カテゴリー別アーカイブ: テクニカル

セキュリティカメラがセキュリティホール?

インターネットで防犯カメラと検索するとお手頃に購入できる防犯カメラがたくさん出てきます。
インターネットで販売されている商品を大きく分けると以下の3つにわけることができると思います。

1.通常であれば業務用途として施工込みで販売されている商品がインターネットで販売されている。
2.通信機器メーカーや家電メーカーの商品で、ユーザーが手軽に設置できるような商品。
3.商品構成や見た目は業務用途の商品に近いが、価格がとても安い商品

2と3の区分は家庭用と考えても購入しやすい価格帯の商品も多くあると思います。
購入しやすい価格帯の商品は中国製、特に中国メーカーの商品が多くあります。

 

安い防犯カメラのネットワークセキュリティ

ちょっと気になるニュースがありましたので紹介します。
アメリカで国防権限法案(NDAA)が可決されました。これは米国の政府機関(軍を含む)で通信機器などで中国製品の購入使用を禁止する法案です。この法案は通信機器のみならず防犯カメラも含まれているというのです。対象には世界最大手のH社やそれに次ぐD社も含まれています。

なぜ、中国メーカーの防犯カメラが米国政府機関に設置することが禁止となったのでしょうか。
最近の防犯カメラはコンピューターネットワークを経由してパソコンやスマートフォンを通じて映像や音声を閲覧することができます。Ipカメラと呼ばれるLANケーブルを接続するカメラはカメラ自身に、同軸ケーブルを接続するカメラは録画機にその機能を持っています。

もちろん防犯カメラへのアクセスはIDやパスワードで守られていますし、外部からの接続はルーターでIPマスカレードという設定をしなければ防犯カメラに接続することさえできません。という定説を私たち防犯カメラ業者も信じて販売しております。ただ、IDやパスワード、IPマスカレード設定を一切無視して防犯カメラにアクセスする方法がないとは言い切れません。

 

 

バックドアという方法

バックドアとは裏口という意味です。正しいダイナミックDNSアドレス、ポート番号、IDとユーザーが設定したパスワードを用いて防犯カメラへのアクセスすることはフロントドア(玄関)です。ではバックドアとはどのようなアクセス方法でしょうか。

一般的には設計段階でIDやパスワードを使用せずに接続する方法を塞がずに販売されてしまった場合や、不正なWEBサイトでトロイの木馬などの不正なアプリケーションがインストールされてしまった場合に、正規ユーザーにばれることなく機器に侵入することを言います。

もし、中国メーカーの防犯カメラにメーカーが意図してバックドアを仕掛けていたとしたら・・・
メーカーがバックドアを意図して仕掛けていたとするならばユーザーはほぼ無力かもしれません。IDやパスワードは意味をなさないでしょうし、ポート開放せずとも防犯カメラにアクセスすることは可能です(TEAMVIEWERの方な方法やuPnP)
特に政府機関などのようにグローバルIPを固定で使用している期間はIPアドレスから組織が特定されてしまいますので、よりリスクが高いといえます。実際、米陸軍が、ミズーリ州フォート・レオナード・ウッド基地に設置されていた防犯カメラが撤去されています。

対策は・・?

手法はいくつかあると思いますが、基本的にはネットワークセキュリティを強化することで対策できるでしょう。バックドアによる侵入もワンパターンではないのでパスワードの定期的な変更は必須です。

これから導入される方はコストと安全性のバランスを考えて商品選定をして頂ければよいと思います。

 

参考
https://news.militaryblog.jp/web/US-Army-base-takes-down/Chinese-made-security-cameras.html
https://news.militaryblog.jp/web/Chinese-Spy-Cameras-spread-to/Australian-Military-and-Government.html

 

※本ブログの内容を引用する場合は必ず弊社までご連絡をお願いいたします。
引用の際は弊社名をご記載ください。

防犯カメラの映像流出の本当のリスク

2016年1月に防犯カメラについてテレビや雑誌等マスコミを大きく騒がせた事件がありました。INSECAMというサイトに防犯カメラの映像が数万台という規模でインターネット上に公開されました。この事件は防犯カメラの映像流出事件として大きく騒がれ、弊社ブログでも取り上げました。

マスコミで取り上げられて2ヶ月が過ぎ、話題に上がることも少なくなってきたINSECAMの映像流出事件について改めて危険性ついて考えたいと思います。もし私の推測通りならばこの流出事件が孕む危険性はとても大きく恐ろしい問題がある思います。

そもそもどうして防犯カメラの映像が流出したのか。

防犯カメラの映像流出について流出に至るまでの技術的な手法です。概略だけ説明します。INSECAMがニュース等で取り上げられた時点で日本の防犯カメラは6000台以上公開されていまいたが、今では2800台(2016年3月27日現在)程度ですから、約半分になっています。2ヶ月の間に3000台の防犯カメラのIDとパスワードが変更された事により公開されている台数が減ったというのは考えにくいと思っています。対策を施したケースも多々あると思いますが、恐らくインターネットの仕組みによりアドレスを見失ったことにより公開されなくなったとケースも多々あると思います。

 

1.IPアドレスをサーチするソフト。

IPアドレスを検索するというソフトがあります。これはネットワークの現場などで使用すると大変便利なソフトです。簡単に説明するとコンピューターネットワークの世界は接続されている機器にはIPアドレスと呼ばれる番号が振られています。グローバルなネットワーク(インターネットと思って頂いても問題ありません)に繋がっている機器にはグローバルIPアドレス、ローカルなネットワーク(自宅や会社の中で完結しているネットワーク)に繋がっている機器にはローカルIPアドレスが振られます。会社や家庭ではルーターがグローバルIPアドレスを持ち、ルーターに接続されているパソコンやプリンター等はローカルIPアドレスが振られています。スマホやiphoneはLTEや3G回線の時はグローバルIPアドレスを持ち、会社や家庭のwifiに接続している時はローカルIPアドレスを持っています。

