Kaspersky Labの調査チームは、乳幼児の見守りや防犯用として使われているスマートカメラに、セキュリティ上の脆弱性が複数あることを発見しました。今回発見した脆弱性により、サイバー攻撃者がスマートカメラにリモートからアクセスし、さまざまな悪事を働くことができるようになることがわかりました。
[本リリースは、2018年3月12日にKaspersky Labが発表したプレスリリースに基づき作成したものです]
Kaspersky Labの調査チームは、乳幼児の見守りや防犯用として使われているスマートカメラに、セキュリティ上の脆弱性が複数あることを発見しました。当社の調査では、今回発見した脆弱性により、サイバー攻撃者がスマートカメラにリモートからアクセスし、さまざまな悪事を働くことができるようになることがわかりました。
Kaspersky Lab ICS CERTのリサーチャーが調査したスマートカメラは、複数の高度な機能を搭載し、ユーザーにさまざまなオプションを提供しています。たとえば、人感センサーにより乳幼児の見守りや、無人の自宅やオフィスへの侵入者を検知するために使用することもできます。 ユーザーはスマホなどのデバイスを使い、クラウドサービスを介してスマートカメラの設定やコントロールを行いますが、通信などの安全性が確保されておらず、外部からの干渉に対して比較的無抵抗であることがわかりました。また、そのクラウドサービス自体のアーキテクチャに適切なセキュリティ設計が施されておらず、複数の脆弱性の存在も判明しました。
■ 発見した脆弱性をサイバー攻撃者が悪用した場合、実行可能になること
- 脆弱なクラウドサービスに接続している、全スマートカメラの動画や音声のフィードに不正にアクセスする。
- スマートカメラへのルートアクセス権限を入手し、ローカルと外部ネットワークの両方に接続している、ほかのデバイスへの攻撃の足がかりとして使用する。
- スマートカメラに対し、悪意あるコードをリモートでアップロードし実行する。
- ユーザー通知の送信に使用される情報など、個人情報を窃取する。
- 脆弱なカメラをリモートで操作不能にする。
この発見後、Kaspersky Lab ICS CERTの調査チームは、スマートカメラのメーカーであるHanwha Techwin(ハンファテックウィン)社に不具合を報告しました。同社によると、本プレスリリースの発表時点では一部の脆弱性はすでに修正済みで、残りもまもなく解決される見込みです。重要なことは、このような攻撃はサイバー攻撃者がリモートカメラのシリアル番号を把握している場合にのみ可能であるということです。しかし、シリアル番号は、単純なブルートフォース攻撃で比較的簡単に見破れる上、このスマートカメラの登録システムは、ブルートフォース攻撃への対策を施していませんでした。
また、リサーチャーは調査中に、脆弱な約2,000台のスマートカメラがオンライン上にあることを発見していますが、これらは独自のIPアドレスを持っていてインターネット経由で直接アクセスできたもののみで、ルーターやファイアウォールの内側にあるスマートカメラの台数は、この数倍になる可能性があります。
さらに、スマートカメラのマニュアルに載っていない機能も発見しました。この機能は、Hanwha Techwin社が最終テストのために使用したものと思われますが、サイバー犯罪者もこの隠れた機能を使用して、スマートカメラに不適切な信号を送信したり、すでに送信済みのコマンドを変更したりすることができます。この機能自体が脆弱で、悪用すればバッファオーバーフロー、スマートカメラのシャットダウンもできることが判明しました。同社はすでにこの問題を修正し、機能そのものを削除しました。
Kaspersky Labは、サイバーセキュリティを強化するようメーカーに働きかけ、脅威のリスクの適切な理解と評価、および「セキュアバイデザイン」環境の開発の重要性を強調しています。当社は、発見した脆弱性を適切に報告し、メーカーと積極的に協業しています。
■ Kaspersky Lab ICS CERTの脆弱性研究グループ責任者のウラジーミル・ダーシェンコ(Vladimir Daschenko)のコメント
「IoTデバイスのセキュリティに伴う問題は、デバイスをルーターの内側に置きインターネットから隔絶しさえすれば、セキュリティの問題の大半は解決される、少なくとも既存の問題の重大性を大きく引き下げられるという思い込みを、消費者とメーカーの両方が持っていることです。多くの場合、これは間違っていません。標的のネットワークの内部にあるデバイスが抱えるセキュリティの問題を悪用するには、まず、ルーターにアクセスする必要があるからです。しかし、当社の調査の結果は、このケースがそれにまったく当てはまらないことを示しています。調査対象となったスマートカメラが外部と通信するにはクラウドサービスを経由しますが、このクラウドサービス自体が全般的に脆弱だったのです。興味深いことに、マルウェアの感染やボットネット化のほか、スマートカメラが仮想通貨の採掘に使用されていた可能性があることもわかりました。マイニングは企業が直面するセキュリティの大きな課題の1つになりつつありますが、IoTデバイスの普及につれて、IoTマイニングも1つのトレンドとなり、拡大を続けています」
■ Kaspersky Labからの推奨事項
この脅威を防ぐために、Kaspersky Labのリサーチャーは、次の対策を推奨しています。
- パスワードは規定値のままにせず、必ず変更してください。複雑なパスワードを使用し、定期的な更新を忘れずに行うことをお勧めします。
- 自宅やオフィスに新しいスマートデバイスを設置する前に、セキュリティの問題に細心の注意を払いましょう。既知の脆弱性や、パッチがリリースされている脆弱性に関する情報は、通常オンラインで発表されています。
■ Kaspersky Lab ICS CERTによる当調査の詳細は、Securelistブログ「Somebody’s watching! When cameras are more than just ‘smart’」(英語)をご覧ください。