2017年3月2日

Webカメラvs人間

ヒント プライバシー 脅威

先日、IPカメラが乗っ取られてプライベートな映像がオンライン上で違法売買されているというニュースがあり、インターネット上でまたもや議論が巻き起こりました。こうしたニュースは、いまさら驚くような話ではありません。ところが、新たに発覚した事件は、デリケートな要素を含んでいました。IPカメラが設置されていたのは、モスクワの形成外科クリニックです。映像がどんなものか想像がつくでしょう。この事件は最初にBBCロシアで取り上げられました(ロシア語記事)。Kaspersky Labの同僚は、この記事の中で設置側のセキュリティ対策の甘さを指摘しています。今回は、このテーマについてもう少し深く掘り下げたいと思います。

監視カメラがもたらす脅威とは?

CCTVカメラの映像が漏洩した場合、最もわかりやすくて不快な影響は、映像の中の人物が特定される可能性があることです。言い換えれば、犯罪者が個人を特定し、そこから得られる情報を利用して脅迫や窃盗を企てるかもしれないのです。言うまでもなく、これはプライバシーの侵害です。

もちろん、映像だけで相手の情報を十分に得られるわけではありませんが、世間の人は個人情報を積極的にネット上に公開しています。おそらく、この類いの事件で最も有名なのはポルノ女優の身元が暴かれたケースでしょう。ある画像掲示板の熱心な利用者が、FindFaceなどの顔認識サービスを使ってポルノ女優のソーシャルネットワークのプロフィールと連絡先情報を探し出し、晒しものにした事件です。

CCTVカメラの数はコンスタントに増え続けており、画質も同様に向上しています。モスクワでは、ほとんどのマンションのエントランスにIR(赤外線)カメラが設置されており、暗がりでも高画質です。近所のスーパーから自宅までの道のりにどれだけの監視カメラが設置されているか、ご存じですか?そこから起こりうる脅威や身を守る方法を考えたことはありますか?

残念ながら、監視カメラから完全に逃れる手立てはありません。あちこちで見かける監視システムをマスクや眼鏡、特殊メイクで騙すのは、もはや不可能です。最近のシステムは顔認識だけを利用するのではなく、歩き方やふるまい、表情なども分析しています。

ただし、そこまで高度なシステムを採用しているのは政府機関や最先端の商業施設くらいです。政府機関は公共の安全という目的を追求しています(そのように主張しています)し、商業施設は来店者に対してスピーディかつ効率良く商品を販売する方法を模索しています(英語記事)。その他の施設では古き良きIPカメラ、場合によってはWebカメラを導入しています。しかし残念ながら、カメラのセキュリティ対策を優先しているところはありません(英語記事)。

映像はどのように漏洩するのでしょうか。単純な話です。多くのカメラはインターネットにつながっていて、所有者が監視対象の地域をどこからでも確認できるようになっています。カメラにはWebインターフェイスからアクセスします。カメラにそれぞれ小さな専用Webサイトがあるようなイメージです。

このWebインターフェイスには、映像の角度の変更、ズームイン、録音などができる本格的な管理コンソールが実装されていることがあります。つまり、Webサイトにはテレビ放送のように延々と映像や最新の画像が配信されています。そして、これらの「Webサイト」や「放送」は、ネット接続したデバイスを検索するためのシステム(ShodanやCensysなど)で簡単に検索できてしまうのです。

まずはIPカメラを適切に設定すること

なぜ、専用検索エンジンで見つかったカメラから映像が流出するのでしょうか。一言で言うと、カメラの利用者もメーカーも、普通はセキュリティより使いやすさを優先するという問題があるからです。だから、監視カメラは総当たり攻撃で簡単にハッキングされてしまうのです。

とはいえ、リスクを減らす方法がないわけではありません。まずは、カメラのファームウェアを定期的にアップデートし、強固なパスワードを設定し、そのパスワードを定期的に変更することです。これらの手順は、ユーザーガイドや製品Webサイトのサポートページに記載されているのが普通です。

