Webカメラの「ハッキング」は誰の責任?

2014年12月1日

数日前、「Webカメラのハッキング」「乗っ取られたベビーモニター」「ロシアのWebサイトが英国市民を監視」といったニュースが話題になっていました。他人のWebカメラの映像を中継するサイトが見つかったのです。各関係者のコメントから判断するに、状況は確かに深刻です。一体なぜなのでしょうか?

eye_SQ

それは、一般のユーザーから政府関係者からWebカメラのメーカーに至るまで、そろって相手を非難するばかりで解決策を見つけようとしていないからです。今回のニュースの主な教訓は、「インターネットに接続するデバイスを持っているなら、最新のセキュリティニュースを常に追っていなければならない」ということ。そうしなければ、あるとき自分の私生活がネット上に公開されてしまうかもしれません。しかも、自分ではそのことに気づくことさえできないのです。

何が起きたのか?

たとえばWebカメラを買ったとしましょう。USBポートでコンピューターに接続するような一般的なWebカメラではありません。動画のストリーミングができるし、赤ちゃんやガレージの車や家の近くの歩道などを別の部屋、別の街、別の国から見ることができる、素敵なワイヤレスカメラです。カメラを繋いで「簡単設定マニュアル」のとおりに設定するだけで、ちゃんと動いてくれます。何という素晴らしい技術!まさに現代デジタル社会の象徴です!

ところが、そうでもありません。問題は「ちゃんと動いてくれる」という部分にあります。結局のところ、ユーザーはデバイスが動くというだけで満足してしまい、既定のパスワードをわざわざ変更しようとはしません。変更できることすら知らない人や、変更が推奨されていることを知らない人もいるでしょう。

パスワードを変更しないと、カメラの正確なアドレスと既定のパスワード(「1234」など)を知っている人物に、プライベートな情報を見られてしまうかもしれません。では、カメラの正確なアドレスはどうやったらわかるのでしょうか?ちょっとしたトリックを使ってGoogle検索すれば、オンライン上に無数にあるWebカメラへのリンクにアクセスできるのです。

ほどなくして、保護されていないWebカメラを検索可能なWebサイトが立ち上げられました。カメラの所在地を国別や地域別に(IPアドレスに基づいて)並べ替えることも可能です。さらに、入場者制限を設けたあるフォーラムでは、Webカメラで撮影した「すごい」スクリーンショットについて議論するスレッドまで作成されています。大変な事態になりました。

誰の責任なのか?

「全員に責任がある」とも言えますし、「誰の責任でもない」とも言えます。まずはサイバー犯罪者について考えてみましょう。実際のところ、先述のWebサイトを立ち上げた人物は、高度な技術を使って何かをハッキングしたわけではありません。カメラのソフトウェアのぜい弱性を利用したわけでもなければ、フィッシングサイトを構築して個人のパスワードを盗むといったこともしていません。不適切な設定を利用しただけです。

このサイバー犯罪者たちは、セキュリティを念頭に開発されていないデバイスに侵入しました。たとえるなら、誰かがカフェに置き忘れた財布を持って行くようなものです。そもそも、公共の場に財布を放置するべきではありません。置き忘れた財布を盗むのは、人の家に押し入るのとは違います。もちろん、悪いことには違いありませんが。

次はユーザーの責任について考えます。ユーザーは既定のパスワードを変更しませんでした。マニュアルのどこかでパスワードの変更が推奨されていたはずです(たとえば57ページに小さく記載されていたかもしれません)。でも、皆さんは「ちゃんと動いている」デバイスのマニュアルを毎回読むでしょうか?Webカメラのメーカーは、可能な限り使いやすいように製品を設計します。時には使いやすさを優先するあまり、セキュリティの問題を見落とすことがあるかもしれません。カメラを使い始める前に、既定のパスワードの変更を必要とするようにカメラが設計されていたとしたら(たった10行のコードでできる簡単なことです)、この事件を未然に防げたはずです。

ベンダーはどうでしょうか?ベンダーは「ハッカー」と、既定のパスワードを変更しなかった自社の顧客を責める傾向にあります。カスペルスキーは消費者の側に立つことにしているので、インターネットに接続されるデバイスはセキュリティを第一に考えて設計されるべきと考えています。また、ベンダーは(どの企業も例外なく)セキュリティについてできるだけ簡単な言葉で顧客に説明する必要があり、そして、顧客のプライバシーを保護するために全力を尽くさなければならない、とも考えています。

素晴らしいコンピューターの世界へようこそ!

なぜこのような事件が起きるのかというと、一般的に、多くのデバイスが、簡単な機能を1つか2つ(動画のストリーミングやWi-Fiへのアクセスなど)実行するだけの単純なツールと考えられているからです。

現実はそれよりずっと複雑です。カメラ、家庭用ルーター、スマートテレビ、セットトップボックス、ミュージックプレイヤーの多くは正真正銘のコンピューターであり、普段使っているよりもはるかに多くの機能を持っています。メーカーは標準的な汎用ハードウェア/ソフトウェアを使用しているため、最も安上がりな方法で多くの機能を盛り込む傾向があります。家庭用のルーターはWi-Fi接続を利用できるようにする機器ですが、非常に強力で高度な技術が使われており、宇宙船をコントロールすることもできるほどです。サイバー犯罪者はそこにつけ込みます。

アドバイス

ハードウェアやソフトウェアのメーカー、Webサービスのプロバイダーは、セキュリティについて十分に考えている企業ばかりではないため、ユーザー自身が対処しなければなりません。方法は2つあります。1つは、コンピューター、ソフトウェア、プログラミング、ネットワーク、ぜい弱性の分析、通信プロトコルについて学び、あらゆる脅威から守れるように自分のシステムを変更することです。

もう1つはプロに任せること。コンピューター、スマートフォン、タブレットに関しては問題ありません(カスペルスキー 2015 マルチプラットフォーム セキュリティの機能をご覧ください)。しかし、Webカメラ、ルーター、スマートテレビといったデバイスは多種多様であるだけでなく、ベンダーが意図的に外部レビューできないようにしているため、これさえあればすべてに対処できるというセキュリティ製品を開発することはほぼ不可能です。ですから、マニュアルを読み、ITに詳しい人にセキュリティ設定を任せましょう(ただし、パスワードは自分で入力してください)。

同様の「ハッキング」について詳しくは、Kaspersky Labのエキスパート、デイビッド・ヤコビー(David Jacoby)による素晴らしい研究、「自宅を『ハッキング』してわかったこと」という記事をご覧ください。

良いニュースがあります。この事件が報じられた2日後に、問題のWebサイトは閉鎖されました。しかし、悪いニュースもあります。このサイトは閉鎖されるまで、少なくとも6か月にわたって運営されていました。もっと悪いニュースも…。事件のきっかけとなった不適切な設定は、ロシアの技術系Webサイトで2013年8月という早い時期に明かされていました(言うまでもありませんが、本物のサイバー犯罪者たちはそのずっと前から利用していた可能性があります)。

問題のWebサイトが閉鎖されたからといって、被害を受けたカメラが安全になったというわけではありません。誰かがGoogle検索のようなシンプルなツールを使ってカメラを見つけ出し、アクセスする可能性は残っています。確かな対策はWebカメラの既定のパスワードを変更すること、それだけです。影響を受けるデバイスのメーカーは、少なくとも1社(Foscam)が判明しています。