ここ数日、弊社に防犯カメラの映像流出について問い合わせが続きました。問い合わせのきっかけになったのは、INSECAMというサイトに世界中の防犯カメラの映像が公開されていることがニュースになったためです。INSECAMを見ると地域とメーカーでカテゴリー分けされています。悲しいことに日本はアメリカについで2番目に公開されてしまった数が多く、IPカメラブランド別に見ると8ブランド中4ブランドが日本のブランドです。(AXISもCANONに買収されているので日本の会社のブランドと考えると5ブランドです。)
私なりにINSECAMによって防犯カメラの映像が公開されてしまったことについて考えてみました。
技術的、サービス的問題
都市部で生活していると数多くの防犯カメラに撮影されています。例えば一日外出をしたとすると、100台以上の防犯カメラに撮影されています(コンビニエンスストアの店内を1周すると10台、ホームセンターや大型スーバーを1周すると50台以上の防犯カメラに撮影される)。ではその防犯カメラがインターネット経由で閲覧できる機能を持っていたとして、私達がその映像を見ることができるでしょうか。その答えは「できません」もしくは「普通はできないことになっています」ということになります。なぜなら防犯カメラがインターネット経由で閲覧できる機能を有し、かつインターネット経由で閲覧するための設定がなされていたとしても、アドレス、ポート番号、ID、パスワードの4つの情報がなければ映像を見ることはできません。
東海エリアに設置されている防犯カメラもINCECAMによって一般の目に晒されている。防犯カメラ利用者にとって遠い世界のできごとではなく、もはや身近な問題。
アドレス、ポート番号、ID、パスワードとは何か?この4つの情報を大雑把に説明します。
アドレス
防犯カメラに接続するためには、アドレスが必要です。言ってみれば「yahoo.co.jp」や「google.com」のようなurlと同等のものと捉えて頂いて問題ありません。防犯カメラの場合、固定グローバルIPアドレスかダイナミックDNSをアドレスとして使用している場合が多いです。
ポート
アドレスがわかってもインターネットと自社(自宅)の出入口であるルーターまでしか辿り着けません。その先は同一ネットワークに複数の機器があるため、防犯カメラにアクセスするにはルーターにIPマスカレード設定の登録が必要です。その時に防犯カメラを特定する番号がポート番号です。
ID
防犯カメラに限らずwebサービスやメールなどで使われるIDです。IDを増やすことはできますが、最初に設定されているID(administratorやadmin)は変更削除できないメーカーや商品もあります。
パスワード
これもIDと同様に一般的に使われるパスワードと同じです。初期値で「111111」や「0000」などの様な数字や「admin」「password」のような安易に想像できる英単語、そもそもパスワードが設定されていない(パスワードなしでもアクセスできる状態)場合が多いです。
この4つの情報がなければ映像が見ることはできないはずなのに、なぜINCECAMで公開されてしまったのでしょう。4つの情報ごとに原因を追求します。
IDとパスワード
防犯カメラ映像を見るためにはアドレス、ポート番号、ID、パスワードが必要です。防犯カメラの映像を見るために必要な情報のうち、IDとパスワードについては報道にもある通り、IDとパスワードが容易に推測しやすい初期値だったということが問題になっています。いくら単純なadmin/adminといってもIDの場合でADMIN、admin、Admin、Administrator、administrator、ADMINISTRATORの6パターンあり、パスワードも同様に6パターン、合計で36通り想定できます。INSECAMを見ると地域別とメーカー別にもカテゴリー分けされています。それはINSECAMの管理者が一般的に使用される単語を片っ端から試したのではなく、IDとパスワードがここに掲載されている8種のIPカメラの初期値を使用したからと思います。この8種のIPカメラブランドに限定するとIDとパスワードの組み合わせは(初期値は)8通りしかありません。
