脅威
スマートホームは、最先端のテクノロジーの一つですが、急速に実用化され、私たちの生活に定着しつつあります。Webインターフェイスを備えた電気ケトル、リモートで電源をオフにできるアイロン、スマート照明制御システムなど、これらの技術は、すべて私たちの生活を便利にするために発明されました。しかし、これらの製品は本当に安全なのでしょうか。モノのインターネット(IoT)デバイスは、私たちに便利さを享受しただけでなく、セキュリティとプライバシーの面で新たな課題ももたらしています。最近では、こうしたスマートガジェットで脆弱性が見つかったなどと、ほぼ毎週のように報道されています。「スマート電球」ですらホームネットワークへのハッキングに使用されることがあります。もっと本格的なIoT機器については言うまでもありません。
あらゆるホームセキュリティシステムの鍵は、インターネットに接続されたビデオカメラです。このカメラは、ベビーモニターやビデオインターホン、プロが使用する監視用の高度なモーター搭載カメラまで、あらゆる種類の製品に装備されています。
ネットワークカメラ(IPカメラ)とは、その名が示すように、オンラインに常時接続されているか、定期的に接続されるようになっており、映像は、通常ベンダー独自の専用サービスを介して視聴でき、このサービスにログインすれば、世界中からカメラの動画ストリームにアクセスできます。ネットワークカメラのほかには、ローカルネットワークからアクセスできるカメラもありますが、扱いやすいという利点以外に消費者を惹きつける要素はあまりありません。
とはいえ、数々の疑問も浮かんできます。特に、サイバー詐欺師にログイン認証情報が盗まれたらどうなるのか、という疑問です。クラウドのビデオ監視システムはどの程度安全なのでしょうか?攻撃者は、アカウントをハッキングしなくても動画ストリームにアクセスできる可能性はないのでしょうか?実は最悪の場合、家の中の画像や私生活の動画など、他の誰にも知られたくない情報が悪意を持つ人の手に渡ってしまう可能性があります。
破られた約束
Ankerは、Eufyというブランド名で独自のネットワークカメラ製品をスタートさせた際、ハッキングなどのリスクが伴うことは十分理解していました。2011年に創業したAnkerは、エレクトロニクス業界の新参者ではありません。スマートフォンやノートパソコンの充電機器や関連製品の製造から始めて、現在ではビデオインターホンやセキュリティカメラなど、あらゆる好みやニーズに合う幅広い携帯用電子機器を製造しています。
所有者のデータの完全保護を約束するEufyのWebサイトのスクリーンショット。
Eufyサイトにある広告では、カメラの開発元は、最大限のプライバシー保護をうたい、クラウドを使わずにすべてのデータを安全なローカルストレージに保存することを保証しています。リモートでのビデオ監視機能は完全に無効化することができますが、自宅内の様子を確認したいと思った場合は、カメラから動画ストリームを暗号化してスマートフォンのアプリに送信できます。これを復号化できる場所はアプリだけです。これは、エンドツーエンドの暗号化として知られています。つまり、誰も(ベンダーでさえも)個人のデータにアクセスできない仕組みになっています。
同じく重要なのは、認識システムが直接デバイス自体で機能することです。企業のサーバーにデータを転送しなくても、各カメラに搭載されたAIが映像を解析し、フレーム内の人物を識別します。たとえば家主やテナントを見知らぬ人と区別することまでできるので、見慣れない顔が認識された場合にのみカメラの所有者に通知することも可能です。
企業側は完全なプライバシーを保証したはずでしたが、最近、ユーザーの一人が新たな事実を発見しました。11月23日、イギリスのセキュリティ専門家、ポール・ムーア(Paul Moore)氏はツイッターで、ユーザーがオプションを無効にしている場合でも、クラウドにデータが転送されていると指摘する動画を投稿しました。Eufyのカメラが実際にはやや異なった方法で運用されていたというのです。
Eufyのカメラのデータセキュリティに関する問題についてのポール・ムーア氏のツイートの1つ
