catch-img

ネットワークカメラの脆弱性を突いたサイバー攻撃の脅威と対策

ネットワークカメラのセキュリティは意識してますか?


こんにちは。ネットワンパートナーズIoTスペシャリストの庄司です。

先日発表された、ネットワークカメラの乗っ取り可能な脆弱性についてのニュースはご存知でしょうか。


数百万台のセキュリティ・カメラに乗っ取り可能な脆弱性
URL:http://news.mynavi.jp/news/2017/07/21/130/


この「Devil's Ivy」という名がついた脆弱性は、LinuxベースのOSで gSOAP というSOPA通信用のライブラリを使用している環境で、スタックオーバーフローが発生する脆弱性を突いたものです。

記事の中で取り上げられているAXIS Communicationsでは、ネットワークビデオ機器の標準規格フォーラム:ONVIF規格の中のSOAP通信で該当のライブラリを使用していた事で影響を受けましたが、該当のライブラリは既にFixされたVersionをリリースしており、またAXIS Communicationsも脆弱性に対応した最新のファームウエアをすぐにリリースしています。


また弊社のカメラソリューションで取り扱っているVMS:Genetec Security Centerは、AXIS Communicationsの開発パートナーとしてワールドワイドで連携をしており、AXISの新しいファームウエアをあてたネットワークカメラを御利用頂けます。
Genetec news:https://www.genetec.com/about-us/news/blog/critical-security-vulnerability-for-multiple-onvif-based-devices


脆弱性を突いたサイバー攻撃


この脆弱性を突いて、ネットワークカメラを乗っ取る動画も公開されています。


動画では、アカウント管理されているカメラが(脆弱性を突いた)コマンドを実行した後、工場出荷時の状態にリセットされて、rootアカウントを一から設定し、Webブラウザでカメラの映像が表示されています。

ネットワークカメラのリーディングカンパニーとして、AXISのカメラは世界中で広く利用されている為に、
このアタックデモのターゲットにされたのだと思いますが、ニュース記事にもあるとおり、LinuxベースOS + gSOAPを利用しているデバイスは同じ脆弱性が存在するという事にご注意ください。

以前、IDとパスワードが初期設定のままの世界中のカメラを、勝手に覗き見ることができる「Insecam」というサイトが話題になりましたが、この脆弱性はIDとパスワードを堅牢なモノに設定されていたとしても、ネットワークカメラを強制的に工場出荷時の状態へ戻して初期設定画面から操作を行う為、アカウント管理だけでは防ぐことができない事がわかります。


このような脆弱性に対応するためにカメラのファームウエアを最新にしたくても、VMS側が対応しておらず脆弱性に対応できないというケースもあるようです。

繰り返しになりますがAXIS Communicationsとワールドワイドで連携しているGenetec Security Centerは脆弱性に対応した最新のファームウエアをすぐにリリースしており、このような脅威に対応しております。


ネットワークカメラの映像はデータであり情報です。

ネットワークカメラが乗っ取られた被害は、以下の様な事例が報告されている様です。
・業務パターンの収集
・カード情報や個人情報(マイナンバー/社会保障番号)の入手
・映画館の客席行動監視用のカメラから、映画動画を盗み取って海賊版に流出
・ボットネットの踏み台端末に利用(Miraiなど)


カメラの性能が向上した事で指紋パターン等の微細な情報まで抽出できる様になり、またこれまで主に防犯・防災で使われてきたネットワークカメラが、多くの業界・多くの用途に利活用される様になった為、サイバー攻撃を受けた時の影響は、今後拡大していくことが想像できると思います。

デバイスの対策だけでは対応できない

上記のデモ動画では、ネットワークカメラへ直接アクセスして脆弱性を突くアタックをしています。
仮にネットワークカメラのファームウエアをアップデートして、この脆弱性に対応したとしても、
・ネットワークカメラの正規アカウント情報が流出
・カメラストリームを管理しているNVR/VMSの乗っ取り
・繋がっているPC/サーバにアクセスできる人が溜められた録画データを取得
等、ネットワークカメラ側からは正規のアクセスとして認識している複数の経路から、カメラ映像(データ)へアクセス出来てしまいます。

つまり「ネットワークカメラもネットワークに繋がる機器の一つ」と捉えて、接続する環境全体でセキュリティ対策とアクセス権限の管理が不可欠であると認識しなければなりません。


先の記事でもご紹介しましたが、ネットワングループでは、セキュリティを含めたネットワークに関わる環境の構築をご支援できます!



ネットワークカメラがサイバー攻撃を受けた時の影響と、セキュリティの必要性は認識して頂けましたでしょうか。是非このようなセキュリティの課題でお困りの際には、ネットワンパートナーズまでご相談頂ければと思います。



最後までお読みいただきありがとうございました。



庄司 未来(しょうじ みき)

庄司 未来(しょうじ みき)

ネットワンパートナーズ IoT技術スペシャリスト 【略歴】 2014: ネットワン入社 SEとして監視サービスシステム開発・運用・保守を担当 2017- :ネットワンパートナーズ IoTチームにJoin. IoT技術スペシャリストとして、主にネットワークカメラ製品の新規商材の検討、技術習得、ハンズオンなどをやってます。

人気記事

会社情報