事例Use case

【Bitdefender海外ブログ】数百万台のネット接続防犯カメラに乗っ取りの脆弱性

2019.7.30

ツイート シェア 送る はてブ

hichip-camera-with-uid.png

ウェブカメラが乗っ取られると盗み見される危険が

数百にのぼるブランドのビデオ監視機器の通信技術に2つの脆弱性が見つかりました。この脆弱性により、防犯カメラ、ベビーモニター、スマートドアベルがハッカーに乗っ取られる恐れがあります。オンライン上では、200万台のデバイスに脆弱性が見つかり、その数はさらに多い可能性もあります。

脆弱性の対象とされるデバイスには、iLnkP2Pという共通のコンポーネントが使用されています。iLnkP2Pは、ローカルネットワークの内部または外部にある遠隔デバイス(パソコン、携帯電話)とカメラの間の接続を容易にするもので、ユーザーの労力を最小限に抑えアクセスできるようにします。

残念ながら、このP2P型コンポーネントには脆弱性があり、対象デバイスは完全にハッカーに制御されてしまいます。攻撃は、2つのバグを組み合わせることで実行されます。始めに、脆弱性がある機器を発見し、さらにその機器への接続情報を傍受します。これによりログイン認証情報が盗まれ、機器が乗っ取られる恐れがあります。

現在は、基準や規制がないままに販売されているIoT機器

上記2つの問題は、セキュリティエンジニアのPaul Marrapese氏によって発見されました。Marrapese氏は1月15日から各ベンダーにいくつかの問題を報告しましたが、返答はありませんでした。2月4日にはiLnkP2Pのメーカーを特定し(Shenzhen Yunni Technology Company, Inc.)、同メーカーにも問題を報告。10日後に再度、開発者宛てにメッセージを送りましたが、これに対しても返答はないままです。

これは、製品のセキュリティについてIoT開発者に警告しようとする時に、研究者がよく直面する問題です。基準や規制がないことが原因で、ベンダーは一定の水準を満たさなかったり、ユーザーや研究者が問題の報告をする問い合せ窓口を明らかにせずにガジェット製品を売りに出す事態が生じてしまいます。

Marrapese氏は、固有識別番号(UID)によって脆弱性のあるデバイスを特定することにも成功しました。UIDは製造者が割り当てる番号で、遠隔コンピュータから接続するために使用されます。Marrapese氏の調べによると、HiChip、TENVIS、SV3C、VStarcam、Wanscam、NEO Coolcam、Sricam、Eye Sight、HVCAMのすべての製品にiLnkP2Pが使用されており、脆弱性が見つかりました。

「iLnkP2Pを使用しているブランドは他にも多数あり、そのため脆弱性のあるデバイスの特定は困難です」とMarrapese氏は言います。

Marrapese氏はこの問題の報告書の中で、デバイスの脆弱性を確認できるUIDの頭文字のリストを提供しています。ご自身のデバイスが対象かどうかを確認するには、リスト内の頭文字とデバイス上に印字されたUIDを照らし合わせてください。

該当するUIDが見つからない場合は、脆弱性が見つかる可能性のあるデバイス向けのAndroidアプリのリストもMarrapese氏によって提供されていますのでご覧ください。

HiChip: CamHi, P2PWIFICAM, iMega Cam, WEBVISION, P2PIPCamHi, IPCAM P
VStarcam: Eye4, EyeCloud, VSCAM, PnPCam
Wanscam: E View7
NEO: P2PIPCAM, COOLCAMOP
Sricam: APCamera
その他: P2PCam_HD

ハッキングの被害を避ける方法は、基本的に2つあります。信頼できるメーカーやベンダーから製品を買うこと、またはセキュリティサービスに投資することです。セキュリティサービスを導入することにより、悪用されそうな時に自動でブロックしてくれたり、ローカルネットワーク内の機器の脆弱性を警告してくれるなど、負担から開放されます。

翻訳元記事:Millions of Connected Cameras Vulnerable to Hijacking
画像著作権 Paul Marrapese

セキュリティカメラなどIoT機器を安全に使用するためのヒント

1. リサーチを行う
知名度が高いブランドを選んでください。セキュリティに対してより真剣に取り組んでいます。

2. 初期パスワードを変更する
多くのスマート家電には、メーカーが初期パスワードを設定しています。このパスワードを変更しないまま放置しておくと、不正侵入の原因となるため、必ず変更するようにしてください。パスワードは8文字以上で作成し、大文字・小文字・数字・特殊文字を使用すると強度が高くなります。

3. セキュリティ更新や修正情報を確認する
メーカーが発表している最新のセキュリティパッチ情報を常に確認し、OSやファームウェアを最新に保つようにしてください。または脆弱性診断ツールを使用して、自動的にこれらの情報を確認できるようにすると便利です。

4.スマート家電専用のWi-Fiネットワークを作る
スマート家電用にもう1台ルーターを用意し、個人情報など重要な情報を保存しているPC等と、スマート家電のWi-Fiネットワークを分けておきます。この方法により、万が一スマート家電がハッキングされた場合でも、個人情報に侵入される心配はありません。多くのルーターは、ゲストネットワークを設定できるようになっていますので、この機能も活用しましょう。

5.専用のセキュリティサービスを導入する
SECURIE powered by Bitdefenderは、スマート家電、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。

securie_service.PNG