orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

「I'm hacked, Bye2」監視カメラに不正アクセスって何をいまさら

f:id:orangeitems:20180508093302j:plain

 

監視カメラのハッキングが話題

監視カメラのハッキングが話題だそうですが、いまさら感があります。

 

www.nishinippon.co.jp

インターネットに接続されたキヤノン製の監視カメラへの不正アクセスが相次いでいる問題で、千葉県銚子市沖の洋上風力発電施設の状況を海岸から確認する東京電力のカメラも被害に遭っていたことが7日分かった。

 

jp.reuters.com

インターネットに接続されたキヤノン製の監視カメラが、相次いで外部からの不正アクセス被害を受けていることが、情報セキュリティー専門家への取材などで7日、分かった。

 

インターネットにさらされている監視カメラは公開されている

ロシアの「Insecam」にて、インターネットに接続されているWebカメラは確認可能となっています。(※特に不審なスクリプトは見受けられませんが、自己責任でアクセスをお願いします。)

www.insecam.org

このサイトでは、国別だけではなく、メーカー別、業種別、都市別、タイムゾーン別などソートできるようです。日々インターネットをクローリングして、晒されているWEBカメラを自動的に取得し、IPアドレスやURLを判別しているように見えます。

さらに、このサイトのソースを見ればわかるのですが、IPアドレスが確認できます。

例:

src="http://****:81/-wvhttp-01-/GetOneShot?image_size=640x480&frame_count=1000000000"

※****がIPアドレス

インターネットに晒されているCanonのWEBカメラのIPアドレス、という情報ならすでにデータベース化されかつ誰でも取得可能な状況です。かつ、管理画面にも上記IPアドレスからアクセス可能です。

基本的にこのようなIoT機器では、ブルートフォース攻撃やリスト攻撃には無力なことが多くて攻撃に対する防御力がもともと弱く、最悪のケースだとデフォルトのID/PASSWORDを変えていないというケースもあるので、以前から脆弱性が叫ばれていました。

また、UPnP(ユニバーサルプラグアンドプレイ)に対応しているWEBカメラも多数あり無意識にインターネットに晒すケースも増えていると思います。

 

まとめ

もし、監視カメラのハッキングを事件化するのであれば、上記のサイトにて露わになっている一つ一つの監視カメラこそ、問題視するべきだと思います。

そもそもInsecamと言うサイトは、2014年からすでに話題になっています。

jp.techcrunch.com

やっと、一般の話題に上がったようですが、何しろ、日本に現時点で2276か所のWEBカメラがこのサイトに登録されているわけで、ゆゆしき事態だと思います。