話を戻しますが、IPアドレスを検索するソフトは上記で説明した検索可能なIPアドレスを検索するといというソフトです。言い換えると「IPアドレスを検索するソフト」がインストールされたPCから接続可能なIPアドレスを検索します。このソフトで検索することにより生きている(現在使用されている)IPアドレスの一覧を作ることができます。つまり防犯カメラの映像の公開者(今回の場合はINSECAM)がグローバルIPアドレスの範囲を指定して「IPアドレスを検索するソフト」により世界中のIPアドレスを検索したことが予想されます。これにより検索時点での世界中で生きているIPアドレス(何かしらの機器が接続されているIPアドレス)の一覧を作成することができます。

2.ポートをスキャンするソフト。

前述の1.でIPアドレスのサーチについて記述しました。この作業で悪意ある人物によりIPアドレスをサーチすることで世界中で利用されているIPアドレスの一覧表が作成されたと思って下さい。当然ですが、これを読んでいるあなたのIPアドレスももちろん私のIPアドレスも一覧表の中には含まれています。但し、これだけではIPアドレスとあなたや私という個人情報とは結びつきません。ただ現在使用されているIPアドレスの一覧表を取得した状態です。

生きているIPアドレスの一覧表に対し悪意ある人物は次に何をするのでしょうか。悪意ある人物のスキルが高く、犯行意識も高ければ何でもできてしまうかもしれません。例えばパソコンを乗っ取り政府機関のサーバーにアタックをかける事や(実際にあった事件です。一時的とはいえ乗っ取られたパソコンの所有者が逮捕されました)、クレジットカード情報やネットバンキング情報を盗むことも可能かもしれません。ただ、これらの犯行を実行するためには悪意ある人物にも相当のスキルが必要です。

恐らく悪意ある人物はもっと簡単にスキルレベルも要求されない事を行うでしょう。それがポートスキャンです。グローバルネットワークとローカルネットワークのつなぎ目にあるルーターやパソコンには65536個のポートと呼ばれる穴があります。ポートは日本語に直訳すると港ですから外海と内海の間にあるルーターと呼ばれる検問(関所)があり65536本の通路があると想像して下さい。ルーターの役割の一つとして外部から特定のポートに接続された場合、予め設定された機器に接続するというIPマスカレードという機能があります。防犯カメラの場合はこの機能を活かし外部のパソコンやスマホ、iphoneから現地の映像を確認しています。ルーターにIPマスカレードの設定ということであれば最近では家庭用ゲーム機でも同じような設定をしている家庭も多くあるのでは無いでしょうか。

ポートをスキャンするソフトは65536個のポートの中で通過可能かつ、機器が接続されているポートを検索します。全てのポートをチェックするのではなく、主要なポート番号のみをチェックしているのかもしれません。主要なポート番号とは65536個のポートのうち1023番よりも若く、国際的なルールによって役割を決められたポート番号です。例えばFTPは20-21、WEBサーバーは80と役割によって使用する番号が決められています。今回のINSECAMで流出した防犯カメラはほとんど80番で公開されていました。過去のブログでも書きましたが防犯カメラに外部からアクセスできるように設定するために80番を使う必要は全くありません。業者が施工したものであれば知識不足かセキュリティ意識が低いのだと思います。

1.の検索で生きているIPアドレスの一覧が作成され、2.の検索で生きているIPアドレスの中で通過できるポートの一覧が作成されました。つまり、悪意ある人物によりローカルネットワーク内のグローバルから接続できる機器一覧が作成されました。ここまでならインターネットについて多少の知識があれば小学生でもできます。世界中のIPアドレスというと莫大な数ですから、そんな大変そうなことをする人がいるのかと思う方もいるかもしれませんが、私が10年前に自宅でサーバー を立ち上げ外部からアクセスできるように設定した時は知らないIPアドレスからのアクセス履歴が毎日数十件ありました。さらにIDとパスワードに対してアタックする人が毎日数人いました。これが10年前の話ですから世界中の生きているIPアドレスの検索やポートスキャンをするという事は、一部の人たちにとっては特別な作業ではありません。その手法も目的も一部の人たちにとっては一般的と言えるでしょう。

3.機器のメーカーを特定する。

コンピューターネットワークに接続する全ての機器はIPアドレスを持っているとお話しましたが、もう一つMACアドレスというアドレスも持っています。MACアドレスは物理的な番号なのでIPアドレスを持たないハブもMACアドレスは持っています。IPアドレスが任意で振られたりプロバイダーによって自動的に振られるのに対し、MACアドレスは機器の製造メーカーによってMACアドレスが振られた状態で出荷されます。つまりMACアドレスがわかると機器の製造メーカーもわかるということになります。

1.と2.の検索によって機器にアクセスできる状態になっていますから、MACアドレスもわかり、機器のメーカーも判明してしまいます。

4.初期IDとパスワードはメーカーによって公開されている。

悪意ある人物の操作するパソコンには無作為に選ばれ、外部からアクセスできるようになっている機器のログイン画面が表示されています。機器のメーカーはMACアドレスによって判明しています。メーカーのWEBサイトからマニュアルをダウンロードすれば初期IDとパスワードは記載されています。もし悪意ある人物によってターゲットにされてしまった(恐らく無作為に)機器のIDとパスワードが初期状態のままならば侵入されてしまいます。それも管理者権限のIDとパスワードなのでパスワードを変更したり、設定を変更したりなんでも出来てしまいます。

 

INSECAMがやったこと。

世界中の防犯カメラの映像を公開したINSECAMがやったことはここまでです。73000台を超える映像が公開されていましたから、恐らくここまで(初期のIDとパスワードを入力する)のことを自動的に実行するプログラムを走らせているのだと思います。冒頭に現在日本の防犯カメラでINSECAMによって公開されているのは2800台程度と記載しました。これはIDやパスワードを変更するという積極的な対策によって台数が減っただけではなく、プロバイダーによって自動的に割り振られているIPアドレスが変更になったのだと思います。(通常プロバイダーから割当られるグローバルIPアドレスは不定期に変更になりIPアドレスが変わる。防犯カメラの場合はグローバルIPアドレスが不定期に変更になるのでダイナミックDNSというサービスを使用するのが一般的)