8種のIPカメラのうち4種が日本のカメラブランドなので日本のIPカメラ流出が6000件以上もあったのかもしれません。もっと多くのIPカメラメーカー(の初期値)がターゲットにされていたとすれば、日米以外の地域でもっと多くの流出があったかもしれません。
ポート番号
ポート番号はアドレスが判明した後に必要となる情報です。ポート番号は0番から65,535番まであります。もし防犯カメラにアクセスするためのポート番号が15,000番だった場合、0番から15000回接続を繰り返す必要があります。今回流出した台数は73000台と言われていますから73000台x15000回の接続だと10億回の接続にチャレンジしたことになりますが、10億回も接続にチャレンジしたわけではないと思います。IPカメラはブラウザからのアクセス用に80番ポートを使用しています。もちろんこれも初期値で変更可能です。同じ拠点に複数のIPカメラある場合は80番から順おくりに81,82,83・・・とポートを使用している場合が一般的です。INSECAMで公開された防犯カメラを見るとほとんどが80番か80番代です。65535番の中から一つ番号を選べるにもかかわらず、今回流出した防犯カメラのほとんどが80番(初期値)のままです。
アドレス
INSECAMに公開された73000台のIPカメラはポート番号、ID、パスワードという無限の設定の組み合わせをユーザー自身が決定できる要素を持っていたにもかかわらず、8通りの情報があれば簡単に接続できる状態になっていました。
正しい権限を持った利用者が防犯カメラをインターネット経由で閲覧するために、アドレス固定する必要があります。インターネットに接続される機器は例外なくIPアドレスが割り当てられます。通常、ルーターが一つのローカルネットワークの代表としてグローバルIPアドレスを取得し、ローカルネットワーク内で共有します。インターネット上で割り当てられるグローバルIPアドレスはほとんどの場合、動的に割り当てられます。つまりインターネットに接続するたび(ユーザーが意識しない瞬間的な再接続をふくめ)新しいグローバルIPアドレスが割り当てられるので、防犯カメラのように恒常的に接続する必要のある場合は動的に割り当てられるグローバルIPアドレスを固定する必要があります。固定IPアドレスはプロバイダーの有料サービスとして提供されています。固定IPアドレスサービスを使用することでインターネットの再接続が発生してもグローバルIPアドレスが変わりませんので外部から防犯カメラに接続することができます。また固定IPアドレスサービスを使用していない場合でもダイナミックDNSと呼ばれるサービスを使用することで固定IPアドレスサービスの代替的なサービスとして利用することができます。ダイナミックDNSは多くの防犯カメラメーカーが商品の付帯サービスとして提供しています。
個人宅の子ども部屋と思われる部屋のカメラ映像が流出。防犯目的のカメラではなく子ども見守りカメラの映像と思われる。
ではINSECAMはダイナミックDNSとIPアドレスどちらを利用してカメラに接続したのでしょうか。おそらくですがIPアドレスをスキャンするツールを利用していると思われます。それは公開されているカメラの台数の増減幅大きいことから推測できます。INSECAMに掲載されている日本の防犯カメラ台数は、ここ数日で1000台近く減りました。パスワードやポート番号を変更すればINSECAMで公開されなくなりますから適切に再設定されたIPカメラが1000台近くあると考えることもできますが、ポートやパスワードの変更などの作業が伴うことを考えるとちょっと減り方が大きすぎると感じています。むしろ動的に割り当てられたIPアドレスがここ数日で再割り当てが発生し、別のIPアドレスが割り当てられたIPカメラが1000台近くあったと考えた方が自然だと考えています。
