防犯カメラの映像流出の本当のリスク

2016年1月に防犯カメラについてテレビや雑誌等マスコミを大きく騒がせた事件がありました。INSECAMというサイトに防犯カメラの映像が数万台という規模でインターネット上に公開されました。この事件は防犯カメラの映像流出事件として大きく騒がれ、弊社ブログでも取り上げました。

マスコミで取り上げられて2ヶ月が過ぎ、話題に上がることも少なくなってきたINSECAMの映像流出事件について改めて危険性ついて考えたいと思います。もし私の推測通りならばこの流出事件が孕む危険性はとても大きく恐ろしい問題がある思います。

そもそもどうして防犯カメラの映像が流出したのか。

防犯カメラの映像流出について流出に至るまでの技術的な手法です。概略だけ説明します。INSECAMがニュース等で取り上げられた時点で日本の防犯カメラは6000台以上公開されていまいたが、今では2800台(2016年3月27日現在)程度ですから、約半分になっています。2ヶ月の間に3000台の防犯カメラのIDとパスワードが変更された事により公開されている台数が減ったというのは考えにくいと思っています。対策を施したケースも多々あると思いますが、恐らくインターネットの仕組みによりアドレスを見失ったことにより公開されなくなったとケースも多々あると思います。

 

1.IPアドレスをサーチするソフト。

IPアドレスを検索するというソフトがあります。これはネットワークの現場などで使用すると大変便利なソフトです。簡単に説明するとコンピューターネットワークの世界は接続されている機器にはIPアドレスと呼ばれる番号が振られています。グローバルなネットワーク(インターネットと思って頂いても問題ありません)に繋がっている機器にはグローバルIPアドレス、ローカルなネットワーク(自宅や会社の中で完結しているネットワーク)に繋がっている機器にはローカルIPアドレスが振られます。会社や家庭ではルーターがグローバルIPアドレスを持ち、ルーターに接続されているパソコンやプリンター等はローカルIPアドレスが振られています。スマホやiphoneはLTEや3G回線の時はグローバルIPアドレスを持ち、会社や家庭のwifiに接続している時はローカルIPアドレスを持っています。

話を戻しますが、IPアドレスを検索するソフトは上記で説明した検索可能なIPアドレスを検索するといというソフトです。言い換えると「IPアドレスを検索するソフト」がインストールされたPCから接続可能なIPアドレスを検索します。このソフトで検索することにより生きている(現在使用されている)IPアドレスの一覧を作ることができます。つまり防犯カメラの映像の公開者(今回の場合はINSECAM)がグローバルIPアドレスの範囲を指定して「IPアドレスを検索するソフト」により世界中のIPアドレスを検索したことが予想されます。これにより検索時点での世界中で生きているIPアドレス(何かしらの機器が接続されているIPアドレス)の一覧を作成することができます。

2.ポートをスキャンするソフト。

前述の1.でIPアドレスのサーチについて記述しました。この作業で悪意ある人物によりIPアドレスをサーチすることで世界中で利用されているIPアドレスの一覧表が作成されたと思って下さい。当然ですが、これを読んでいるあなたのIPアドレスももちろん私のIPアドレスも一覧表の中には含まれています。但し、これだけではIPアドレスとあなたや私という個人情報とは結びつきません。ただ現在使用されているIPアドレスの一覧表を取得した状態です。

生きているIPアドレスの一覧表に対し悪意ある人物は次に何をするのでしょうか。悪意ある人物のスキルが高く、犯行意識も高ければ何でもできてしまうかもしれません。例えばパソコンを乗っ取り政府機関のサーバーにアタックをかける事や(実際にあった事件です。一時的とはいえ乗っ取られたパソコンの所有者が逮捕されました)、クレジットカード情報やネットバンキング情報を盗むことも可能かもしれません。ただ、これらの犯行を実行するためには悪意ある人物にも相当のスキルが必要です。

恐らく悪意ある人物はもっと簡単にスキルレベルも要求されない事を行うでしょう。それがポートスキャンです。グローバルネットワークとローカルネットワークのつなぎ目にあるルーターやパソコンには65536個のポートと呼ばれる穴があります。ポートは日本語に直訳すると港ですから外海と内海の間にあるルーターと呼ばれる検問(関所)があり65536本の通路があると想像して下さい。ルーターの役割の一つとして外部から特定のポートに接続された場合、予め設定された機器に接続するというIPマスカレードという機能があります。防犯カメラの場合はこの機能を活かし外部のパソコンやスマホ、iphoneから現地の映像を確認しています。ルーターにIPマスカレードの設定ということであれば最近では家庭用ゲーム機でも同じような設定をしている家庭も多くあるのでは無いでしょうか。