INSECAMが再びIPアドレスをサーチするところからやり直したら、日本で公開されてしまう防犯カメラの台数はまた6000台を超えてしまうかもしれません。

 

映像流出のリスクはそんなに高くない。

防犯カメラを販売している私がこういう発言をすると語弊がありますが、INSECAMによって防犯カメラの映像が流出してしまい困る人は一部だと思っています。これが店舗についている防犯カメラの映像が従業員によって流出したとなると全く意味が違います。これは店舗として大変なリスクです。何が違うのでしょう。店舗についている防犯カメラの映像が従業員等関係者によって流出したということは店舗が特定されており、流出した映像も第三者にとって好奇心を煽るような映像である場合が多いです。過去に流出した事件は有名人など特定の人物が映っている、万引きなどの犯罪行為が映っている、不適切な行為が映っている等、映像そのものに意味があるケースが殆どで、これは店舗に対しても被写体に対しても被害が大きいです。それに対しINSECAMで公開されてしまっている映像は(特に日本は)駐車場等を撮影しているものが多く、映像を見ていてもほとんど動きがありません。もちろん薬局や事務所、店舗、施設名が記載された看板ごと映っている建築物等、早急に対策する必要な映像もあります。ただ、第三者にとって好奇心を煽るような映像はあまりありません。また、公開されている情報から特定できる個人情報は都道府県までです。

私が言いたいのは防犯カメラの映像が公開されている事に対し何もしなくても良いということではありません。もちろんパスワード変更などの対策は必要です。ただ私はそれ以上に大きなリスクに対し警戒すべきだと考えています。

本当に怖いこと。

INSECAMのwebサイトでは未だに多くの防犯カメラの映像が公開されています。これに対し抗議した国家もありましたが何も変わっていません。日本には不正アクセス行為の禁止等に関する法律というものがありますが、初期状態のIDやとパスワードでログインできる状態では取り締まることができません。つまりINSECAMがやっている事は違法ではないという事を世界中の政府が認めてしまった事になります。前述の1.~4.までの行為を取り締まる法律が現状ではありません。

私が防犯カメラの映像が流出しても困る人は一部だと発言したのはINSECAMのwebサイトを見ても意味のある映像(見ている人にとって価値のある映像)が殆ど無いからです。だれもいない駐車場を見ても喜ぶ人がいるとは思えません。(これが更衣室や銭湯、個人宅の映像が公開されているとなったら大問題です。)

防犯カメラの映像が流出している事以上に大きな問題に繋がる要因は初期IDとパスワードでログインできる環境であれば悪意ある第三者の侵入も取り締まることができないということです。現実社会に置き換えると自宅で施錠していなければ出入りしても自由だと国が認めたという事と同意です。会社や個人宅に設置された機器は一般的に公開を目的として設置されたものではありません(公開目的で設置している機器をのぞいて)。日本のネットワークはセキュリティ意識やリスク管理意識がまだ育っていない状態です。防犯カメラに限らずIDとパスワードが初期状態のままの機器はたくさんあると思います。

INSECAMによって公開されたのは膨大な数の防犯カメラの映像ですが、この防犯カメラの映像を流出された手法と全く同じ手法で色々なネットワーク上の色々な機器に侵入が可能です。利便性を重視してメーカーの初期IDとパスワードのままでFTPサーバーやファイルサーバー、パソコン、ルーターを使用している方は早急に対策して下さい。防犯カメラより遥かに大きなリスクがあります。INSECAMを含め悪意ある人物は現在生きているグローバルIPアドレスと通過できるポート番号の情報を把握しています。自己防衛をする上で一番最初にやることはパスワードの定期的な変更です。(定期的な変更は関係者による犯行に対しても効果的です)

 

まとめ

INSECAMの管理者は「自分の行為はIDとパスワードが初期設定のまま(もしくは設定されていない)防犯カメラを公開しているだけだ。公開されたくなければ自分にメールすればリンクを消すし、メールしたくなければパスワードを変更すれば良い。」と記載しています。またあたかも自分の行為は世界にセキュリティの重要性を訴えるためであるかのような発言をしています。正義漢のような発言をしても正義ではありません。即刻サイトを廃止すべきです。今回ニュースで取り上げられたのはINSECAMですが、防犯カメラの映像を所有者に断りなく公開しているサイトはINSECAMだけではありません。日本国内にも同様のサイトが存在します。たまたまニュースで取り上げられたのがINSECAMだというだけです。

防犯カメラの映像が流出したということは十分すぎるほどリスキーですが、それ以上に重大なリスクは自分が管理するネットワーク内に侵入され、正しい管理者IDとパスワードで機器に侵入されてしまっているということです。それがたまたま今回ニュースになったのが防犯カメラだっただけです。これから日本はIoT化が進み、あらゆる家電や色々な電気製品がネットワークに接続されるでしょう。また画像や動画の高画質化や共有化が進むことでファイルサーバー等のサーバー類を設置する会社や家庭が増えていくと思われます。ネットワークに接続されている以上、どの機器が今回のINSECAMのケースのように公開されたり侵入されてしまう可能性があります。

IDとパスワードの変更は当然の事として、ファイヤーウォールの導入、セキュリティ性の高いネットワーク機器、ウィルス対策ソフトの導入も併せて検討すべきです。現実社会において自宅や会社にドアや窓に施錠したり防犯会社や警備会社に防犯対策を依頼するように、コンピューターネットワークにもセキュリティ対策が必要です。

シスコの取扱をはじめました。

2016年2月よりコンピューターネットワーク機器や会議システム等のネットワークを活用したソリューションの世界最大手であるシスコシステムズの商品の取扱を開始いたしました。

