして最も深刻なことに、子供とAIおもちゃの間で交わされた*すべての会話の詳細な要約と記録*でした。このおもちゃは、子供との親密な一対一の会話を引き出すように設計されているため、その内容は極めてプライベートなものでした。

迅速な対応も残る根本的問題

Bondu社は研究者からの報告を受けて数分以内にポータルを停止し、翌日には適切な認証機能を備えて再開しました。同社CEOファティーン・アナム・ラフィド氏は「セキュリティ修正は数時間以内に完了し、その後より広範なセキュリティレビューと追加の予防措置を実施した」と述べています。

しかし、研究者らは今回の件が氷山の一角だと警告します。「これは誘拐犯の夢のような情報です」とマーゴリス氏は率直に語ります。子供の好み、習慣、家族構成などの詳細な情報は、悪意ある人物が子供を危険な状況に誘い込むのに十分すぎるほどの材料を提供するからです。

日本の玩具業界への示唆

日本は任天堂、タカラトミー、バンダイなど世界有数の玩具メーカーを擁する国です。これらの企業も近年、AI技術を活用した新しい玩具の開発を進めており、今回の事件は重要な教訓となるでしょう。

特に注目すべきは、BonduがGoogle GeminiやOpenAIのGPT-5を使用していることです。これは子供の会話データがこれらの大手AI企業と共有される可能性を意味します。日本企業がAI玩具を開発する際、データの国内保持や独自のAI技術の活用が競争優位性となる可能性があります。

AIコーディングの落とし穴

研究者らは、Bonduの脆弱性の一因として、同社がAIツールを使ってウェブポータルを開発した可能性を指摘しています。いわゆる「バイブコーディング」と呼ばれる手法で、生成AIプログラミングツールは便利ですが、しばしばセキュリティ上の欠陥を生み出すことが知られています。

日本の開発現場でも、ChatGPTやGitHub Copilotなどのコーディング支援AIの活用が急速に広がっています。効率性と安全性のバランスを取ることが、これまで以上に重要になっています。