Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

管理レスWebカメラには規制が必要ではないか

監視カメラの乗っ取り事件、起こるべくして起きた事件と言えるかも知れません。

www.asahi.com

 捜査関係者によると、男は4月下旬、自宅のパソコンを使い、神戸市東灘区の就労支援施設の監視カメラの映像記録装置や、千葉県八千代市の水路に市が設置した水位監視カメラ2台にアクセス。操作機能を乗っ取り、画面に「I’m Hacked.bye2(ハッキングされた。バイバイ)」の文言や日時を表示させ、パスワードを書き換えるなどして施設側や市が操作できないようにした疑いがある。兵庫県警が千葉県警と捜査していた。

 監視カメラは管理者がパスワードを購入時の初期設定のまま変更せず、類推しやすい状態だったという。

 同様の被害は今年に入って60件以上相次いだ。4月に埼玉県上尾市の水位監視カメラ、5月に千葉県銚子市にある東京電力の洋上風力発電所の監視カメラで画面に同様の文言が書かれ、パスワードが変更された。

朝日新聞記事より引用)

 

◆キタきつねの所感

事件自体は、元自衛官の愉快犯という事で終わりそうですが、残念ながらこのリスクは以前から指摘されていても改善されてきません。一般用途だけではなく、老人やペットの見守り、あるいは子供のおもちゃというIoT機器分野でのネットワークカメラも増えてきているので、同様な問題は今後もリスクとして残り続ける可能性が高いと思います。

 

管理されてない監視カメラがどの程度あるのか、ベンチマークとなるのは某所のカメラ掲載サイトがあります。以前からこの手の事件があると掲載されているカメラを確認するのですが・・・

foxsecurity.hatenablog.com

f:id:foxcafelate:20181124071340j:plain

 

前回2018年5月に確認した時が、日本国内の(管理レスWeb)カメラ掲載は2313台でしたので、2057台(▲256台)は少し減っています。ざっと見ると、駐車場やソーラーパネルなどの監視カメラは相変わらず多い印象です。そのほか、企業オフィスや、牛舎であったり、コインランドリーといった企業として管理が問われるものも確認できます。

とは言え、、港や河川、交通状態の確認といった公共団体系と思われるカメラが結構あります。そうした意味では初期パスワード、あるいは脆弱なパスワードを突いて、簡単にハッキングが出来ると思います。愉快犯から見れば、ハッキングしたよ!と自慢できる監視カメラはまだまだあるのが現状であると言うそうです。

f:id:foxcafelate:20181124072917j:plain

例示として挙げてみると、山、ビニールハウス、港、倉庫、駅・・・といったカメラが世界中に公開されている様な状況です。

日本国内という事もあり、海外製よりも、パナソニックやキャノンのカメラと思わしきベンダー名表示が多くあります。これが何を意味しているかと言えば、ネットワークカメラ設置者(設置業者)は初期パスワード、あるいはパスワードをセットしてない、そんな現状が容易に想像できます。

 

この状況を考えた対策としては、例えば無線LANルータと同様に乱数の初期パスワード(暗号キー)をベンダーがセットして販売するか、初回アクセス時に初期パスワードを変更しないと動かなくさせるなどの方法が考えられます。乱数パスワード、ネットワーク認証はWindowsやOfficeなどのソフト分野では当たり前となりつつある手法ですし、企業ネットワークへのログインでも初回にパスワード変更を強制するのはよくある手法だと思います。

 

そう考えると、やはり米国カリフォルニア州の様な規制が日本でも必要ではないかと思います。ユーザにパスワード管理を押し付けているベンダーは、ユーザ責任と安易に逃げるのではなく、この問題に真剣に取り組む事が必要だと思います。とは言え、IoT機器としてのカメラは、日本国内のベンダーだけが製造している訳ではないので、全体として、規制のような”縛り”を考える時期に来ていると思います。

foxsecurity.hatenablog.com

 

盗撮のイラスト(カメラ)

 

 

更新履歴

  • 2018年11月24日AM(予約投稿)