2016-02-24 (1)

シスコが得意とするスイッチルーター無線LAN機器(アクセスポイント等)、ファイヤーウォール等のネットワーク機器や会議システムをご案内できるようになります。

また、弊社がシスコシステムズよりセレクトパートナー(Select Certified Partner)の認定を受けたことによりシスコ商品について優先的にご提供できます。ネットワークの全体的な見直しや構築、保守管理、ネットワークセキュリティ等についてお困りごとは弊社にお問い合わせ下さい。

 

弊社が取得しているIT系、ネットワーク系の資格、認定です。

経済産業省
基本情報処理技術者
ITパスポート

東海総合通信局
・電気通信事業者

Cisco Systems(シスコシステムズ)
・Registered Partner
・Select Certified Partner
・Small and Midsize Business Specialization

防犯カメラの映像流出について

ここ数日、弊社に防犯カメラの映像流出について問い合わせが続きました。問い合わせのきっかけになったのは、INSECAMというサイトに世界中の防犯カメラの映像が公開されていることがニュースになったためです。INSECAMを見ると地域とメーカーでカテゴリー分けされています。悲しいことに日本はアメリカについで2番目に公開されてしまった数が多く、IPカメラブランド別に見ると8ブランド中4ブランドが日本のブランドです。(AXISもCANONに買収されているので日本の会社のブランドと考えると5ブランドです。)

incecam_03 incecam_02

私なりにINSECAMによって防犯カメラの映像が公開されてしまったことについて考えてみました。

 

技術的、サービス的問題

都市部で生活していると数多くの防犯カメラに撮影されています。例えば一日外出をしたとすると、100台以上の防犯カメラに撮影されています(コンビニエンスストアの店内を1周すると10台、ホームセンターや大型スーバーを1周すると50台以上の防犯カメラに撮影される)。ではその防犯カメラがインターネット経由で閲覧できる機能を持っていたとして、私達がその映像を見ることができるでしょうか。その答えは「できません」もしくは「普通はできないことになっています」ということになります。なぜなら防犯カメラがインターネット経由で閲覧できる機能を有し、かつインターネット経由で閲覧するための設定がなされていたとしても、アドレス、ポート番号、ID、パスワードの4つの情報がなければ映像を見ることはできません。

incecam_01

東海エリアに設置されている防犯カメラもINCECAMによって一般の目に晒されている。防犯カメラ利用者にとって遠い世界のできごとではなく、もはや身近な問題。

アドレス、ポート番号、ID、パスワードとは何か?この4つの情報を大雑把に説明します。

 

アドレス

防犯カメラに接続するためには、アドレスが必要です。言ってみれば「yahoo.co.jp」や「google.com」のようなurlと同等のものと捉えて頂いて問題ありません。防犯カメラの場合、固定グローバルIPアドレスかダイナミックDNSをアドレスとして使用している場合が多いです。

 

ポート

アドレスがわかってもインターネットと自社(自宅)の出入口であるルーターまでしか辿り着けません。その先は同一ネットワークに複数の機器があるため、防犯カメラにアクセスするにはルーターにIPマスカレード設定の登録が必要です。その時に防犯カメラを特定する番号がポート番号です。

 

ID

防犯カメラに限らずwebサービスやメールなどで使われるIDです。IDを増やすことはできますが、最初に設定されているID(administratorやadmin)は変更削除できないメーカーや商品もあります。

 

パスワード

これもIDと同様に一般的に使われるパスワードと同じです。初期値で「111111」や「0000」などの様な数字や「admin」「password」のような安易に想像できる英単語、そもそもパスワードが設定されていない(パスワードなしでもアクセスできる状態)場合が多いです。

incecam_16 incecam_15

この4つの情報がなければ映像が見ることはできないはずなのに、なぜINCECAMで公開されてしまったのでしょう。4つの情報ごとに原因を追求します。

 

IDとパスワード

防犯カメラ映像を見るためにはアドレス、ポート番号、ID、パスワードが必要です。防犯カメラの映像を見るために必要な情報のうち、IDとパスワードについては報道にもある通り、IDとパスワードが容易に推測しやすい初期値だったということが問題になっています。いくら単純なadmin/adminといってもIDの場合でADMIN、admin、Admin、Administrator、administrator、ADMINISTRATORの6パターンあり、パスワードも同様に6パターン、合計で36通り想定できます。INSECAMを見ると地域別とメーカー別にもカテゴリー分けされています。それはINSECAMの管理者が一般的に使用される単語を片っ端から試したのではなく、IDとパスワードがここに掲載されている8種のIPカメラの初期値を使用したからと思います。この8種のIPカメラブランドに限定するとIDとパスワードの組み合わせは(初期値は)8通りしかありません。

8種のIPカメラのうち4種が日本のカメラブランドなので日本のIPカメラ流出が6000件以上もあったのかもしれません。もっと多くのIPカメラメーカー(の初期値)がターゲットにされていたとすれば、日米以外の地域でもっと多くの流出があったかもしれません。

 

 

ポート番号

ポート番号はアドレスが判明した後に必要となる情報です。ポート番号は0番から65,535番まであります。もし防犯カメラにアクセスするためのポート番号が15,000番だった場合、0番から15000回接続を繰り返す必要があります。今回流出した台数は73000台と言われていますから73000台x15000回の接続だと10億回の接続にチャレンジしたことになりますが、10億回も接続にチャレンジしたわけではないと思います。IPカメラはブラウザからのアクセス用に80番ポートを使用しています。もちろんこれも初期値で変更可能です。同じ拠点に複数のIPカメラある場合は80番から順おくりに81,82,83・・・とポートを使用している場合が一般的です。INSECAMで公開された防犯カメラを見るとほとんどが80番か80番代です。65535番の中から一つ番号を選べるにもかかわらず、今回流出した防犯カメラのほとんどが80番(初期値)のままです。

 