ポートをスキャンするソフトは65536個のポートの中で通過可能かつ、機器が接続されているポートを検索します。全てのポートをチェックするのではなく、主要なポート番号のみをチェックしているのかもしれません。主要なポート番号とは65536個のポートのうち1023番よりも若く、国際的なルールによって役割を決められたポート番号です。例えばFTPは20-21、WEBサーバーは80と役割によって使用する番号が決められています。今回のINSECAMで流出した防犯カメラはほとんど80番で公開されていました。過去のブログでも書きましたが防犯カメラに外部からアクセスできるように設定するために80番を使う必要は全くありません。業者が施工したものであれば知識不足かセキュリティ意識が低いのだと思います。

1.の検索で生きているIPアドレスの一覧が作成され、2.の検索で生きているIPアドレスの中で通過できるポートの一覧が作成されました。つまり、悪意ある人物によりローカルネットワーク内のグローバルから接続できる機器一覧が作成されました。ここまでならインターネットについて多少の知識があれば小学生でもできます。世界中のIPアドレスというと莫大な数ですから、そんな大変そうなことをする人がいるのかと思う方もいるかもしれませんが、私が10年前に自宅でサーバー を立ち上げ外部からアクセスできるように設定した時は知らないIPアドレスからのアクセス履歴が毎日数十件ありました。さらにIDとパスワードに対してアタックする人が毎日数人いました。これが10年前の話ですから世界中の生きているIPアドレスの検索やポートスキャンをするという事は、一部の人たちにとっては特別な作業ではありません。その手法も目的も一部の人たちにとっては一般的と言えるでしょう。

3.機器のメーカーを特定する。

コンピューターネットワークに接続する全ての機器はIPアドレスを持っているとお話しましたが、もう一つMACアドレスというアドレスも持っています。MACアドレスは物理的な番号なのでIPアドレスを持たないハブもMACアドレスは持っています。IPアドレスが任意で振られたりプロバイダーによって自動的に振られるのに対し、MACアドレスは機器の製造メーカーによってMACアドレスが振られた状態で出荷されます。つまりMACアドレスがわかると機器の製造メーカーもわかるということになります。

1.と2.の検索によって機器にアクセスできる状態になっていますから、MACアドレスもわかり、機器のメーカーも判明してしまいます。

4.初期IDとパスワードはメーカーによって公開されている。

悪意ある人物の操作するパソコンには無作為に選ばれ、外部からアクセスできるようになっている機器のログイン画面が表示されています。機器のメーカーはMACアドレスによって判明しています。メーカーのWEBサイトからマニュアルをダウンロードすれば初期IDとパスワードは記載されています。もし悪意ある人物によってターゲットにされてしまった(恐らく無作為に)機器のIDとパスワードが初期状態のままならば侵入されてしまいます。それも管理者権限のIDとパスワードなのでパスワードを変更したり、設定を変更したりなんでも出来てしまいます。

 

INSECAMがやったこと。

世界中の防犯カメラの映像を公開したINSECAMがやったことはここまでです。73000台を超える映像が公開されていましたから、恐らくここまで(初期のIDとパスワードを入力する)のことを自動的に実行するプログラムを走らせているのだと思います。冒頭に現在日本の防犯カメラでINSECAMによって公開されているのは2800台程度と記載しました。これはIDやパスワードを変更するという積極的な対策によって台数が減っただけではなく、プロバイダーによって自動的に割り振られているIPアドレスが変更になったのだと思います。(通常プロバイダーから割当られるグローバルIPアドレスは不定期に変更になりIPアドレスが変わる。防犯カメラの場合はグローバルIPアドレスが不定期に変更になるのでダイナミックDNSというサービスを使用するのが一般的)

INSECAMが再びIPアドレスをサーチするところからやり直したら、日本で公開されてしまう防犯カメラの台数はまた6000台を超えてしまうかもしれません。

 

映像流出のリスクはそんなに高くない。

防犯カメラを販売している私がこういう発言をすると語弊がありますが、INSECAMによって防犯カメラの映像が流出してしまい困る人は一部だと思っています。これが店舗についている防犯カメラの映像が従業員によって流出したとなると全く意味が違います。これは店舗として大変なリスクです。何が違うのでしょう。店舗についている防犯カメラの映像が従業員等関係者によって流出したということは店舗が特定されており、流出した映像も第三者にとって好奇心を煽るような映像である場合が多いです。過去に流出した事件は有名人など特定の人物が映っている、万引きなどの犯罪行為が映っている、不適切な行為が映っている等、映像そのものに意味があるケースが殆どで、これは店舗に対しても被写体に対しても被害が大きいです。それに対しINSECAMで公開されてしまっている映像は(特に日本は)駐車場等を撮影しているものが多く、映像を見ていてもほとんど動きがありません。もちろん薬局や事務所、店舗、施設名が記載された看板ごと映っている建築物等、早急に対策する必要な映像もあります。ただ、第三者にとって好奇心を煽るような映像はあまりありません。また、公開されている情報から特定できる個人情報は都道府県までです。

