アイ・オー・データの「ネットワークカメラ」に脆弱性 自宅や社内が盗撮される危険性あり

『THE ZERO/ONE』編集部

July 28, 2014 17:00
by 『THE ZERO/ONE』編集部

個人向けに販売されているアイ・オー・データ機器(IO DATA)のネットワークカメラの一部に、重大な脆弱性があることが分かった。悪意ある第三者からその脆弱性を利用した攻撃を受けると、ネットワークカメラの映像や音声を盗撮・盗聴される可能性や、アクセス権を変更しカメラを乗っ取られる危険性がある。ネットワークカメラは、自宅や社内の様子の確認や防犯目的で使われることが多いため、第三者に無断でコントロールされる状態のままでは非常に危険だ。

ネットワークカメラはインターネットに接続することで遠隔地からでも設置した場所の様子をパソコンやスマートフォンなどで確認することができる機器のことで、個人向けの製品は、主に子供やペットの状態の確認や防犯目的で利用されている。数年前までは商用・個人用ともに高価な製品だったが、近年は価格が下がってきたことから、自宅や社内で利用するケースが増えているようだ。また、ブロードバンド回線やスマートフォンが普及したことも利用者の増加を後押ししている。矢野経済研究所が2013年に発表した「世界のネットワークカメラ市場に関する調査結果 2013」のレポートによると、2009年から2015年にかけてのネットワークカメラ市場の平均成長率は118.8%を見込む。

その利便性の高さから普及が進むネットワークカメラだが、その製品の性質上、悪用されると非常に危険な製品でもある。通常、設置されたネットワークカメラはインターネットを通じて、利用者に24時間リアルタイムで映像を送信している。そのため、送信内容が第三者に漏れないよう機器へのアクセス制限を掛けるのだが、今回このアクセス制限の仕組み自体に脆弱性が存在し、外部から第三者が無断に利用できる状態になっていることが判明した。これは自宅に設置したネットワークカメラが、ある日突然「盗撮カメラ」として利用者のプライバシーを丸裸にしてしまう危険性を意味する。

今回、脆弱性が発見されたのはアイ・オー・データ機器のネットワークカメラ「Qwatch(クウォッチ)」シリーズ。同社は7月28日、「特定のURLへアクセスすることで、認証を回避して、パスワードを含む内部設定情報を取得可能な脆弱性が存在します」と発表し、ファームウェアを最新版にアップデートするよう利用者に呼びかけている。

個人向けのネットワークカメラの多くは、アクセスを記録する「ログ機能」を持っていないため、第三者から不正にアクセスされても気づかない場合が多い。また、これだけ利用者のプライバシーに直結した製品にも関わらず、第三者機関によるセキュリティ診断が行われることも稀だ。今回、Qwatchシリーズの脆弱性が明らかになったのは、サイバーセキュリティ・ラボのスプラウト(当サイトの運営元)が独自に調査を行い、7月上旬にアイ・オー・データ機器に通知したためだ(判明した脆弱性が利用者側で対策が取れない内容だったため、スプラウトがアイ・オー・データ機器に脆弱性の存在を通知。7月28日にアイ・オー・データ機器は脆弱性を修正したファームウェアを公開。関連機関にも連絡を行っている)。

個人向けネットワークカメラのアクセス制限は、IDとパスワードを使った認証だけのものが多いため、悪意のある攻撃者はこのIDとパスワードを盗み、ネットワークカメラを乗っ取ることを狙う。さらに、侵入した攻撃者がIDとパスワードを変更してしまえば完全に乗っ取られた状態となり、利用者はネットワークカメラをコントロールすることができなくなる。

Qwatchシリーズでは、デフォルトの設定でUPnP(周辺機器の通信規格)により、外部から映像を見るためのウェブサービスがインターネットに公開されており、このウェブサービスには特定の利用者のみアクセスができるよう、認証によるアクセス制御が行われている。だが、ある特定のURLには認証によるアクセス制御が行われておらず、そこにネットワークカメラの全設定情報が記載されたファイルが含まれることから、誰でも認証情報や接続された無線LANの設定等を見ることができる。これは、管理者権限のアカウントで不正にアクセスされる非常に危険な状態だ(最新のファームウェアでは対応済み)。

第三者がネットワークカメラを特定するには機器を公開しているIPアドレスとポート番号を探し出す必要があるが、当製品をネットワークに接続した時点で「iobb.net」のDNSにIPアドレスが登録されることから、手持ち機器のFQDN(完全修飾ドメイン名)の一部の文字を変更することで他人が公開しているネットワークカメラのIPアドレスを特定することが可能だ。ポート番号はランダムに決定されるため、ポートスキャン等によって特定する必要があるものの、IPアドレスが判明すればポート番号は容易に当てられる。また、検索エンジンで特定のキーワードを検索すれば、利用者がブログ等で公開しているアドレスを取得することも可能なため、悪意ある攻撃者がネットワークカメラを探して管理者権限を奪うことは比較的容易だと言えるだろう。

また、Qwatchシリーズでは管理者権限のアカウント「admin」のパスワードが特定のパターンとなっているうえ、オペレータ権限のアカウントのパスワードは全機器で共通の文字列となっている。そのため、上記の特定URLにアクセスすれば、設定された全ての情報を閲覧できる脆弱性がなくとも、比較的容易に不正アクセスを受ける可能性がある。

Qwatchシリーズの利用者は早急に7月28日以降に公開された最新のファームウェアが適用されているかを確認し、管理者権限のアカウントとオペレータ権限のアカウントのパスワードを推測が困難な文字列に変更するなどの対策が必要だ。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…