アドレス

INSECAMに公開された73000台のIPカメラはポート番号、ID、パスワードという無限の設定の組み合わせをユーザー自身が決定できる要素を持っていたにもかかわらず、8通りの情報があれば簡単に接続できる状態になっていました。

正しい権限を持った利用者が防犯カメラをインターネット経由で閲覧するために、アドレス固定する必要があります。インターネットに接続される機器は例外なくIPアドレスが割り当てられます。通常、ルーターが一つのローカルネットワークの代表としてグローバルIPアドレスを取得し、ローカルネットワーク内で共有します。インターネット上で割り当てられるグローバルIPアドレスはほとんどの場合、動的に割り当てられます。つまりインターネットに接続するたび(ユーザーが意識しない瞬間的な再接続をふくめ)新しいグローバルIPアドレスが割り当てられるので、防犯カメラのように恒常的に接続する必要のある場合は動的に割り当てられるグローバルIPアドレスを固定する必要があります。固定IPアドレスはプロバイダーの有料サービスとして提供されています。固定IPアドレスサービスを使用することでインターネットの再接続が発生してもグローバルIPアドレスが変わりませんので外部から防犯カメラに接続することができます。また固定IPアドレスサービスを使用していない場合でもダイナミックDNSと呼ばれるサービスを使用することで固定IPアドレスサービスの代替的なサービスとして利用することができます。ダイナミックDNSは多くの防犯カメラメーカーが商品の付帯サービスとして提供しています。

incecam_13

個人宅の子ども部屋と思われる部屋のカメラ映像が流出。防犯目的のカメラではなく子ども見守りカメラの映像と思われる。

ではINSECAMはダイナミックDNSとIPアドレスどちらを利用してカメラに接続したのでしょうか。おそらくですがIPアドレスをスキャンするツールを利用していると思われます。それは公開されているカメラの台数の増減幅大きいことから推測できます。INSECAMに掲載されている日本の防犯カメラ台数は、ここ数日で1000台近く減りました。パスワードやポート番号を変更すればINSECAMで公開されなくなりますから適切に再設定されたIPカメラが1000台近くあると考えることもできますが、ポートやパスワードの変更などの作業が伴うことを考えるとちょっと減り方が大きすぎると感じています。むしろ動的に割り当てられたIPアドレスがここ数日で再割り当てが発生し、別のIPアドレスが割り当てられたIPカメラが1000台近くあったと考えた方が自然だと考えています。

 

IPアドレスは数億ありますが、アドレス以外の情報が8通りしかないわけですから、IPスキャンをかけてヒットしたアドレスに対し8通りの情報を送信し、画像データが収集できるとカメラが接続されていると判定できます。(80番ポートが開放されている全ての環境で防犯カメラが接続されているとは限りません。WEBサーバーが設置されている場合も80番は開放されていますが、WEBサーバーは公開を目的としているため管理者は外部からのアクセスを管理把握している場合が一般的です)IPスキャンも国ごとプロバイダーごとにレンジ(範囲)が決められているためIPスキャンの範囲は限定的です。

 

incecam_14

駐車場、一般家庭のリビング、教会の映像が晒されている。リビングのカメラ映像はギターのケースが放置されているなど生活感がある映像。防犯用途とは異なる目的のカメラとして設置されたと思われる。

法的な問題

普通の人の認識ではIDとパスワードによって保護されているエリアに不正な方法を用いて侵入し情報を公開することや情報を盗むことは違法行為です。いわゆるハッキングという行為で不正アクセス行為の禁止等に関する法律によって禁止されていますし、利用者側もIDとパスワードで保護されている以上、損害があった場合、加害者に対し損害賠償請求もできる可能性が高いです。

ただ、今回の場合は防犯カメラに設定されているIDとパスワードが初期状態のまま、もしくはパスワードが設定されていない。つまりIDとパスワードによって保護されていない状態です。誰もが閲覧することが許されている状態とも言えるわけですから法的責任を追求することは難しいと思われます。しかし流出してしまっている防犯カメラの管理者は施設の管理者として個人情報やプライバシーを保護する責任が発生します。INSECAMによって流出した情報により、防犯カメラ所有者が管理責任を追求される可能性があります。

 

自社の防犯カメラが公開されている状態を
放置することの危険性

サイト運営者側は極めて個人的な情報や性的な映像が映る(温浴施設や更衣室など)防犯カメラは公開していないと発言しています。ほとんどが駐車場やメガソーラー等の監視に使われている防犯カメラでしたが、中には一般法人の事務所、調剤薬局の調剤室、玄関と思われるようなところ等もありました。最近の防犯カメラは高画質になっており、映っている人たちのプライバシーはもちろん、書類などから取引先の企業情報や個人情報、駐車場のカメラからは車種や車両番号が常時流出している状態です。これらの情報により何らかの被害が出た場合の損害賠償の矛先は公開したサイトではなく、防犯カメラを適切に管理していない管理者(防犯カメラの所有者)の責任として追求される恐れがあります。中には店舗の看板ごと映っている映像もありましたので、心当たりある企業様は早々に対策を取るべきでしょう。

情報流出による被害だけではなく、無人時や建屋内部構造や貴重品置き場が第三者に漏れてしまうなどの直接的被害も想定されますし、競合他社や取引先などが貴社の防犯カメラ映像を見つけてしまい新たなトラブル要因にならないとも限りません。

 

 

対策

セキュリティ性の維持と利便性は時として相反します。

今回の流出も設置業者の利便性や施工時の工数削減の結果かも知れません。

しかしセキュリティのために導入した防犯カメラがセキュリティを低下させてしまっているのでは本末転倒です。思いつく範囲で対策をまとめました。

 

 

・パスワードを複雑なものに変更する。定期的に変更する。

今回流出した8種のIPカメラブランドに限らず、初期値のパスワードはほとんど単純なものです。数年前のDVRは数字のみ6桁や4桁の商品が主流でしたが最近の防犯カメラはIPカメラや同軸ケーブルを利用したDVRに関わらず大文字小文字、数字が利用でき、文字数も8文字とセキュリティ性が向上しています。類推されにくいパスワードに変更しましょう。また関係者の退職、異動等もありますから定期的に変更する必要があります。

