Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Webカメラの管理レス状況を調べてみた。

先日放映されたNHKスペシャル「IoTクライシス」で監視カメラから音が出る問題が冒頭の方に出ていました。そういえば昔から監視カメラって覗けたな・・・と思い、少し調べてみました。

www3.nhk.or.jp

前に、パナソニックWebカメラが見れると大騒ぎになった記憶があったのですが、こうした状況も(NHKスペシャルの様な手法だけでなく、「Mirai」や「Mirai亜種」の拡大にかかわっている気がします。

www.yomiuri.co.jp

最近はどうかな?と調べてみたのですが、相変わらず監視カメラにパスワードをかけない人が多いようで、、、カメラ画像は結構自由に見られます。これが(日本の)現状だとすれば、IoTなんで言っている場合ではないかもしれません。

 

  • 2006年のGigazineさんの記事情報 : まだまだ現役でした

gigazine.net

  • 2014年のTechCrunchさんの記事情報 : まだまだ現役でした

jp.techcrunch.com

Insecamは、Panasonic系のカメラが見える。床屋さんのライブ映像が視聴できると、当時有名でしたが、一時期よりは数は減ったとはいえ、日本のカメラ登録数は米国に続き世界第2位(1801台)。日本にはノーガードが大好きなカメラ管理者(あるいは設置業者)の方が多いことを物語っていそうです。

 

f:id:foxcafelate:20171201214629j:plain

 

日本だけではありませんが、プール画像だったり、店内画像であったり、外の監視カメラが、まだまだ数多く閲覧可能です。

f:id:foxcafelate:20171201215706j:plain

(写真は人気の映像:福岡の繁華街らしき映像と、渋谷の店舗映像を含む)

 

この状況について、Norton Blogで日本で特に多いSonyPanasonicカメラの対策例が書いてました。この辺りに、Webカメラが(何も管理しない一部の人にとって)脆弱の状態が維持されている事が凝縮されている気がします。

 

japan.norton.com

2-1-1.パナソニック製カメラについて

  • ユーザー認証がオフになっていないか
  • 工場出荷時のユーザー名、パスワードが残っていないか
  • ぞろ目や生年月日、電話番号など類推されるパスワードを使用していないか
  • 管理者が不明のユーザー名、パスワードが設定されていないか

2-1-2.ソニー製カメラについて

ソニー製のカメラもinsecamに多く登録されているため、該当製品をお使いの場合は一度確認をおすすめします。ソニー製品は初期状態だとユーザー名とパスワードがどちらもadminになっているため、このままの状態だとinsecamにログインされてしまう恐れがあります。

 

Webカメラのパスワードって何?という人であったり、マニュアルをみない人が、一定数以上存在する事は、メーカー側はよく考えるべき時期に来ているのではないでしょうか。

例えばWifiルータ等では、乱数パスワードが書かれた紙が同梱されています。同じことは当然Webカメラメーカーでも実現できるはずだと思うのです。同じ初期パスワードをセットしておいて、初期パスワードはユーザ側が変えるのが当たり前、メーカーとしてはマニュアルに書いておけば免責かも知れませんが、一部ユーザーがついてきてない現状を鑑みると、個別の初期パスワードを渡す、という(一部のセキュリティ意識の低い)ユーザ視点でメーカーも考えた方が良いかもしれません。

 

 

因みに、NHKスペシャルの番組中で紹介された、

ところが1か月ほどたったある日、異変が起きた。妻がひとりでくつろいでいると、壁の方を向けていたはずのカメラのレンズと目が合ったのだ。この時は気のせいかと思ったが、数日後、外国語とみられる「鼻歌」が聞こえてきたり、何も操作していないのにカメラが動きだしたりするなど、明らかにおかしな事態が相次いだ。

については、NHKスペシャルにも登場されていた、黒林檎さんのBlogにとても詳しい内容が掲載されてましたので、ご参考まで。(勉強になりました)

r00tapple.hatenablog.com

更新履歴

  • 2017年12月1日 PM(予約投稿)