アイ・オー・データの「ネットワークカメラ」に脆弱性 自宅や社内が盗撮される危険性あり

『THE ZERO/ONE』編集部

July 28, 2014 17:00
by 『THE ZERO/ONE』編集部

個人向けに販売されているアイ・オー・データ機器(IO DATA)のネットワークカメラの一部に、重大な脆弱性があることが分かった。悪意ある第三者からその脆弱性を利用した攻撃を受けると、ネットワークカメラの映像や音声を盗撮・盗聴される可能性や、アクセス権を変更しカメラを乗っ取られる危険性がある。ネットワークカメラは、自宅や社内の様子の確認や防犯目的で使われることが多いため、第三者に無断でコントロールされる状態のままでは非常に危険だ。

ネットワークカメラはインターネットに接続することで遠隔地からでも設置した場所の様子をパソコンやスマートフォンなどで確認することができる機器のことで、個人向けの製品は、主に子供やペットの状態の確認や防犯目的で利用されている。数年前までは商用・個人用ともに高価な製品だったが、近年は価格が下がってきたことから、自宅や社内で利用するケースが増えているようだ。また、ブロードバンド回線やスマートフォンが普及したことも利用者の増加を後押ししている。矢野経済研究所が2013年に発表した「世界のネットワークカメラ市場に関する調査結果 2013」のレポートによると、2009年から2015年にかけてのネットワークカメラ市場の平均成長率は118.8%を見込む。

その利便性の高さから普及が進むネットワークカメラだが、その製品の性質上、悪用されると非常に危険な製品でもある。通常、設置されたネットワークカメラはインターネットを通じて、利用者に24時間リアルタイムで映像を送信している。そのため、送信内容が第三者に漏れないよう機器へのアクセス制限を掛けるのだが、今回このアクセス制限の仕組み自体に脆弱性が存在し、外部から第三者が無断に利用できる状態になっていることが判明した。これは自宅に設置したネットワークカメラが、ある日突然「盗撮カメラ」として利用者のプライバシーを丸裸にしてしまう危険性を意味する。

今回、脆弱性が発見されたのはアイ・オー・データ機器のネットワークカメラ「Qwatch(クウォッチ)」シリーズ。同社は7月28日、「特定のURLへアクセスすることで、認証を回避して、パスワードを含む内部設定情報を取得可能な脆弱性が存在します」と発表し、ファームウェアを最新版にアップデートするよう利用者に呼びかけている。

個人向けのネットワークカメラの多くは、アクセスを記録する「ログ機能」を持っていないため、第三者から不正にアクセスされても気づかない場合が多い。また、これだけ利用者のプライバシーに直結した製品にも関わらず、第三者機関によるセキュリティ診断が行われることも稀だ。今回、Qwatchシリーズの脆弱性が明らかになったのは、サイバーセキュリティ・ラボのスプラウト(当サイトの運営元)が独自に調査を行い、7月上旬にアイ・オー・データ機器に通知したためだ(判明した脆弱性が利用者側で対策が取れない内容だったため、スプラウトがアイ・オー・データ機器に脆弱性の存在を通知。7月28日にアイ・オー・データ機器は脆弱性を修正したファームウェアを公開。関連機関にも連絡を行っている)。

個人向けネットワークカメラのアクセス制限は、IDとパスワードを使った認証だけのものが多いため、悪意のある攻撃者はこのIDとパスワードを盗み、ネットワークカメラを乗っ取ることを狙う。さらに、侵入した攻撃者がIDとパスワードを変更してしまえば完全に乗っ取られた状態となり、利用者はネットワークカメラをコントロールすることができなくなる。

Qwatchシリーズでは、デフォルトの設定でUPnP(周辺機器の通信規格)により、外部から映像を見るためのウェブサービスがインターネットに公開されており、このウェブサービスには特定の利用者のみアクセスができるよう、認証によるアクセス制御が行われている。だが、ある特定のURLには認証によるアクセス制御が行われておらず、そこにネットワークカメラの全設定情報が記載されたファイルが含まれることから、誰でも認証情報や接続された無線LANの設定等を見ることができる。これは、管理者権限のアカウントで不正にアクセスされる非常に危険な状態だ(最新のファームウェアでは対応済み)。

第三者がネットワークカメラを特定するには機器を公開しているIPアドレスとポート番号を探し出す必要があるが、当製品をネットワークに接続した時点で「iobb.net」のDNSにIPアドレスが登録されることから、手持ち機器のFQDN(完全修飾ドメイン名)の一部の文字を変更することで他人が公開しているネットワークカメラのIPアドレスを特定することが可能だ。ポート番号はランダムに決定されるため、ポートスキャン等によって特定する必要があるものの、IPアドレスが判明すればポート番号は容易に当てられる。また、検索エンジンで特定のキーワードを検索すれば、利用者がブログ等で公開しているアドレスを取得することも可能なため、悪意ある攻撃者がネットワークカメラを探して管理者権限を奪うことは比較的容易だと言えるだろう。

また、Qwatchシリーズでは管理者権限のアカウント「admin」のパスワードが特定のパターンとなっているうえ、オペレータ権限のアカウントのパスワードは全機器で共通の文字列となっている。そのため、上記の特定URLにアクセスすれば、設定された全ての情報を閲覧できる脆弱性がなくとも、比較的容易に不正アクセスを受ける可能性がある。

Qwatchシリーズの利用者は早急に7月28日以降に公開された最新のファームウェアが適用されているかを確認し、管理者権限のアカウントとオペレータ権限のアカウントのパスワードを推測が困難な文字列に変更するなどの対策が必要だ。




1元の支払いで銀行口座を空っぽにする「一元木馬」マルウェア

June 23, 2017 10:00

by 牧野武文

たった1元(16円)を支払っただけなのに、銀行口座が空っぽになるという、マルウェア「一元木馬」を利用した詐欺事件の容疑者71名が逮捕され、浙江省杭州市検察院が詐欺罪、信用カード詐欺罪、窃盗罪などで起訴をしたと、検察日報が報じた。 簡単に行える「一元木馬」 この一元木馬は、簡単に詐欺犯罪が行えることか…

IoTのボットネットの新入りマルウェア「PERSIRAI」

June 22, 2017 08:00

by 江添 佳代子

1000種類以上のIPカメラをボットネットに取り込むことのできる新しいマルウェアが、トレンドマイクロの研究者たちによって発見された。この「PERSIRAI(ペルシライ/ELF_PERSIRAI.A)」と呼ばれるマルウェアの説明は、トレンドマイクロのセキュリティブログ(日本語版)に詳しく掲載されている…

ハッカーの系譜(11)スタートアップ養成する「Yコンビネーター」 (10) 本質的な便利さを追求するDropbox

June 20, 2017 08:00

by 牧野武文

新鮮みがないサービス ヒューストンは、友人の紹介で、アラシュ・フェルドーシと知り合い意気投合し、共同創業パートナーとすることができた。しかし、自分たちの「古臭い」アイディアをどのように「ピボット」させるかが大問題だった。 クラウドにファイルを預かり、自分のもつどのデバイスからでもダウンロードできると…