 

・関係者ごとにIDを発行する。管理者権限のIDを変更する

防犯カメラに限らずネットワーク商品のほとんどの管理者用IDは「ADMIN」や「ROOT」、「USER」に近い単語が採用されています。変更可能ならば変更しましょう。また映像を見る人物が複数いる場合は個人ごとや部署ごと役職ごと等にIDを発行し、誰がアクセスしたか後で追跡できるようにした方が良いです。定期的にログを確認する必要もあります。

 

 

・ポート番号を変更する

80番は本来WEBサーバーとして公開するための番号です。一般公開を目的としている場合を除いて1024番以降のポート番号に変更した方が良いでしょう。

 

・IPアドレスを固定させる

固定IPアドレスサービスを使用はセキュリティ性の観点からみると賛否両論があります。ネットニュースなどを見ていると防犯カメラ用に閲覧専用の回線を引くと言った記述もありますが、この方法はネットワーク全体のセキュリティという意味では効果がありますが、防犯カメラの映像流出という点では意味がありません。固定IPアドレスサービスを利用することでセキュリティ性が高くなるという意見も聞きますが、私は固定IPアドレスサービスはIPアドレスが固定されてしまうためセキュリティ性は悪化すると考えています。セキュリティ性だけを考えるならばダイナミックDNSを利用し定期的にアドレスを変更した方がネットワーク上のセキュリティは向上します。固定IPアドレスサービスを使用するならばIPカメラやDVRといった防犯カメラを設置している側ではなく、閲覧する側(防犯カメラの映像を閲覧するためのソフトがインストールされたPCがある側)に固定IPアドレスサービスを導入し、防犯カメラを設置している側にファイヤーウォールを導入し指定したIPアドレスからしかアクセス出来ないように設定する方法を提案します。

 

 

・VPNを導入する

公衆インターネットに比較するとVPNは高いセキュリティ性があります。またVPNを導入することでVPN内の機器のパスワードについて管理すべきレベルを下げることも検討できます。スマートフォンから防犯カメラにアクセスしないのであればIP-VPNが良いと思います。ただスマートフォンからも接続するのであればルーターで構築できるインターネット-VPNにしましょう。インターネット-VPNであればiphoneやAndroid、データカードを挿入したノートPCでもVPNに入るように構築することができます。規模感のある企業様であればこの方法が最も利便性とセキュリティ性が維持できるかもしれません。

 

文中の用語について

IPカメラ:LANケーブルで接続するカメラ。防犯用途で使用されるほか、WEBでの公開用途、コミュニケーション用途などでも使用されるカメラ。INSECAMで公開されてしまったカメラの恐らく全てIPカメラです。

 

防犯カメラ:文中では防犯用途で使用されるIPカメラと同軸ケーブルで接続される業務用カメラのうち防犯用途のカメラを総称して防犯カメラと呼んでいます。

 

DVR:同軸ケーブルで接続される防犯カメラの録画機。同軸で接続される防犯カメラはカメラ単体ではネットワーク機能を持ちませんが、録画機がネットワーク機能を持っています。画質はアナログ級(48万画素)からHD級(200万画素)まであります。

 

VPN:Virtual Private Networkの略。公衆回線インフラを使用して仮想的(Virtual)なプライベートネットワークを構築する。セキュリティ性、利便性ともにメリットがあるが、構築、維持にコストが発生する。

 

IP-VPN:通信会社等が自社のネットワーク網に構築するVPN。IDとパスワードによる認証よってVPN提供の通信会社回線に入りVPNを構築する。インターネットVPNに比較しセキュリティ性が高いがコストも高い。

 

インターネット-VPN:ルーターの機能によってVPNを構築。PPTPなどのプロトコルを使用する。スマートフォンなどをVPNに組み入れる場合はインターネット-VPN。

 

最後に

自社の防犯カメラの映像が流出している可能性がある場合は早急に上記対策を講じて下さい。またチェーン店などで自社が流出してしまっているが、どの店舗かわからないという場合はご契約のプロバイダーさんにご協力いただくことである程度の特定が可能です。

自社でパスワードが変更できる担当者がいない等の企業様、個人様はお気軽にご相談下さい。弊社では他社から購入された防犯カメラの保守やメンテナンス、修理を承っております。

弊社ついてはこちらから>>3plex株式会社

[contact-form]

 

1週間以内に回答がない場合は、スパムとして削除されている可能性があります。お手数をお掛けしますが入力されるメールアドレスを変更して再度お問い合わせ下さい。

 

 

EX-SDI

EX-SDIについてです。

■EX-SDIとは

最近防犯カメラ業界は、いくつかの新規格が登場しています。新規格はAHD・CVI・TVI・EX-SDIという規格です。これらの新規格はHD-SDIが5C-FBで100mごとにリピーターが必要な事、非圧縮のためDVRの映像処理に負担が掛かるという問題点をクリアするため、チップメーカーが開発しました。

EX-SDI(Extended Srial Digital Interface)はEYENIXという韓国のチップメーカーが開発した圧縮転送技術です。EX-SDIは VLCコーディックを使用し、PRNR値が40bBという圧縮による視覚的には損失がわからないというレベルの圧縮映像を実現しています。圧縮にかかる速度も0.0002秒(0.2ms)と極めて短く圧縮による遅延とは言えないレベルです。またEX-SDIは3G-SDI、HD-SDIと下位互換性を持ち、4KUHDにも対応していいます。HD-SDI以上の画質を伝送できる技術ですので将来的にも普及が期待されています。

