• TOP
  • 特集一覧
  • 覗き見される映像:無防備なIP監視カメラを悪用するサイバー犯罪者のアンダーグラウンド動向
2018/06/28

覗き見される映像:無防備なIP監視カメラを悪用するサイバー犯罪者のアンダーグラウンド動向

メイン画像

IP監視カメラは、例えば保護者が自宅にいるお子さんを遠隔から見守ったり、工場内の生産工程を監視したりする目的で、一般家庭、企業を問わず広く利用されています。しかし、利便性が高い一方で、IP監視カメラのセキュリティはこれまでも問題視されており、すでに様々なデバイスの脆弱性や設定の不備が確認されています。

トレンドマイクロでは、これらの問題がより深刻な状況にあることを確認しています。サイバー犯罪者は、IP監視カメラにアクセスして録画したり、そのアクセス権を第三者に売却したりするだけでなく、IP監視カメラを悪用して店内を盗み見たり、利用者のクレジットカード情報を盗んだりしているのです。

無防備なIP監視カメラの問題は、所有しない多くの人々にとっては無関心な事柄でしょう。しかし、IP監視カメラに注目するサイバー犯罪者の活動は、実際には予想以上に多くの人々に影響を与える可能性があります。なぜならサイバー犯罪者は、店舗やバー、レストランなどの公共の場所から、スイミングプールやフィットネスセンターの更衣室、スパ施設のサウナ、病院の手術室などといったプライベートな空間まで、さまざまな場所に設置されたカメラを悪用できるからです。

IP監視カメラの映像に含まれる情報には、非常に繊細なものが含まれる場合がありますが、このような活動は高度な技術を持つサイバー犯罪者の仕業だけだとは考えていません。IP監視カメラをはじめ、IoTデバイスを悪用するための不正なサービスは、ダークWeb(匿名ツールを使ってのみアクセスでき、追跡不可能なインターネット空間上の不正サイト)ではなく、ロシアで多く使われているSNSであるVK.comなど一般に利用可能なソーシャルネットワークで宣伝されていることが理由の一つに挙げられます。

ネットワーク列挙攻撃やカメラの不正アクセスなどに使用されるソフトウェアやツールも、同様にインターネット上に公開されており、簡単に入手できます。また、これらの取引で使用される支払方法は、多くの場合匿名化されておらず、容易に追跡される可能性が高い状態となっている点も理由の一つです。

さらに、多くのカメラでパスワードが初期設定のまま使用されていることや、認証なしで動画をストリーミングできることから、無防備なIP監視カメラを悪用するには、特別な知識や高度なスキルが必要ないことがわかります。こうした無防備なカメラへの攻撃は、サイバー犯罪の初心者や、自身で開発せずに既存のスクリプトやコードを利用する技術力の高くないハッカーにとって、ハードルが低いものであることはまちがいないでしょう。

アンダーグラウンドにおけるサイバー犯罪者のふるまい

経験豊富な攻撃者かスクリプトキディかに関係なく、サイバー犯罪者によるIP監視カメラを狙った攻撃は、悪ふざけを目的としているように見受けられます。既知のパスワードが設定されていたり、無防備な状態にあったりするカメラの情報が、アンダーグラウンドフォーラムの「Fun(いたずら)」セクションや特定のソーシャルネットワークの悪ふざけ専用グループの間で広く共有されています。

フォーラムhxxps://blackbiz[.]in/threads/baza-ip-veb-kamer[.]20364の投稿では、2,000台もの無防備なIPカメラが、カフェ、病院、オフィス、倉庫などの場所に接続されていることが言及されています。別のサイトでは、hxxps://vk[.]com/camerasdragorockグループのメンバーが、無防備なカメラの映像を公開しており、標的のカメラにこちらからいたずらを仕掛けることもできます。

