概況

  • 連邦取引委員会(FTC)は、Ring がかつて全従業員とウクライナを拠点とする数百人の請負業者にすべての顧客のビデオへの広範なアクセスを許可し、そのアクセスを適切に監視せず、広範な人間によるレビューについて明確な通知や意味のある同意を得ていなかったと主張した。同訴状は別の外部制御の失敗、すなわちクレデンシャルスタッフィングやブルートフォース攻撃に対する防御の脆弱性が顧客アカウントとカメラを露出させたと主張している。
  • これらの主張は、判決で確定した事実とは異なる。Ring は、管轄権を確立するために必要な場合を除き、それらを認めも否定もしなかった。確認されているのは、2023年6月に連邦裁判所が合意命令を発令し、580万ドルの金銭的判決、特定の削除、20年間のプライバシーおよびセキュリティプログラム、アクセスログ、テスト、独立した評価、インシデント報告、毎年の経営幹部の証明を義務付けたことである。
  • 所有権は重要である。最も広範なアクセス疑惑と最も文書化された2017年の従業員による悪用は、Amazon の2018年4月12日の買収に先行していた。その他の内部インシデントの疑いや2019年から2020年のアカウント侵害期間の多くは買収後に発生した。防御可能な説明責任記録は、これらの期間を分離し、すべての出来事を同じ企業所有者に帰するべきではない。
  • Ring は現在、必須の二段階認証、保存中および転送中の暗号化、制限された従業員アクセス、顧客コントロール、オプションのエンドツーエンド暗号化モード、法執行機関への開示制限について説明している。これらの記述は現在の制御面を特定しているが、それ自体では導入率、アクセスログの結果、評価結果、各セーフガードの有効性を開示していない。
  • 永続的なテストは証拠にある。Ring は、特権が最小限であること、すべての閲覧が目的に紐づけられログ記録されること、異常なアクセスが検出されること、アカウント攻撃が経済的に抑制されること、顧客の同意が具体的であること、汚染されたデータと派生物が削除されること、救済が影響を受けた人々に届くこと、新しい機能が同じ非対称性を別の製品名で再現しないことを示すことができるかどうかである。

家庭内のカメラは委任された監視力

クラウド接続カメラは、説明責任の問題を3つの方法で変える。第一に、アカウント所有者だけでなく、家族、子供、介護者、訪問者、隣人、配達員、通行人など、製品を選択したり条件に同意していなかったりする人々もその視野に入る可能性がある。第二に、カメラは、人々がリモートの従業員による監視下にないと合理的に行動する空間から、保存された録画とライブ状況の両方を送信できる。第三に、サービスプロバイダーは、購入者が検査できないインフラストラクチャ(ID システム、スタッフの権限、請負業者のアクセス、保存、ログ、分析、モデルトレーニング、サポートワークフロー、開示チャネル)を管理している。

この組み合わせにより、通常の通知と選択のロジックは不完全なものになる。購入者はデバイスの設置場所を選択できるが、リモートのエンジニアがメールアドレスで録画を検索できるかどうか、サポートワーカーのアクセスがケースクローズ後に期限切れになるかどうか、攻撃者が何千もの認証情報を試せるかどうか、削除された録画がモデルに影響を与え続けるかどうかを直接確認できない。したがって、企業は顧客と非顧客の両方に代わって監視能力を保持する。説明責任は、購入者が同意をクリックしたという狭い主張ではなく、この非対称性から始まる。

FTC の2023年申立は、この感度を具体的に示している。顧客が屋内カメラを寝室、子供部屋、浴室、ベビーモニターとして日常的に使用していると主張した。また、Ring のセキュリティマーケティングをデジタルセキュリティに結び付けている。すなわち、家庭を保護するために販売されたカメラは、権限のない人物が視聴、スピーカーでの会話、無効化、設定変更を行える場合、その目的が逆転する可能性がある。この逆転こそが、内部アクセスとアカウント保護が1つの説明責任分析に属する理由を説明している。それらは同じ保護された空間への2つの経路だからである。

