侵入できるネットワークカメラ情報を1件340円で売ります

牧野武文

October 4, 2017 08:00
by 牧野武文

浙江省景寧県公安は「王(仮名)」を計算機情報システムデータ違法取得の容疑で逮捕した。彼は家庭用ネットワークカメラをハッキングするソフトを販売し、自分でもそのソフトを利用し、1万件のWebカメラに侵入。そして盗撮した上で、その映像を販売していたと南方都市報が報じた

パスワードは初期設定のまま

現在、あらゆるところにネットワークカメラ(Webカメラ・IPカメラ)が存在している。PCやスマートテレビ、スマートフォン、IoT機器の多くにCCDカメラが搭載されている。また赤ちゃんやペットのモニター用、家庭の防犯のためにネットワークカメラを設置している人も多い。

ネットワークカメラは、セキュリティ意識が低い消費者にまで急速に普及してしまったため、クラッカーにとっては、簡単にハッキングできるターゲットのひとつとなっている。

今回の事件を見ていると、相当数のユーザーが、カメラ管理ソフトのアカウントとパスワードを出荷時設定そのままで使っていると想像される。カメラの種類が判明すれば、取扱説明書を手に入れて、そこに記載されている出荷時設定のアカウントとパスワードを簡単に知ることができる。製品の説明書には「必ず初期設定のパスワードは変更してからお使いください」と書いてあるはずだが、それに従わないユーザーも多いのだろう。

お勧め盗撮カメラ情報1件340円

王はこのような状況を見て、カメラの管理アカウントをハッキングするツールと、ネットワークカメラのIPアドレスをスキャンして探し出すソフトウェアを作り、それぞれ88元(約1500円)と150元(約2500円)で販売をはじめた。

さらに自分でもハッキングに熱中になり、彼が「これは面白い」と感じたネットワークカメラのIPアドレスを「推薦IPアドレス」として、1件20元(約340円)で販売していた。当然、彼自身もWebカメラの映像を録画している。このような映像の一部を「サンプル」としてSNSで公開し、客を集め、全編動画とソフトウェア、おすすめIPアドレスなどを、ジャンルごとにセットにして、1セット300元(約5000円)で販売するなど、なかなか商売熱心だった。

王がハッキングしたネットワークカメラは、1万件に上り、雲南省、江西省、浙江省など中国全土に渡っていた。浙江省景寧県公安は、王の自宅を家宅捜索し、PC3台、スマホ5台、収集していたIPアドレス、録画データなどを押収し、逮捕した。

中国各地に存在するネットワークカメラ盗撮団

南方都市報では、今年の4月頃から、この家庭用Webカメラのハッキングについて取材を進めていた。SNS「QQ」で、記者が「ネットワークカメラの盗撮映像を見放題。お勧めIPアドレスとハッキング方法も伝授します。お支払いは188元のみ」というメッセージを見たことがきっかけだ。

記者は連絡を取り、このメッセージ主であるSeeipcamという人物に188元(約3100円)を支払った。

また、QQを検索してみると「おすすめIPアドレス」を販売するグループを少なくとも10個発見した。その多くが、ネットワークカメラのハッキング方法を解説した文章を80元(約1350円)で販売し、お勧めのIPアドレスを1件20元(約340円)で販売するものだった。記者は、このようなIPアドレスも数件、実際に購入してみた。

記者が長時間カメラを監視することは、調査報道の取材範疇を超えて違法行為になりかねないので、短時間の確認のみにとどめた。そこには、中国の一般家庭のリビングや寝室の映像が多く映し出されていた。


南方都市報が取材を通じて入手したネットワークカメラ映像。ごく一般的な中国人家庭の寝室が映し出されている。音声にも対応しているので、会話も鮮明に聞き取れたという。

あなたのWebカメラは公開されているかもしれない

南方都市報は、世界中のネットワークカメラの映像を中継しているサイトInsecamを取り上げ、中国の映像も259件登録されていることを紹介している(ちなみに日本は2040件)。Insecamに掲載されいているWebカメラの映像は、パスワードが出荷時のままや安易な文字列の製品を探しだし、アクセスが成功した映像を無断で公開している。

南方都市報は、「ネットワークカメラは便利な機器で、安心や安全に大きく寄与する製品だが、使い方を誤ると不安や危険を招き入れることになる」と警告している。

ニュースで学ぶ中国語

 
攝像頭(shexiangtou):カメラ。ネットワークカメラのハッキングが簡単にできることから、世界的に流行しし始めている。さらに、PCやスマートフォンのCCD映像もマルウェアを侵入させることで盗撮が可能になることから、今後流行することが懸念される。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

善意のサイトが犯罪の片棒を担ぐ!? 手軽にサイバー犯罪を行う中国の富豪の子弟

February 19, 2018 10:00

by 牧野武文

中国のサイバー犯罪者というと、地方で工学系の大学を卒業したものの、仕事がなく、生活費に困って、知識を活かした犯罪をするというのが大半だ。しかし金持ちの子弟が、サイバー犯罪に手を染める例も数は多くないもの存在する。本来は、視覚障害者のためのサービスとして始まった「快啊答題」は、運営者がスリルを求めてサ…

「教科書アダルトリンク事件」の犯人が逮捕される

February 13, 2018 08:00

by 牧野武文

中国の中学高校用副教材『中国古代詩歌散文鑑賞』の中に、参考用としてアダルトサイトのURLが掲載されて教育界が大騒ぎになった事件を以前にお伝えした。このアダルトサイトの運営者が逮捕されたことを『騰訊新聞』が報じた。 「あぶれ組」による犯行 中国の人口は約14億人。中国政府は伝統的に教育に力を入れており…

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)

February 9, 2018 08:00

by 江添 佳代子

→前編はこちら 人々の「動き」が伝える情報 Global Heatmapによって引き起こされた問題について、英語圏のメディアの多くは「Stravaのマップで世界の軍用基地が発見された」などの見出しをつけて伝えている。しかし、それは誤解を招きやすい表現かもしれない。なぜなら人々が報告した「場所」そのも…