EX-SDI 画質の拡張性比較

EYENIX WEBSITEより「EX-SDI 画質の拡張性比較」

EX-SDIが他の新規格と大きな違いはAHDやCTI、TVIがアナログ伝送であるのに対し、EX-SDIの伝送はデジタルです。そのためアナログ伝送の新規格と比較すると若干高め、伝送距離が短いというデメリットがありますが、HD-SDIと比較するとローコスト、長距離です。画質はHD-SDIと比較し視覚上遜色がない、1本のケーブルで電源と映像の重畳(ちょうじょう)できるというメリットがあります。

EX-SDIは韓国ではロングリーチと呼ばれ、HD-SDIを長距離伝送するための規格というイメージがあります。それは先述の通り新旧の映像規格が7種ある中でHD-SDIEX-SDIだけが高画質画像を劣化することなくデジタル伝送する事に所以します。実際、EX-SDIのカメラやDVRがリリースされる前はリピーターとドングルと呼ばれるパーツを使ってHD-SDIEX-SDIで伝送し、DVRに入力する直前にEX-SDIからHD-SDIに戻すというHD-SDIの接続距離を延長するために使用されていました。

■採用メーカー

韓国系が主です。AHDは台湾と韓国のローコストがメインのメーカーが主流、CVIは中国のDahua社、TVIはHIKVISION社で生産されています。生産しているカメラメーカーが複数あるという点ではAHDEX-SDIは共通しています。EX-SDIは韓国のカメラメーカーでもコストより品質重視のメーカーで採用されている傾向があります。メーカーとしてはWONWOO,Qtum,WEBGATE,Mintron,TBTなどがあります。

日本国内でも警備機器メーカー大手や海外系防犯カメラ業界の中でシェアをもつ輸入代理店複数社なども採用しています。

■伝送のおける特徴

02_exsdi_01_03[1]

EYENIX WEBSITEより

EX-SDIはデジタル伝送なのでノイズ耐性があります。図のような高圧線、エレベーター、建築物からのノイズに対しアナログは波形がゆがみ映像に悪影響を及ぼすというノイズが発生しますが、EX-SDIはデジタル信号なので電波のゆがみに強いという特性があります。また、アナログが距離が長くなればなるほど減衰が発生しますが、デジタルであるEX-SDIは減衰しません。

電源重畳にも対応しています。

 

 

■メリット

・画質
メリットはHD-SDIに視覚的に遜色ない画質です。他の新規格は同じ画素数でも1画素あたりの情報量やデジタルからアナログアナログからデジタルと変換することやアナログ伝送により減衰や劣化が発生しますが、EX-SDIはRAW(生)データからEX-SDIに変換も伝送もデジタルで行われるため減衰や劣化は発生しません。

・伝送距離
伝送距離はHD-SDIが5C-FBで100mなのに対し300m~500m、3G-SDIも最大450m伝送可能です(5C-FB)。3C-2Vも使用可能です。

・互換性
EX-SDIのカメラはEX-SDIの他に切り替えでHD-SDIを出力できます。EX-SDIエンコードチップを持つDVRはEX-SDIHD-SDI(機種によってはアナログ960H)が入力可能です。またチャンネルごとの制限もありませんのでHD-SDIで十分な伝送率が確保できるカメラはHD-SDIで設定し、伝送率が低いカメラのみ施工時にEX-SDIに切り替えて現場を収めるということが可能です。

 

■デメリット

・コスト
デメリットは比較対象によって異なりますが、アナログ伝送方式の新規格と比較するとコストと伝送距離です。もちろんHD-SDIと比較するとローコストで導入可能ですがAHDやCVIと比較すると若干高くなる傾向があります。

 

■将来性

これはEX-SDIだけではなく新規格の全てに言えることですが、アナログHD-SDIを入れると7種の映像規格(IPカメラの出力は映像とは言えないため含めていません。同軸伝送のみで7種です)が現在の防犯カメラ業界に存在します。誰もが予想できる事ですが全ての規格が10年後、対等に共存していると言う事はないでしょう。ここからは私見ですが、アナログだけを出力するカメラやHD-SDIだけを出力するカメラはそう遠くない将来 なくなるでしょう。アナログという規格やHD-SDI,3G-SDIという規格は元々防犯カメラの映像規格ではなく、放送業界では一般的な映像規格です。アナログは60年以上、HD-SDIは10年以上の歴史があります。映像規格としては特段新しい規格ではありませんし、他業界では一般的に使われている規格なので防犯カメラ業界でも消滅するというのは考えられません。新規格は殆どが既存規格と新規格を出力できるカメラです。DVRも複数の規格を受信できるようになっています。では新規格と既存規格の組み合わせはどうでしょう。チップメーカーのウェブサイトを見ているとコンパチビリティという言葉が出てきます。これは互換性と訳す事もできますが、日本語でいう互換性とはニュアンスが異なり、OSDメニューで切り替えすることで出力可能な映像のことを指しています。EX-SDIのコンパチビリティはHD-SDIAHDのコンパチビリティはアナログ960H。これはEX-SDIはメニュー画面でEX-SDIHD-SDIを切り替えることができ、AHDAHDとアナログの960H画質と切り替えが可能と言う事です。新規格の中で4Kにもデジタル伝送にも対応するのはEX-SDIのみですからHD-SDIとコンパチビリティがある映像規格で将来的にも有力なのはEX-SDIだと考えています。

マーケットニーズで考えた場合も東京オリンピックでは4K対応の防犯カメラが必要といわれています。もちろん2020年には4Kクラスの防犯カメラしか流通していないと言う事ではなく、画像から顔認識ができる映像の必要条件が4Kクラス、遅延がないカメラが必要になるだろうといわれています。またマシンビジョンでも従来はNTSC規格のハイスピードカメラを使用していましたが高画質化にあわせて3G-SDIへのニーズが高まっています。

 

文責:和田耕二

3plexは防犯カメラ専門会社です。
業務内容:販売・新設・入れ替え・設計・修理・点検・保守・輸入・卸売・OEM・技術支援
お問い合せはこちらから

AHD

AHDについてです。

■ AHDとは

最近防犯カメラ業界は、いくつかの新規格が登場しています。新規格はAHD・CVI・TVI・EX-SDIという規格です。これらの新規格はHD-SDIが5C-FBで100mごとにリピーターが必要な事、非圧縮のためDVRの映像処理に負担が掛かるという問題点をクリアするため、チップメーカーが開発しました。