図1. 無防備なIP監視カメラの投稿例

図1. 無防備なIP監視カメラの投稿例

サイバー犯罪者は、よくこれらのIP監視カメラ上で別の音声を再生したり、映像に映る人々に話しかけたりするといったいたずらを仕掛けます。こうしたいたずらの動画は、専用のソーシャルネットワーキンググループ、メッセージングアプリのチャットルーム、YouTubeのチャンネルなどで共有され、数十万回、ときには数百万回の閲覧数を稼ぎます。いたずらは、前回撮影した動画へのコメントを受けて行われるものや、「米国での核戦争宣言(announcement of a nuclear war in the United States)」(hxxps://www[.]youtube[.]com/watch?v=Ka-DsDZgAM4) などキャッチーなタイトルを持つものなどもあります。

無防備なIP監視カメラを標的にしたスクリプトキディレベルのサイバー犯罪者たち、特にソーシャルネットワーク上の悪ふざけ専用グループを調査してみると、2つの重要なポイントが見えてきます。1つは個人の私生活を公開するカメラや有料アダルトサイトのストリーミングカメラに対する需要が高いこと、もう1つは物理的なセキュリティに関連したカメラの映像が無料で共有され、場を盛り上げるためや宣伝目的で使用されていることです。

図2. 無防備なIP監視カメラを示した投稿のサンプル

図2. 無防備なIP監視カメラを示した投稿のサンプル

ただし、悪ふざけやいたずらばかりではなく、アンダーグラウンドビジネスとしてこれらの行為を行うサイバー犯罪者も存在します。こうしたサイバー犯罪者にとってIP監視カメラにアクセスすることは、単なるいたずらに限らず、金銭目的の側面があります。実際に一部のサイバー犯罪者は、ハッキングのプロセスを自動化したりカメラの動画ストリームを公開したりするだけでなく、DDoS攻撃の拡散、仮想通貨の不正マイニング、さらには金融犯罪など悪意のある活動を目的としたIP監視カメラへの攻撃という形で、スクリプトキディを支援しています。

IP監視カメラの侵害に悪用されるツール

無防備なIP監視カメラを侵害する一連の攻撃過程は、大規模に実行できるよう多くの部分が自動化されています。攻撃の段階によっては、攻撃者によく知られたサービスや正規のソフトウェアが使用されることもあります。

多くの場合、SquardCamなどの攻撃用ツールと、masscanやRouterScanなどのよく知られた侵入テストツールが合わせて使用されます。場合によっては、InsecamやIP-Scanなどのサイトを利用することで、セキュリティスキャナや他のツールを使用せずに標的となるIP監視カメラを見つけてアクセスすることもできます。いくつかの特定メーカーのIP監視カメラに対しては、ブルートフォース用のソフトや、さらにBIG HIT SPAYASICAM 2017などの攻撃用ツール一式が提供されています。この攻撃用ツール一式は、最初の10名の購入者に限り120米ドルで入手可能でした。

図3. 無防備なIP監視カメラの侵害過程

図3. 無防備なIP監視カメラの侵害過程

アンダーグラウンドフォーラムやソーシャルネットワークの専用グループ、YouTubeのチャンネルなどには、攻撃手順を段階的に示した手引書も存在します。これらは容易に入手が可能で、無防備なカメラを悪用したいと思えば、誰でも簡単に実行に移すことができる状態にあることが懸念されます。

図4. SquardCamを使用したIPカメラのハッキング手引書に関する投稿

図4. SquardCamを使用したIPカメラのハッキング手引書に関する投稿

手引書には通常、攻撃のライフサイクルの最初の3つの段階について具体的な説明があり、最後の実際に攻撃者が利益を得る段階の手引きでは、サイバー犯罪者が各自の用途に合わせ柔軟に利用できる余地が残されています。

さらにトレンドマイクロの調査では、IP監視カメラをハッキングするツールとして配布されている一部のソフトに、ツールの利用者自身に感染する可能性のあるマルウェアが組み込まれていることが確認されました。無防備なカメラを標的としているアンダーグラウンドの市場では、攻撃者同士が互いに攻撃を仕掛け合っているとも言えます。