私が言いたいのは防犯カメラの映像が公開されている事に対し何もしなくても良いということではありません。もちろんパスワード変更などの対策は必要です。ただ私はそれ以上に大きなリスクに対し警戒すべきだと考えています。

本当に怖いこと。

INSECAMのwebサイトでは未だに多くの防犯カメラの映像が公開されています。これに対し抗議した国家もありましたが何も変わっていません。日本には不正アクセス行為の禁止等に関する法律というものがありますが、初期状態のIDやとパスワードでログインできる状態では取り締まることができません。つまりINSECAMがやっている事は違法ではないという事を世界中の政府が認めてしまった事になります。前述の1.~4.までの行為を取り締まる法律が現状ではありません。

私が防犯カメラの映像が流出しても困る人は一部だと発言したのはINSECAMのwebサイトを見ても意味のある映像(見ている人にとって価値のある映像)が殆ど無いからです。だれもいない駐車場を見ても喜ぶ人がいるとは思えません。(これが更衣室や銭湯、個人宅の映像が公開されているとなったら大問題です。)

防犯カメラの映像が流出している事以上に大きな問題に繋がる要因は初期IDとパスワードでログインできる環境であれば悪意ある第三者の侵入も取り締まることができないということです。現実社会に置き換えると自宅で施錠していなければ出入りしても自由だと国が認めたという事と同意です。会社や個人宅に設置された機器は一般的に公開を目的として設置されたものではありません(公開目的で設置している機器をのぞいて)。日本のネットワークはセキュリティ意識やリスク管理意識がまだ育っていない状態です。防犯カメラに限らずIDとパスワードが初期状態のままの機器はたくさんあると思います。

INSECAMによって公開されたのは膨大な数の防犯カメラの映像ですが、この防犯カメラの映像を流出された手法と全く同じ手法で色々なネットワーク上の色々な機器に侵入が可能です。利便性を重視してメーカーの初期IDとパスワードのままでFTPサーバーやファイルサーバー、パソコン、ルーターを使用している方は早急に対策して下さい。防犯カメラより遥かに大きなリスクがあります。INSECAMを含め悪意ある人物は現在生きているグローバルIPアドレスと通過できるポート番号の情報を把握しています。自己防衛をする上で一番最初にやることはパスワードの定期的な変更です。(定期的な変更は関係者による犯行に対しても効果的です)

 

まとめ

INSECAMの管理者は「自分の行為はIDとパスワードが初期設定のまま(もしくは設定されていない)防犯カメラを公開しているだけだ。公開されたくなければ自分にメールすればリンクを消すし、メールしたくなければパスワードを変更すれば良い。」と記載しています。またあたかも自分の行為は世界にセキュリティの重要性を訴えるためであるかのような発言をしています。正義漢のような発言をしても正義ではありません。即刻サイトを廃止すべきです。今回ニュースで取り上げられたのはINSECAMですが、防犯カメラの映像を所有者に断りなく公開しているサイトはINSECAMだけではありません。日本国内にも同様のサイトが存在します。たまたまニュースで取り上げられたのがINSECAMだというだけです。

防犯カメラの映像が流出したということは十分すぎるほどリスキーですが、それ以上に重大なリスクは自分が管理するネットワーク内に侵入され、正しい管理者IDとパスワードで機器に侵入されてしまっているということです。それがたまたま今回ニュースになったのが防犯カメラだっただけです。これから日本はIoT化が進み、あらゆる家電や色々な電気製品がネットワークに接続されるでしょう。また画像や動画の高画質化や共有化が進むことでファイルサーバー等のサーバー類を設置する会社や家庭が増えていくと思われます。ネットワークに接続されている以上、どの機器が今回のINSECAMのケースのように公開されたり侵入されてしまう可能性があります。

IDとパスワードの変更は当然の事として、ファイヤーウォールの導入、セキュリティ性の高いネットワーク機器、ウィルス対策ソフトの導入も併せて検討すべきです。現実社会において自宅や会社にドアや窓に施錠したり防犯会社や警備会社に防犯対策を依頼するように、コンピューターネットワークにもセキュリティ対策が必要です。