Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

管理レスWebカメラの現状

読売オンラインになかなか興味深い記事が載っていました。

www.yomiuri.co.jp

 カメラは、「芝川都市下水路」の鎌倉橋近くに設置され、市のホームページで水位の画像を公開している。当初設置していたカメラは、初期設定されたパスワードをそのまま使用しており、パスワードが変更されたため市側がアクセスできなくなっている。市は梅雨の時期を迎えると雨量が増すため、代替機を設置した。

(読売新聞記事より引用)

 

◆キタきつねの所感

記事だけからでは伺いしれない部分もあるのですが、物理的なカメラは市の管轄化にあるのですから・・・機器を初期化すれば良いのでは?と思いました。恐らくそれが出来ない何らかの理由があるのでしょうが、代替気買うのより復旧が早い気がするのですが。。。

 

この事件を聞いた際に、何か既知感があったのですが、『初期パスワード』だった部分で思い出しました。自分で書いたこの記事がその理由のようです。

foxsecurity.hatenablog.com

前々から監視カメラ(IoT機器)の甘いセキュリティ設定というのは、様々な問題が指摘され、実際に事件が発生してますが、そうした脆弱性を知らない市、あるいは市の機器設置を行う企業は、こうした事件を改めて教訓とすべきかも知れません。

 

因みに12月の時点では・・・事件調査で使った、初期パスワードあるいは、簡単なパスワードであったが故に、海外サイトによって一般公開されてしまっている監視カメラは日本は1911台あったのですが、

f:id:foxcafelate:20171201214629j:plain

 

改めてサイト(※気になる人は画像の左上の英語をGoogleにでも入れて下さい)を確認した所、残念ながら半年で2313まで増えているようです。

f:id:foxcafelate:20180526080958j:plain

 

検索で日本の河川らしき監視カメラを調べてみると、10台以上は脆弱な状態にありそうです。ざっと見た感じが以下の通り。

 ■和歌山県田辺市 2台(キャノン)

 ■熊本県熊本市 1台(キャノン)

 ■岐阜県岐阜市 1台(パナソニック

 ■東京都 5台(パナソニック)※ヒノカゲバシ

 ■岡山県岡山市 2台(パナソニック

 ■神奈川県横浜市 1台(パナソニック

 ■大阪府大阪市 1台(パナソニック

f:id:foxcafelate:20180526082051j:plain

f:id:foxcafelate:20180526082055j:plain

f:id:foxcafelate:20180526082058j:plain

f:id:foxcafelate:20180526082102j:plain

f:id:foxcafelate:20180526082105j:plain

f:id:foxcafelate:20180526082108j:plain

f:id:foxcafelate:20180526082113j:plain

f:id:foxcafelate:20180526082116j:plain

f:id:foxcafelate:20180526082119j:plain

f:id:foxcafelate:20180526082122j:plain

f:id:foxcafelate:20180526082125j:plain

f:id:foxcafelate:20180526082129j:plain

 

掲載されているカメラは、詳細情報を少し見た限りでは、”パスワードレスな状態”であるように見受けられました。日本製のカメラではパナソニック、キャノン、ソニーの名前がチラホラと出てくるのですが、Wifiルータでの初期パスワード(乱数)が機器に紙で入っている様に、監視カメラも初期パスワードを固定にする、あるいはパスワード設定が無いまま公開できないような何らかのメーカー側の対応というものが必要な気がします。

 監視カメラ・防犯カメラのイラスト

 

更新履歴

  • 2018年5月26日PM(予約投稿)