ムーア氏の動画は、彼が発見したという問題を実際の操作で詳しく見せたものです。検出は非常に簡単でした。ムーア氏は、Eufyのビデオインターホンをインストールした状態で、デバイスのWebインターフェイスにログインし、そこでブラウザーのソースコードを解析して、フレームに誰かが入るたびにカメラから画像をベンダーのサーバーに送っているのを見せています。これは、Eufyが保証している少なくとも1つ(「クラウドなし」)が事実とは異なることを示しています。
その後、ムーア氏は、データ保護に関わるより深刻な問題について、複数回ツイートしました。どう見ても、Eufyが言う「信頼できる」暗号化は、すべてのユーザーに対して、固定された同一のキーを使用しています。さらにひどいことに、キーが、この企業によってGitHubにアップロードされたEufyのコードに実際に表示されていました。後に、テック関連のニュースサイト、The Vergeは、ムーア氏ともう1人のセキュリティ専門家が指摘した点について、最悪のシナリオを確認したと伝えています。どうやら誰でもデバイス固有のアドレスに接続するだけで動画ストリームを表示できるようなのです。
不明瞭な説明
映像をクラウドにアップロードしていた問題については、完全に論理的な説明ができると言わざるを得ません。理論上、Eufyのカメラのしくみはこうです。まず、自宅にカメラを設置し、スマートフォンでアプリを設定します。誰かがスマートコールボタンを押すか、認識システムがフレーム内に誰かが表示されたのを検知した場合、スマートフォンに画像が添付された通知が届きます。そのような通知を送信する唯一の方法は、ほとんどの場合クラウド経由になります。では、なぜEufyはクラウドなしのエクスペリエンスを約束したのでしょうか?
リモートでアクセスできる動画ストリームについてはどうでしょうか?The Vergeとその情報源は、問題のすべてについては開示しませんでした。脆弱性が大規模に悪用されるリスクを考慮してのことです。しかし、明らかになっている一部の事実もあります。まず、動画ストリームの転送に暗号化は使用されていませんでした。実際、ストリームはまったく暗号化されておらず、VLCなど普通のメディアプレイヤーで視聴することが可能でした。次に、特定のカメラには、その固有のURL、つまりそのインターネット上のアドレスを知らなければアクセスできません。しかしながらこれらのアドレスは、予測可能な方法で生成されています。基になっているのは、箱に直接印刷されているデバイスのシリアル番号と現在の日時です。それに(追加の「セキュリティ」として)、ランダムな4桁の数字が追加されますが、これは総当たり攻撃で簡単に判明します。デバイスのシリアル番号を手に入れた攻撃者からカメラのユーザーを守るためにできることは、カメラがデータをアップロードしないように設定しなおすことだけです。データアップロードは最初ににアクティベーションされる必要がありますが、例えばインターホンのボタンを誰かが押すなど、極めて簡単な行為によって他人が接続し、データが盗まれてしまう可能性があります。
EufyのメーカーであるAnkerは、申し立てを認めるか否定するかを求められましたが、それによって事態はさらに混乱する結果となりました。The VergeとArs Technicaによって指摘されたように、開発者は、セキュリティ問題の存在をきっぱり否定しました。個別の問題について尋ねられた際に、少なくとも2度声明を発表しましたが、それらは後に反証されました。
まず1つ目、企業側はカメラからライブ映像を見ることはできないことを「確認した」と述べましたが、The Vergeは、所有するEufyカメラのうち2つを使って実際にカメラからライブ映像が視聴できることを実証しました。2つ目、ベンダーは、インターホンの映像が企業のサーバーに送信されることを認めましたが、目的は通知がスマートフォンに送信されていることを確認するためのみであり、確認後は画像が削除されるとしていました。しかし、これもムーア氏による簡単なテストによって反証されました。個人アカウントでカメラの画像を表示した後、画像のURLを保存し、画像をスマートフォンから削除しました。これで個人アカウントから画像は消去されましたが、保存したURLをブラウザーのアドレスバーに入力しただけで画像にアクセスできました。前述のもう1人のリサーチャーは、さらに踏み込んだ検証を行いました。まずビデオカメラを完全にリセットします。これにより、アカウントで保存した動画がすべて削除されましたが、デバイスをアカウントに再度リンクすると、なんと消したはずの動画が表示されたのです。