したがって、制御の関連単位は単なるビデオファイルではない。家庭内の光と音からリモートの人物の観察または行動能力までの完全な経路、すなわちデバイスキャプチャ、転送、保存、認証情報、セッション作成、従業員の認可、検索と取得、ダウンロード、共有、モデル使用、削除、監査である。ある層でのセーフガードは、別の層での開かれた経路を消去できない。保存時の暗号化は、広範な権限を持つアプリケーションがオンデマンドで復号できる場合にはほとんど効果がない。悪用に対するポリシーは、アクセスが最小化も監視もされていない場合にはほとんど効果がない。オプションの二要素認証は、導入率が無視でき、大量のログイン試行が安価である場合にはほとんど効果がない。

記録を読む:主張を事実に還元せずに

法的記録には3つの異なる証拠カテゴリがある。第一は、2023年5月31日に提出された FTC の申立である。これには、アクセス、同意、認証情報攻撃、インシデント、被害に関する詳細な主張が含まれている。これらの主張は非常に具体的であり、調査権限を持つ規制機関に帰属するが、申立は依然として訴状である。この記事では、これらの命題について「FTC は主張した」または同等の表現を使用する。

第二のカテゴリは、2023年6月16日に発令された合意命令である。命令は執行可能な事実である。Ring が管轄権のために必要な事実を除き、申立の主張を認めも否定もしなかったと述べている。また、Ring が命令を控訴または異議申し立てしないことへの同意を記録し、詳細な義務を課している。命令はこれらの義務の存在と内容を証明する。すべての主張を判決された歴史的所見に変換するものではなく、義務の存在だけで日常的な実施が効果的であることを証明するものでもない。

第三のカテゴリは、Ring 自身の公開された説明である。同社は和解への対応で、FTC の主張に同意せず、法律違反を否定し、申立は調査開始の数年後に同社が変更した慣行に関するものであると述べた。また、セキュリティとプライバシーの措置を列挙した。これらの主張は、同社の立場と公的なコミットメントの一次証拠である。運営パフォーマンスの独立した検証ではない。

FTC の措置の発表は規制機関の要約として有用であり、発令された命令の事例タイムラインは手続き上の日付を固定する。要約と提出文書で詳細が異なる場合、この分析では申立と署名された命令が優先される。この階層により、規制機関または企業からの力強い見出しが、根拠となる記録を置き換えることを防ぐ。

タイムライン:広範なアクセス、部分的な修復、買収、攻撃、命令

2017年9月以前:FTC は、すべての Ring 従業員とウクライナを拠点とする数百人の第三者請負業者が、職務に必要かどうかに関わらず、すべての顧客ビデオへの完全なアクセス権を持っていたと主張した。録画は Ring のネットワーク上で暗号化されずに保存され、2017年7月以前は、従業員が録画をダウンロード、保存、転送することを防ぐ技術的または手続き上の制限はなかったと主張した。Ring は悪用に対する契約上の禁止事項を持っていたが、2018年5月まではプライバシーやセキュリティトレーニングを実施していなかったと申立は述べている。これは名目上の禁止と工学的な制御の違いである。ルールは何が起こるべきかを述べることはできるが、アーキテクチャは組織内のほぼ全員がそれを行うことを依然として許可している。

2017年6月から8月:申立は、従業員が少なくとも81人の女性ユーザーに関連する何千もの録画を閲覧し、親密な空間を示唆する名前のカメラを選択したと主張した。この疑惑の活動は数ヶ月間続き、技術的な監視では検出されなかった。同僚が報告し、申立によれば、最初の監督者の対応は、閲覧パターンが調査されるまでその量を正常とみなした。Ring は後にその従業員を解雇した。このエピソードが正確に主張されている場合、それは単なる個人の不正行為イベントではなかった。発見が最小権限、目的の拘束、異常検知、定期的なレビューではなく、同僚の観察に依存する制御設計を暴露した。