IPアドレスは数億ありますが、アドレス以外の情報が8通りしかないわけですから、IPスキャンをかけてヒットしたアドレスに対し8通りの情報を送信し、画像データが収集できるとカメラが接続されていると判定できます。(80番ポートが開放されている全ての環境で防犯カメラが接続されているとは限りません。WEBサーバーが設置されている場合も80番は開放されていますが、WEBサーバーは公開を目的としているため管理者は外部からのアクセスを管理把握している場合が一般的です)IPスキャンも国ごとプロバイダーごとにレンジ(範囲)が決められているためIPスキャンの範囲は限定的です。
駐車場、一般家庭のリビング、教会の映像が晒されている。リビングのカメラ映像はギターのケースが放置されているなど生活感がある映像。防犯用途とは異なる目的のカメラとして設置されたと思われる。
法的な問題
普通の人の認識ではIDとパスワードによって保護されているエリアに不正な方法を用いて侵入し情報を公開することや情報を盗むことは違法行為です。いわゆるハッキングという行為で不正アクセス行為の禁止等に関する法律によって禁止されていますし、利用者側もIDとパスワードで保護されている以上、損害があった場合、加害者に対し損害賠償請求もできる可能性が高いです。
ただ、今回の場合は防犯カメラに設定されているIDとパスワードが初期状態のまま、もしくはパスワードが設定されていない。つまりIDとパスワードによって保護されていない状態です。誰もが閲覧することが許されている状態とも言えるわけですから法的責任を追求することは難しいと思われます。しかし流出してしまっている防犯カメラの管理者は施設の管理者として個人情報やプライバシーを保護する責任が発生します。INSECAMによって流出した情報により、防犯カメラ所有者が管理責任を追求される可能性があります。
自社の防犯カメラが公開されている状態を
放置することの危険性
サイト運営者側は極めて個人的な情報や性的な映像が映る(温浴施設や更衣室など)防犯カメラは公開していないと発言しています。ほとんどが駐車場やメガソーラー等の監視に使われている防犯カメラでしたが、中には一般法人の事務所、調剤薬局の調剤室、玄関と思われるようなところ等もありました。最近の防犯カメラは高画質になっており、映っている人たちのプライバシーはもちろん、書類などから取引先の企業情報や個人情報、駐車場のカメラからは車種や車両番号が常時流出している状態です。これらの情報により何らかの被害が出た場合の損害賠償の矛先は公開したサイトではなく、防犯カメラを適切に管理していない管理者(防犯カメラの所有者)の責任として追求される恐れがあります。中には店舗の看板ごと映っている映像もありましたので、心当たりある企業様は早々に対策を取るべきでしょう。
情報流出による被害だけではなく、無人時や建屋内部構造や貴重品置き場が第三者に漏れてしまうなどの直接的被害も想定されますし、競合他社や取引先などが貴社の防犯カメラ映像を見つけてしまい新たなトラブル要因にならないとも限りません。
対策
セキュリティ性の維持と利便性は時として相反します。
今回の流出も設置業者の利便性や施工時の工数削減の結果かも知れません。
しかしセキュリティのために導入した防犯カメラがセキュリティを低下させてしまっているのでは本末転倒です。思いつく範囲で対策をまとめました。
・パスワードを複雑なものに変更する。定期的に変更する。
今回流出した8種のIPカメラブランドに限らず、初期値のパスワードはほとんど単純なものです。数年前のDVRは数字のみ6桁や4桁の商品が主流でしたが最近の防犯カメラはIPカメラや同軸ケーブルを利用したDVRに関わらず大文字小文字、数字が利用でき、文字数も8文字とセキュリティ性が向上しています。類推されにくいパスワードに変更しましょう。また関係者の退職、異動等もありますから定期的に変更する必要があります。
・関係者ごとにIDを発行する。管理者権限のIDを変更する
防犯カメラに限らずネットワーク商品のほとんどの管理者用IDは「ADMIN」や「ROOT」、「USER」に近い単語が採用されています。変更可能ならば変更しましょう。また映像を見る人物が複数いる場合は個人ごとや部署ごと役職ごと等にIDを発行し、誰がアクセスしたか後で追跡できるようにした方が良いです。定期的にログを確認する必要もあります。
・ポート番号を変更する
