アイ・オー・データの「ネットワークカメラ」に脆弱性 自宅や社内が盗撮される危険性あり

『THE ZERO/ONE』編集部

July 28, 2014 17:00
by 『THE ZERO/ONE』編集部

個人向けに販売されているアイ・オー・データ機器(IO DATA)のネットワークカメラの一部に、重大な脆弱性があることが分かった。悪意ある第三者からその脆弱性を利用した攻撃を受けると、ネットワークカメラの映像や音声を盗撮・盗聴される可能性や、アクセス権を変更しカメラを乗っ取られる危険性がある。ネットワークカメラは、自宅や社内の様子の確認や防犯目的で使われることが多いため、第三者に無断でコントロールされる状態のままでは非常に危険だ。

ネットワークカメラはインターネットに接続することで遠隔地からでも設置した場所の様子をパソコンやスマートフォンなどで確認することができる機器のことで、個人向けの製品は、主に子供やペットの状態の確認や防犯目的で利用されている。数年前までは商用・個人用ともに高価な製品だったが、近年は価格が下がってきたことから、自宅や社内で利用するケースが増えているようだ。また、ブロードバンド回線やスマートフォンが普及したことも利用者の増加を後押ししている。矢野経済研究所が2013年に発表した「世界のネットワークカメラ市場に関する調査結果 2013」のレポートによると、2009年から2015年にかけてのネットワークカメラ市場の平均成長率は118.8%を見込む。

その利便性の高さから普及が進むネットワークカメラだが、その製品の性質上、悪用されると非常に危険な製品でもある。通常、設置されたネットワークカメラはインターネットを通じて、利用者に24時間リアルタイムで映像を送信している。そのため、送信内容が第三者に漏れないよう機器へのアクセス制限を掛けるのだが、今回このアクセス制限の仕組み自体に脆弱性が存在し、外部から第三者が無断に利用できる状態になっていることが判明した。これは自宅に設置したネットワークカメラが、ある日突然「盗撮カメラ」として利用者のプライバシーを丸裸にしてしまう危険性を意味する。

今回、脆弱性が発見されたのはアイ・オー・データ機器のネットワークカメラ「Qwatch(クウォッチ)」シリーズ。同社は7月28日、「特定のURLへアクセスすることで、認証を回避して、パスワードを含む内部設定情報を取得可能な脆弱性が存在します」と発表し、ファームウェアを最新版にアップデートするよう利用者に呼びかけている。

個人向けのネットワークカメラの多くは、アクセスを記録する「ログ機能」を持っていないため、第三者から不正にアクセスされても気づかない場合が多い。また、これだけ利用者のプライバシーに直結した製品にも関わらず、第三者機関によるセキュリティ診断が行われることも稀だ。今回、Qwatchシリーズの脆弱性が明らかになったのは、サイバーセキュリティ・ラボのスプラウト(当サイトの運営元)が独自に調査を行い、7月上旬にアイ・オー・データ機器に通知したためだ(判明した脆弱性が利用者側で対策が取れない内容だったため、スプラウトがアイ・オー・データ機器に脆弱性の存在を通知。7月28日にアイ・オー・データ機器は脆弱性を修正したファームウェアを公開。関連機関にも連絡を行っている)。

個人向けネットワークカメラのアクセス制限は、IDとパスワードを使った認証だけのものが多いため、悪意のある攻撃者はこのIDとパスワードを盗み、ネットワークカメラを乗っ取ることを狙う。さらに、侵入した攻撃者がIDとパスワードを変更してしまえば完全に乗っ取られた状態となり、利用者はネットワークカメラをコントロールすることができなくなる。

Qwatchシリーズでは、デフォルトの設定でUPnP(周辺機器の通信規格)により、外部から映像を見るためのウェブサービスがインターネットに公開されており、このウェブサービスには特定の利用者のみアクセスができるよう、認証によるアクセス制御が行われている。だが、ある特定のURLには認証によるアクセス制御が行われておらず、そこにネットワークカメラの全設定情報が記載されたファイルが含まれることから、誰でも認証情報や接続された無線LANの設定等を見ることができる。これは、管理者権限のアカウントで不正にアクセスされる非常に危険な状態だ(最新のファームウェアでは対応済み)。

第三者がネットワークカメラを特定するには機器を公開しているIPアドレスとポート番号を探し出す必要があるが、当製品をネットワークに接続した時点で「iobb.net」のDNSにIPアドレスが登録されることから、手持ち機器のFQDN(完全修飾ドメイン名)の一部の文字を変更することで他人が公開しているネットワークカメラのIPアドレスを特定することが可能だ。ポート番号はランダムに決定されるため、ポートスキャン等によって特定する必要があるものの、IPアドレスが判明すればポート番号は容易に当てられる。また、検索エンジンで特定のキーワードを検索すれば、利用者がブログ等で公開しているアドレスを取得することも可能なため、悪意ある攻撃者がネットワークカメラを探して管理者権限を奪うことは比較的容易だと言えるだろう。

また、Qwatchシリーズでは管理者権限のアカウント「admin」のパスワードが特定のパターンとなっているうえ、オペレータ権限のアカウントのパスワードは全機器で共通の文字列となっている。そのため、上記の特定URLにアクセスすれば、設定された全ての情報を閲覧できる脆弱性がなくとも、比較的容易に不正アクセスを受ける可能性がある。

Qwatchシリーズの利用者は早急に7月28日以降に公開された最新のファームウェアが適用されているかを確認し、管理者権限のアカウントとオペレータ権限のアカウントのパスワードを推測が困難な文字列に変更するなどの対策が必要だ。




IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編)

March 24, 2017 08:00

by 江添 佳代子

IoTのヌイグルミ「CloudPets」のメーカーSpiral Toys社が、大量のユーザー情報を漏洩していたことが明らかとなった。 200万件以上の音声データがダダ漏れ 危険に晒されたのは82万人以上のCloudPetsユーザーのアカウント情報、および彼らがヌイグルミを利用する際に録音した「200…

POSマルウェアの恐怖 (3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか

March 22, 2017 08:00

by 牧野武文

第1回、第2回で紹介したように、POSレジに感染するマルウェアによるクレジットカード情報流出事件が米国を中心に相次いでいる。 POSマルウェアは、POSレジやPOSサーバー内の平文カード情報を含む個人情報を標的にする。カード情報セキュリティのグローバル基準PCI DSSでも、カード情報をメモリで処理…

中国公安部がハッカー集団を摘発し50億件の個人情報を押収

March 21, 2017 08:00

by 牧野武文

中国、『中安在線』『安徽商報』の報道によると、今年1月17日午前9時30分に、北京市、蚌埠(ほうふ)市、浙江省を始めとする14の省と直轄市で、大規模黒客(ハッカー)集団の一斉摘発が行なわれた。逮捕者は96名にのぼり、家宅捜索の結果、50億件を超える個人情報が押収された。逮捕者の中には、2007年に中…