大規模データ露出の実態
チャットログ370万件が公開状態
音声ファイル・文字起こし140万件も流出
氏名・電話番号・住所など個人情報を含む
2024年から今年までの顧客対話記録が対象
通話録音と信頼性の問題
終話後も最大4時間の環境音を録音
顧客がAI対応に不満、人間対応を繰り返し要求
フィッシング詐欺への悪用リスクを専門家が警告
出典:WIRED
詳細を読む
セキュリティ研究者のJeremiah Fowler氏は2025年2月、米Sears Home ServicesのAIチャットボット「Samantha」に関する3つのデータベースがパスワード保護なくWeb上に公開されていることを発見しました。データベースには顧客の個人情報を含む大量の対話記録が格納されていました。
露出したデータベースには370万件のチャットログと140万件の音声ファイル・文字起こしが含まれていました。顧客の氏名、電話番号、自宅住所、所有家電、配送・修理の予約情報など詳細な個人情報が記録されており、英語とスペイン語の両方の対話が含まれていました。
特に深刻だったのは、顧客が通話終了と思った後も最大4時間にわたり録音が継続していた事例です。テレビの音声や私的な会話など、本来記録されるべきでない生活音が大量に収録されていました。Fowler氏は「すべて実在する人々の実際のデータだ」と警鐘を鳴らしています。
Fowler氏の報告を受け、Searsの親会社Transformcoはデータベースを速やかに保護しましたが、露出期間や第三者によるアクセスの有無は不明です。専門家はこうした情報がフィッシング詐欺や保証詐欺に悪用される危険性を指摘しており、家電の所有状況など生活に密着した情報が標的型攻撃を容易にすると警告しています。
オックスフォード大学のCarissa Véliz准教授は、企業がAIを顧客対応に導入する際には人間との会話を選択できる権利や録音拒否の権利を保障すべきだと主張しています。生成AI導入が加速する中、プライバシー保護と顧客の信頼確保が企業の重要課題となっています。