2018年3月30日

スマートカメラも不正アクセスと無縁ではない

テクノロジー 脅威 製品

スマートデバイスは、普及しているわりには安全ではないのが実情です。セキュリティの欠如が家庭用コネクテッドデバイスを利用する人々にもたらす脅威については、先日のブログ記事で書いたとおりです。本日の記事では、Kaspersky Labのエキスパートによる新たな発見に注目します。ユーザーマニュアルに記載された機能の数とほぼ同じくらいの脆弱性(英語)を抱えたスマートカメラのお話です。

発見された脆弱性の数はなんと13個。その全容はSecurelistのレポート(英語)をご覧いただくとして、このようなカメラを持っているとどんなことになる可能性があるのか見ていきましょう。

調査対象は、Techwinが開発したスマートカメラHanwha SNH-V6410PN(英語サイト)です。同社の親会社は数年前に変わっていますが、このカメラは2017年末までSamsungブランドで製造されていました。

このカメラは、育児室や一般家庭、小規模事務所にも適した汎用モニタリングツールとして市販されています。暗い場所も鮮明に映し出し、移動する物体を追跡可能、スマートフォンやタブレットに画像をストリーミングし、内蔵スピーカーから音声を再生することもできます。

デスクトップコンピューターやモバイルデバイスからクラウドサービスにアクセスすれば、このWebカメラを自在にコントロールできます。しかし、Kaspersky Lab ICS CERT(英語サイト)が実施した調査によると、持ち主ではない他人がこのカメラを操作できてしまう脆弱性があることが判明しました。さまざまな攻撃に悪用される可能性があります。

起きていることを見せない

たとえば、利用者へと配信される動画ストリームを、部外者が別のものに置き換えることができます。映画などで、悪者が(正義の味方でもいいです)1週間前の監視カメラの映像を使ってガードマンを欺き、厳重に警備された施設へ忍び込んだりしますが、あんな具合です。これはもう映画だけの話ではありません。このスマートカメラで監視されている住宅やオフィスビルに侵入を企む本物の犯罪者が、このトリックを使えるのです。

まったく同じカメラを使って、侵入前に必要な情報を収集することもできます。当社のエキスパートは、動画ストリームおよび音声チャネルの傍受と、位置情報データの入手に成功しました。ということは、侵入を企む者はカメラの位置を把握し、住民または従業員のクセや習慣を研究し、侵入計画を慎重に練ることができるのです。それも、遠隔地からインターネット経由で。

電子の目でのぞき見る

このようにドラマチックなシナリオは除外したとしても、ハッカーがこのカメラをさまざまに利用できるのは確かです。他のスマートデバイスと同様に、このカメラも、カメラの監視範囲内で起きていることを所有者へ通知するのにSNSやオンラインサービスを使ってデータをやりとりします。そのため、カメラに侵入してコントロールできるようになったハッカーは、所有者のアカウントデータにアクセスできるだけでなく、その人の友人にスパムメールやフィッシングメッセージを送信できるようにもなります。

また、侵入の痕跡を隠すため(または、ただ面白がって)カメラを完全に破壊することも可能です。

他にもあります。たとえば、カメラをハッキングして、自分の他に誰もいないと思っているカメラの持ち主の様子をじっと観察するとか。こういった悪ふざけをするハッカーはどこかしらにいます。

また、カメラは内蔵スピーカーから音声を再生することもできます。想像力を働かせすぎるのもどうかとは思いますが、子供部屋に設置してあるカメラを通じて知らない人が話しかけてくるかも…。そう考えたら、このようなものをインターネットに接続させるのはいかがなものでしょう?

サイバーゾンビの襲撃

数年前、世界はIoTボットネットが持つポテンシャルを思い知らされました。犯罪者の支配下にあった何千台ものスマートデバイスが、大手インターネットサービスを次々とダウンさせたのです。Hanwha Techwinのスマートカメラも例外ではありません。犯罪者たちは、ハッキングした多数のカメラをDDoS攻撃に使ったり、暗号通貨のマイニングに駆り出したり、あるいは、同じネットワーク内の隣接したデバイスに感染するように命令したり…または、これらを全部実行することも可能です。

懸念される可能性

実際、Hanwhaは家庭用やオフィス用のカメラのほか、産業用CCTVシステム(英語)も作っています。同社の製品ラインナップには、自走砲機関銃を搭載した哨戒ロボット(英語)など、他にも興味深い製品が並んでいます。これらデバイスに関しては、セキュリティが最優先事項であることを願うばかりです。

自動機関銃砲塔、Samsung Techwin SGR-A1(写真はWikipediaより

当社は、Hanwha SNH-V6410PNのファームウェアおよびデバイスコントロール用のクラウドサービスに見つかった問題をすべてメーカーに報告し、その大半は同社により修正されました(英語記事)。

しかし、すべてのスマートデバイスメーカーが自社製品の保護についてもっと真剣に取り組むようになり、開発サイクルの初期段階からセキュリティを意識するようになるまで、利用者である皆さん自身がセキュリティを意識する必要があります。

  • カメラであれ何であれ、スマートデバイスを購入する場合は、本当にネット接続が必要なのか今一度考えてみましょう。本当に必要ならば、買おうとしているデバイスに対して過去にハッキングが試みられたことはないか、既知の脆弱性がないか、インターネットで検索してみましょう。
  • すでにスマートデバイスをお持ちの場合は、攻撃されるリスクを減らす対策を取りましょう。新しいファームウェアが出たら適用し、既定のパスワードは別のものに変更してください。