80番は本来WEBサーバーとして公開するための番号です。一般公開を目的としている場合を除いて1024番以降のポート番号に変更した方が良いでしょう。
・IPアドレスを固定させる
固定IPアドレスサービスを使用はセキュリティ性の観点からみると賛否両論があります。ネットニュースなどを見ていると防犯カメラ用に閲覧専用の回線を引くと言った記述もありますが、この方法はネットワーク全体のセキュリティという意味では効果がありますが、防犯カメラの映像流出という点では意味がありません。固定IPアドレスサービスを利用することでセキュリティ性が高くなるという意見も聞きますが、私は固定IPアドレスサービスはIPアドレスが固定されてしまうためセキュリティ性は悪化すると考えています。セキュリティ性だけを考えるならばダイナミックDNSを利用し定期的にアドレスを変更した方がネットワーク上のセキュリティは向上します。固定IPアドレスサービスを使用するならばIPカメラやDVRといった防犯カメラを設置している側ではなく、閲覧する側(防犯カメラの映像を閲覧するためのソフトがインストールされたPCがある側)に固定IPアドレスサービスを導入し、防犯カメラを設置している側にファイヤーウォールを導入し指定したIPアドレスからしかアクセス出来ないように設定する方法を提案します。
・VPNを導入する
公衆インターネットに比較するとVPNは高いセキュリティ性があります。またVPNを導入することでVPN内の機器のパスワードについて管理すべきレベルを下げることも検討できます。スマートフォンから防犯カメラにアクセスしないのであればIP-VPNが良いと思います。ただスマートフォンからも接続するのであればルーターで構築できるインターネット-VPNにしましょう。インターネット-VPNであればiphoneやAndroid、データカードを挿入したノートPCでもVPNに入るように構築することができます。規模感のある企業様であればこの方法が最も利便性とセキュリティ性が維持できるかもしれません。
文中の用語について
IPカメラ:LANケーブルで接続するカメラ。防犯用途で使用されるほか、WEBでの公開用途、コミュニケーション用途などでも使用されるカメラ。INSECAMで公開されてしまったカメラの恐らく全てIPカメラです。
防犯カメラ:文中では防犯用途で使用されるIPカメラと同軸ケーブルで接続される業務用カメラのうち防犯用途のカメラを総称して防犯カメラと呼んでいます。
DVR:同軸ケーブルで接続される防犯カメラの録画機。同軸で接続される防犯カメラはカメラ単体ではネットワーク機能を持ちませんが、録画機がネットワーク機能を持っています。画質はアナログ級(48万画素)からHD級(200万画素)まであります。
VPN:Virtual Private Networkの略。公衆回線インフラを使用して仮想的(Virtual)なプライベートネットワークを構築する。セキュリティ性、利便性ともにメリットがあるが、構築、維持にコストが発生する。
IP-VPN:通信会社等が自社のネットワーク網に構築するVPN。IDとパスワードによる認証よってVPN提供の通信会社回線に入りVPNを構築する。インターネットVPNに比較しセキュリティ性が高いがコストも高い。
インターネット-VPN:ルーターの機能によってVPNを構築。PPTPなどのプロトコルを使用する。スマートフォンなどをVPNに組み入れる場合はインターネット-VPN。
最後に
自社の防犯カメラの映像が流出している可能性がある場合は早急に上記対策を講じて下さい。またチェーン店などで自社が流出してしまっているが、どの店舗かわからないという場合はご契約のプロバイダーさんにご協力いただくことである程度の特定が可能です。
自社でパスワードが変更できる担当者がいない等の企業様、個人様はお気軽にご相談下さい。弊社では他社から購入された防犯カメラの保守やメンテナンス、修理を承っております。
弊社ついてはこちらから>>3plex株式会社
[contact-form]
1週間以内に回答がない場合は、スパムとして削除されている可能性があります。お手数をお掛けしますが入力されるメールアドレスを変更して再度お問い合わせ下さい。