あなたの脳波が他人に見られているかもしれません。あるスマートスリープマスクに深刻な脆弱性が見つかりました。具体的には脳波データがオープンなMQTTブローカーに送信されていたのです。つまり誰でもアクセスできる状態でした。そこでこの事件の詳細とIoTプライバシーリスクを解説します。
スマートスリープマスクの脳波データ漏洩の詳細
2026年2月にセキュリティ研究者がKickstarterで購入したスリープマスクを調査しました。接続に問題があったためBluetoothプロトコルを解析したのです。するとアプリ内にハードコードされた認証情報を発見しました。しかも全ユーザーで同じ情報が使われていました。
実際にこの認証情報でMQTTブローカーに接続すると驚くべきことが分かりました。約25台の他のマスクから脳波データがリアルタイムで流れていたのです。具体的にはREM睡眠を示す混合周波数活動やデルタ波が確認できました。さらに電気筋肉刺激のコマンドも送信可能でした。つまり遠隔から他人の顔に電気刺激を送れる状態だったのです。
MQTTプロトコルの脆弱性とは
MQTTはIoT機器で広く使われる通信プロトコルです。しかし設計上シンプルさを優先しています。そのためデフォルトではデータ暗号化がありません。またセキュリティ研究で33個の脆弱性が報告されています。特にそのうち18個が重大度「Critical」に分類されています。
さらにShodanなどの検索エンジンで60万以上の公開MQTTブローカーが発見されています。つまり適切に設定されていないブローカーは誰でもアクセスできます。なおMQTTの基本通信はパスワードすら平文で流れます。したがってセキュリティは実装者に委ねられているのが現状です。
IoTデバイスのプライバシーリスクが深刻な理由
脳波データは極めてプライベートな生体情報です。具体的には睡眠パターンや認知状態が推測されます。しかもこのマスクにはEMS、振動、加熱、オーディオの機能もあります。これらすべてが脆弱な認証で制御可能でした。つまりプライバシー侵害だけでなく物理的な危害も起こり得たのです。
2025年にはIoTセキュリティ侵害が相次ぎました。たとえばBadBox 2.0という大規模ボットネットも発見されています。さらにIoT関連侵害の25%以上が個人データ盗難を伴っています。特にスマートホームデバイスが企業ネットワークへの侵入経路になるケースも報告されています。
IoTデバイスを安全に使うための対策
まずデバイス購入時にセキュリティ対応を確認しましょう。また定期的なファームウェア更新があるか調べます。さらにスマートデバイス専用のネットワークを構築するのが理想的です。具体的にはメインのWi-Fiとは別に設定します。
製造者側にも責任があります。したがってハードコードされた認証情報は絶対に避けるべきです。またTLS/SSL暗号化の実装が必須です。特に脳波データなどのヘルスケア情報にはAES-256暗号化が推奨されます。このようにIoTデバイスのセキュリティは製造者とユーザーの両方が意識すべき課題です。