自己紹介
初めまして。昨年4月に入社した、二年目になったばかりのTachanです。
一つ上のY.T先輩と同じグループに所属し、毎日技術の習得に励んでいます。
先日、AWSの認定試験に合格しましてルンルンです。
さて今回、初めてブログを書いてみました。テーマは Insecam です。
みなさまは、玄関やお店に監視カメラを設置していますでしょうか。
私はマンションのエントランスやエレベーターで見かけます。
小学生の時、カメラにピースして遊んでいました。
ここで一つ想像してみてください。
もし、そのカメラが、Webサイトから誰でも見られる状態だったらどうしますか?
・・・怖いですね。
もしカメラが室内にあったら…プライベートや機密情報がまる見えですね。
そんなサイトがこの世の中に無いことを願いたいところなのですが、実はこの世に存在しています。
Insecamとは
「Insecam」というサイトがあります。
Insecamは16,000台※以上のライブストリームを備えたオンラインセキュリティカメラのサイトで、誰でも見ることができます。
URLはこちら→
Insecam - World biggest online cameras directory
※2020年4月9日現在で16,308台確認
監視カメラの映像がウェブサイトで見られるということで驚いた方もいらっしゃるかもしれませんが、全てのカメラの映像が見ることができるというわけではありません。
いくつかのメーカーで、ユーザー名とパスワードがデフォルトの設定であるカメラがInsecamに登録された場合見ることができるようです。
初期のユーザー名とパスワードは、メーカーのHPにある製品マニュアルや、デフォルトのパスワードのリスト:
IP camera default password list (2019) - Learn CCTV.com
などから確認ができます。
Insecamでできてしまうこと
Insecamでは、登録されたカメラの映像をリアルタイムで見ることができます。
私が実際に見たところ、飲食店で食事をしている方や、室内でモニターを使って会議をしている様子を確認することができました。
(※現在は、プライベートを侵害する恐れのあるカメラの新規登録は行わないようInsecam側でフィルターされています。)
また、このサイトでは、カメラからの映像が見えるだけではなく、IP Geolocationを基にした緯度・経度・郵便番号を確認することができます。
そして何よりも危険なのは、ライブ映像をクリックすることで管理者のログイン画面までアクセスできてしまうことです。
他人に見られないための対策
他人に見られないための対策として、まずInsecamへの登録を防ぐために以下の対策の実行を推奨します。
ユーザー名とパスワードを初期設定のものから変更する
総務省が推奨している適切なパスワード設定方法を参考にして設定いただくことを推奨します。
アクセス制限を行う
もし、不特定多数からのアクセスが不要であればアクセス制限や停止を行いましょう。
アクセス可能な送信元を限定することで不正アクセスを阻止することができます。
また、インターネット接続の必要性を再検討しましょう。
カメラのファームウェアは最新にしておく
ファームウェアとはハードウェアを制御するために組み込まれているソフトウェアのことです。パソコンでいうとBIOSがファームウェアにあたります。
バージョンが古いままの場合、深刻な脆弱性を残しておくことになります。
もしカメラのユーザー名とパスワードが不正入手で破られてしまった場合、その脆弱性を利用し、他のシステムを攻撃するための踏み台にされてしまう恐れがあります。そのため、ファームウェアは最新の状態にしておきましょう。
次に、Insecamで自分のカメラが見つかった場合、下記の対策を推奨します。
管理者に削除を求める
管理者に削除を求める方法は、Insecamで自分のカメラを指すURLをコピーして、リストから削除するように求めるメールを送信すればOKです。
ユーザー名、パスワードを変更する
デフォルトの設定から変更しましょう。設定方法が分からない方はとりあえずカメラの電源を落とすでもOKです。その後にマニュアルで設定方法を確認してください。
また、テリロジーでは、Tempered AirWallを使ったソリューションを提供しています。デバイスを、HIP(Host Identity Protocol)を使ってステルス化することで、情報漏えいや外部不正アクセスをシャットアウトすることができます。
さいごに
今回のまとめは以下のとおりです。
- 「Insecam」という誰でも世界中の防犯カメラ映像をのぞき見することができるサイトがある
- ユーザー名、パスワードがデフォルトの状態だと「Insecam」に登録されることがある
※プライベートを侵害する恐れのあるカメラの新規登録は行わないようフィルターされている - Insecamへの登録を防ぐために、ユーザー名とパスワードを初期設定のものから変更し、適切なアクセス制限をかける。また、ファームウェアは最新にしておく
- もし自分のカメラが登録されていたらサイトの管理者に削除を求め、ユーザー名とパスワードを変更する
パスワードを設定しなかっただけでインターネットに情報が公開されてしまうなんて恐ろしいですね。
このようなトピックはIPカメラに限った話ではなく、IoT機器すべてにおいて同様のリスクがあります。
身の回りにIoT機器が急速に普及している中、セキュリティ対策まで目がいかないということもあり、攻撃者たちにとっては絶好のチャンスです。
IoT製品が脅威にならないために、今一度、設定やアクセス制御の再確認をし、セキュリティを高めていきましょう。
読みづらい箇所もあったかと思いますが、読んでいただきありがとうございました。
セキュアなプロトコルHIPを利用するIDN(Identity-Defined Networking)とは?