アップデートすることや強固なパスワードを設定することは、最低限のセキュリティ対策ですが、残念ながらこれで万事OKではありません。ファームウェアのアップデートや脆弱性パッチの提供が何か月も遅れるのはよくあることで、その間、カメラのインターフェイスに存在する秘密の(それほど秘密でもないのですが)穴が放置されたままになります。なお、大手メーカーだからといって必ずしも健全なセキュリティ対策を実施しているわけではありません。ですが、少なくとも大手ブランドは、政府から再三要求されている利用者のセキュリティ強化に対応しています(リンク先はいずれも英語記事)。

2つめは、使わない機能を常にオフにすることです。これは特に、カメラの設定台数が増加傾向にある各種クラウドサービスの場合に有効です。クラウドサービスは、スマートフォンのアプリからリモートで映像にアクセスする機能だけでなく、CCTVカメラの映像を保存する機能も提供している場合があります。こうした機能は確かに便利なのですが、一般の利用者からすると仕組みがよくわからず、実際のセキュリティレベル(英語記事)を評価するのは簡単ではありません。

その他の対策を実施するには、専門知識が必要になってきます。たとえば、カメラにHTTPSアクセスする方法もあります。もちろん、そうする場合は自己署名証明書を使うことになるでしょうから、ブラウザーから繰り返しアラートが表示されますが、少なくともやる意味はあります。

もう1つは、家庭用ルーターの設定を変更して自宅ネットワークを外部ネットワークから隔離し、一部の限られたデバイス機能だけを利用する方法です。また、NASストレージの形で中継デバイスを置くという方法もあります。シンプル機能のIPカメラであっても、映像監視ソフトウェアが付いています。当然ながら、その場合は先に説明したようにHTTPSアクセスを有効にしてください。

今どきは、どのデバイスもWebカメラを搭載

ここまでは、IPカメラについてお話ししてきました。Webカメラに関しては、どういった対応をするべきか、Kaspersky Dailyでも何度か取り上げました。簡単におさらいしてみます。まず、スタンドアロンのWebカメラであれば、使うときだけUSBポートへ差し込むようにしましょう。ノートPCに内蔵されたWebカメラであれば、レンズの上にテープを貼るのが手っ取り早い対策です。見た目が気になる場合は、市販のWebカメラ目隠しグッズを使うのがいいかもしれません。

スマートフォンの場合は、頑丈で不透明なケースカバーで背面カメラを覆い、前面レンズはテープを貼るとよいでしょう。それから、カメラ付きデバイス(付いていなくても…)にアンチウイルス製品を導入することも、どうぞお忘れなく。

その他のカメラは?

さて、公共の監視カメラに対しては、打つ手がありません。設置場所を把握し、できれば意図的に避けるくらいでしょう。周りから怪しまれて余計に注目されるかもしれませんが。マンションのエントランスホールや階段(ロシア語記事)に設置されているカメラのような、準公共的な監視システムについては、いくつか対策があります。

関連の規制は国によって異なります。たとえばロシアの場合、エントランスは共用部分と考えられており、監視カメラを設置するには居住者と管理会社の承認が必要です。カメラの所有者が専有部分を覗くことができないのであれば、普通は簡単に設置が承認されます。

とは言うものの、エントランスへの監視カメラ設置に物言いを付ける前に、こうしたカメラが暴漢や泥棒などの犯罪者の特定に役立つ可能性を考慮すべきでもあります。カメラが設置されていると、犯罪者は嫌がるかもしれません(偽物のカメラであっても)。ですが、隠しカメラやスパイ行為は論外です。

本人の同意なしにネット上へ映像が流出した場合は、法的手段に訴えて削除させることができます。ただし、微妙な問題があります。1つは、ストライサンド効果。ある情報を削除しようと手を打ったら、逆に関心を集めることになる現象です。もう1つは、ほぼすべてのことに関して法的特殊性が認められる可能性があること。たとえば、あなた以外に他の人々が映っているような公共の場の映像は、訴訟の対象にならないかもしれません。