セキュリティ業界では、脆弱性に関する情報の開示方法やベンダーが取るべき対応などについて、一定の倫理基準が定められています。しかし、Eufyのケースでは、基準が全く遵守されていません。企業側は、問題を修正する機会が与えられた一方で、リサーチャーは脆弱性を即座に公開しました。そして、企業は脆弱性の問題を否定することを選び、これが事態をさらに悪化させてしまいました。Eufyは、第三者機関の専門家の申し立てに反論する技術的な証拠を提示しませんでした。うそを立証した投稿の後でムーア氏が気づいた唯一の変化は、以前はHTMLに平文で表示されていたカメラフレームへのリンクが難読化されるようになったことだけでした。つまり、情報は今もEufyのサーバーに送られています。ただトレースしづらくなったという程度です。
このように、ベンダーはWebサイトで示した約束をもう1つ破りました。どうやら誰もチェックしないだろうとたかをくくっていたようです。しかし、Eufyの行動は、企業の約束を破っただけではなく、EUのGDPRといった地域のユーザーデータ保護法にも違反しています。
身を守る方法
Eufyのケースは発覚してからまだ日が浅いものであり、今後も追加の調査を継続することによって、見知らぬ人物が特定のユーザーまたはランダムなユーザーのネットワークカメラの映像を傍受できるということをはっきり証明する必要があります。
一方で実ははるかに深刻な問題が判明したケースがあります。2021年、中国メーカーHikvision製のネットワークカメラに、攻撃者がデバイスを完全に掌握できる重大な脆弱性があることがわかりました。修正用のパッチがリリースされましたが、1年たってもまだ世界で数万台のビデオカメラが脆弱なままで、第三者がアクセスすることが可能でした。そのようなユーザーのなかには脆弱性があることにすら気づいていない人もいたと見られています。これは最悪のシナリオと言えます。
では、責任は誰にあり、私たちはどう備えればよいのでしょうか?残念ながら、IoT業界はほとんど標準化されていません。そのため、少なくとも最低限のセキュリティを保証するといった一般的に受け入れられているような規範がありません。ベンダーは、利用できるリソースと自社のセキュリティに関する見解に基づいてデバイスを保護しているのが現状です。どのベンダーを信頼するかの決断はユーザーに委ねられています。
Ars Technicaが指摘したように、デバイスにレンズとWiFiが備わっている場合は、遅かれ早かれ誰かしらがセキュリティホールを見つけます。興味深いことに、デザインの上ではよく似たデバイスであるノートPCやスマートフォンのWebカメラは、はるかに適切に保護されています。カメラの作動中はインジケーターが点灯し、セキュリティソリューションがアプリを監視して、無許可のアクセスをブロックします。
一方、ネットワーク監視カメラは、自主的に場合によっては24時間体制で作動します。残念ながら、一般的に受け入れられたデバイスセキュリティ評価システムが登場するまでは、ベンダーの「保証」を鵜呑みにするべきではありません。自分のプライバシーを守るために自身で対策を講じてください。ビデオ監視システムの所有者は、自分のデバイスのセキュリティの問題に関するニュースに目を光らせ、カメラの設定を慎重に評価し、使用しないクラウド機能はオフにして、アップデートを定期的にインストールすることをお勧めします。ビデオ監視システムを自宅に設置すると決めたら、すべてのリスクを慎重に検討してください。ハッキングによる潜在的な損害のほうが明らかに甚大なのですから。
ヒント