AHDは韓国のNEXTCHIPという会社が開発し、韓国、台湾のカメラメーカーが採用しています。リリース時期が他の規格より早かったことと、チップコストが安いため日本でも普及率が高いようです。AHDはAnalog High Definitionの略であることから、アナログカメラの発展系とかアナログカメラがメガピクセルに対応するようになったと表現している会社もあるようですが、従来のアナログカメラとはまったく異なるものです。

AHDはHD規格の映像データをアナログに変換してHD画質の映像を伝送します。ちょっと解りにくいですが、通常アナログカメラはCVBSと総称されるNTSC信号やPAL信号の映像のことを指します。これは地上アナログ波放送の頃のテレビやRCA(赤白黄のピンコネクタ)接続できる機器の映像のことです。AHDはアナログである事は間違いありませんがケーブルをそのままテレビのRCA端子に接続しても映像は出ません。AHDがアナログで映像を伝送していますが、映像方式がアナログ方式(NTSC方式)ではないからです。AHDの伝送方式はデジタル映像をデータ変換しアナログで伝送しているので、HD映像(デジタル)をアナログの電波に変換してDVRまで送り、HD映像(デジタル)に戻しているといえます。
 アナログ映像方式のカメラも水平解像度を増やす事で高画質化が進んでいます。これはNTSC方式に準拠し、縦の解像度が480iのままで横を広く取る事で高い解像度を持っています。AHDはHD規格なのでNTSCと同一区分に分類される事はありませんし、高画質のアナログはNTSCなのでHD規格と呼ばれる事はありません。

アナログ映像のカメラ(NTSC):垂直解像度が480i
アナログで伝送しているHDカメラ(AHD):垂直解像度が720p or 1080p

 

■ AHDの特性

AHDのチップを採用している会社は台湾、韓国のローコストをセールスポイントにしているカメラ製造メーカーに多い傾向があります。新規格が中国系ではTVIとCVI、韓国系ではAHDとEX-SDIに分類され、韓国系でもコスト重視がAHD、画質重視がEX-SDIに分かれます。特にAHDはコスト面で優位性があり、リリースも早かったためコスト重視のカメラメーカーや早い物好きのカメラーメーカーが採用しました。

 

■ メリット

・コスト
アナログカメラとあまり変わらないコストで導入できます。(アナログも安くなっているので価格差はあります)今までとあまり変わらないコストでメガピクセルを導入できるのは大きなメリットといえます。

・ケーブル
アナログで伝送していますのでHD画質にもかかわらず最大500m(3C-2Vの場合は300m)配線できます。3C-2Vでも配線可能なのでアナログカメラからリプレイス(入れ替え)しやすい、リスクが少ないというメリットがあります。

 

■ デメリット

・画質
AHDはHD画質を出力しますがコストと伝送距離にウエイトを置いているため、同じ解像度でもHD-SDIやEX-SDIに比較すると画質は劣ります。これは同じ解像度でも1画素あたりの情報量がHD-SDIや他規格比較すると小さいということと、AHDはHD映像をアナログで伝送する、つまりAHDチップでエンコードとデコードを行うため画質が劣化するということが原因です。

・バージョン
ADHにはバージョン1.0(720p)とバージョン2.0(1080p)がありますが互換性に問題があります。カメラ製造メーカーにとってはチップのソケット形状が異なるため1.0のカメラに2.0のチップをそのまま乗せかえることが出来ません。つまりカメラ製造メーカーにとっては1.0と2.0のカメラを同じラインで製造が出来ないため生産コストと在庫の負担が大きくなってしまいます。販売会社や利用者にとってはAHD1.0でシステム導入後にメーカーの主力ラインナップがAHD2.0になった場合、既存のDVRに接続できないということが想定されます。

・互換性
AHDとアナログ映像の両方を出力するカメラもDVRも存在します。というより、ほぼ全てのAHDカメラやDVRがアナログに対応しています。しかしAHDのデコードチップ(DVR側)が2ch用のため、1chと2chがペア、3chと4chがペアいうように2つのチャンネルが紐付けされるので、片方がAHDならもう片方もAHD、一方がアナログならもう一方もアナログというように入力チャンネルの映像規格が制限されます。AHDカメラでAHD画質を出力するためにはカメラ側でAHDに出力設定することと、連続する2つの入力をAHDにする必要があります。この特性を把握せずに施工したため、メガピクセルのカメラとして提案したのに全てアナログ映像に 設定されてしまうというケースもあるようです。

■ 将来性

これはAHDだけではなく新規格の全てに言えることですが、アナログとHD-SDIを入れると7種の映像規格(IPカメラの出力は映像とは言えないため含めていません。同軸伝送のみで7種です)が現在の防犯カメラ業界に存在します。誰もが予想できる事ですが全ての規格が10年後に共存存在していると言う事はないでしょう。ここからは私見ですが、アナログ映像のみを出力するカメラはなくなりAHDとアナログの高画質(960H)を切り替えできるカメラかCVIとアナログの高画質(960H)を切り替えできるカメラがローコストカメラの主力になっていくと思います。AHDのなかでも1.0と2.0どちらが主力となるかは今の所は様子をみるしかなさそうです。

アナログ映像は60年以上使われてきた映像規格なのでアナログが無くなると言う事は考えられません。他規格と切り替えもしくは同時に出力できる映像として残ると思います。ただ、現在アナログの最高画質は960Hが主流ですがもう少し横に伸びるかもしれません。

 

 

文責:和田耕二

3plexは防犯カメラ専門会社です。
業務内容:販売・新設・入れ替え・設計・修理・点検・保守・輸入・卸売・OEM・技術支援
お問い合せはこちらから