2017年9月から2018年2月:FTC は、Ring がサポートアクセスを狭め、カスタマーサービスワーカーが顧客の同意を必要とするようにした一方、多くのエンジニアと請負業者は広範なアクセスを保持したと主張した。また、別の従業員が2018年1月に同僚のメールアドレスを使用して彼女の録画を見つけて視聴したと主張した。2018年2月、Ring は研究開発映像を公開の Neighbors 投稿と、従業員、請負業者、友人、家族からの書面による同意を得て提供された映像に制限し、エンジニアリングアクセスをビジネスニーズに限定したとされる。また、ウクライナを拠点とする請負業者が2018年2月に Ring サービスへの不正な経路を作成したと申立は主張しており、これは技術的検出ではなく従業員の報告によって発見された。

2018年4月12日:Amazon は Ring の買収を完了した。Amazon の2018年フォーム10-Qは、取得した現金を差し引いた約8億3900万ドルの購入価格を報告し、Amazon の完了発表は完了日を示している。この境界は不可欠である。2017年の主張は、Amazon の所有下での行動として正確に説明することはできない。それでも Amazon は、製品、従業員、インフラストラクチャ、データ、既知の履歴、およびクロージング後の修復を完了および検証する義務を引き継いだ。

2018年5月から2020年:申立は、2018年5月に従業員が顧客の録画に関する情報を同意なしに顧客の元夫に提供したと主張した。また、2020年8月の内部告発者の主張として、元従業員が2018年3月から2019年9月の間に人物にデバイスを提供し、彼らの知らないうちに録画にアクセスし、退職時にコピーを持ち出したことを挙げている。申立は、Ring がその活動を検出しなかったと主張した。これらは申立内の入れ子になった主張であり、ここでレビューされた公開記録は各イベントを独自に確立していない。それらが重要であるのは、2018年2月の変更が役割、退職処理、コピー、監視にわたって完全であったかをテストするからである。

2019年2月、FTC は、Ring がアクセスを変更し、ほとんどの従業員と請負業者が顧客の同意がある場合にのみ顧客のプライベートビデオを閲覧できるようにしたと主張した。規制機関はまた、その時点までの基本的な監視の欠如により、Ring が不正アクセスが何件発生したかを判断できなかったとも主張した。FTC のさらなる声明で、検出されなかった不正行為が非常に可能性が高いというのは、規制機関の推測であり、既知のインシデント数ではない。防御可能な結論はより狭い。欠落したテレメトリにより、過去の範囲が不明になる可能性があり、その不確実性自体が、資産が親密な家庭内映像である場合の制御の失敗である。

2017年から2020年3月、2019年1月から集中した影響:2つ目のトラックは顧客認証に関するものであった。申立は、2017年と2018年の複数のクレデンシャルスタッフィング攻撃、2017年9月から2019年4月のバグバウンティ警告、不完全なレート制限、弱いパスワード要件、2019年5月に導入されたオプションの二要素認証(その年の導入率は2%未満)を主張した。2019年1月から2020年3月の間に55,000人以上の米国顧客がアカウント侵害を経験したと主張した。攻撃者は数十万のビデオにアクセスしたとされ、少なくとも910のアカウント(約1,250台のデバイスに影響)で、保存またはライブビデオやプロフィールの閲覧など、さらなる侵入的行為を行った。これらの数字は依然として申立の主張であり、認めたものではない。

2020年から2023年:Ring は、2020年に二段階認証を必須にし、侵害された認証情報のスキャンと通知を追加し、ログイン防御を拡張し、後に認証アプリと CAPTCHA を提供したと述べている。2021年1月、Ring はオプションのビデオエンドツーエンド暗号化を開始し、最初は対象デバイス向けであった。2023年5月31日、FTC は訴訟を起こし、和解案を発表した。裁判所は2023年6月16日に合意命令を発令した。

2024年および2025年:金銭的救済は判決から分配に移行した。2024年4月、FTC は117,044件の PayPal 支払い、総額560万ドル以上を発表した。提供された支払いと受け取られた返金は同一ではない。FTC の現在の Ring 返金ページ(2025年8月付)は、最初の支払いで390万ドル以上の返金が行われ、2回目の分配で80,552件の支払い(総額150万ドル以上)が最初の支払いを受け入れた人に送られたと述べている。この区別により、救済記録に測定可能な分母が与えられ、見出しの割り当てを完了した補償として扱わない。