侵害されたカメラ映像のビジネスモデル

ソーシャルネットワーク上には、サイバー犯罪者による無防備なカメラに特化した「カメラショップ」や有料グループが多数存在します。ビジネスモデルの1つは有料グループの会員権で、通常、会費として数ドルを支払います。例えば、500名を超える会員を擁する、アダルトコンテンツカメラを対象としたVKグループであるCam Over (hxxps://vk[.]com/cam_over) の終身会員権は約3米ドルです。

図5. 有料会員権を提供するVKカメラグループ

図5. 有料会員権を提供するVKカメラグループ

より一般的なビジネスモデルは、ペイパーカメラ (pay-per-camera: PPC) 、またはペイパーパッケージ (pay-per-package: PPP) モデルです。このモデルでは、アイテムごとに通常1.5~5米ドルを支払います。セール時にはアイテムの価格が1米ドル未満になることもあります。

図6. アダルトコンテンツストリーミングに関連したカメラパックの投稿

図6. アダルトコンテンツストリーミングに関連したカメラパックの投稿

カメラショップや有料グループの一部は、カメラへのアクセス権を売るのではなく、事前に録画した映像を販売しています。この不正サービスは悪意のある攻撃者に、無防備なカメラを悪用して被害者を恐喝するだけでなく、IP監視カメラを侵害し、盗聴やデータ漏えいなどの犯罪や活動を行う機会を与えます。

想定される悪用方法と被害

IP監視カメラがインターネットにつながるIoTデバイスであることを踏まえると、それらの悪用方法はいくつも考えられます。中でも、仮想通貨のマイニングは、侵害したカメラのリソースを不正利用して金銭化するための比較的無難な方法です。他にも、こうした脆弱なIP監視カメラが踏み台に使用されることで、フォレンジック追跡の隠蔽、データの盗用、またはカメラは通常良好なインターネット接続を使用しているため、DoS攻撃などのより深刻な被害の原因となる危険性もあります。

サイバー犯罪者は、無防備なIP監視カメラが個人の私生活、決済、さらには重要インフラのセキュリティに与える影響を十分に認識しています。実際に彼らの間では、“脆弱な監視カメラを標的にして被害者から身代金を奪ったら?”など、無防備なIP監視カメラを悪用した犯罪テーマについての会話が頻繁に交わされています。

図7. 都市部に設置されたカメラを停止して被害者に身代金を要求する手口に関するアンケート

図7. 都市部に設置されたカメラを停止して被害者に身代金を要求する手口に関するアンケート

上記の例では、攻撃を仕掛ける価値があるかどうかを、攻撃者が他の攻撃者に問いかける1つのアンケートを作成しています。この攻撃では、ある都市に設置されたカメラを停止させ、動画ではなく連絡先電話番号とともに身代金を要求するメッセージを流します。また被害者が電話をするときの反応が記録される可能性もあります。

このような「カメラを悪用したランサムウェア(システムへの影響を材料にした脅迫による身代金要求)」は極めて深刻な被害をもたらします。被害者は通常のランサムウェア同様、過去に保存したデータにアクセスできなくなるだけでなく、現在および未来のデータを取得することもできなくなる可能性があります。こうした攻撃は、処理工程やその状況をカメラの映像で確認しながら(遠隔で)設備の制御(操作)を行っている工場をはじめ、視覚化されたリアルタイムデータがビジネスモデルの核となる証券取引所などの環境において、深刻な被害をもたらすことが想定されます。

図8. スパサロンにおける無防備なカメラに関する投稿

図8. スパサロンにおける無防備なカメラに関する投稿

美容室、サウナ、医療機関などに設置された無防備なカメラは、著名人やその他民間人に対する脅迫の手段として悪用されることが想定されます。サイバー犯罪者は、身代金を支払わなければプライベート動画を公開すると脅迫することができるためです。

店舗や金融機関のカメラをハッキングすれば、個人識別情報 (PII) や支払情報を公開することができます。例えば、以下に投稿されている無防備なカメラの映像は、クレジットカードのデータを収集する上で好都合です。1秒ごとに約15米ドルを支払う代わりに、無防備なカメラの映像からPIIや支払情報を入手したいという直接個人情報を狙うようなリクエストも、アンダーグラウンドフォーラムで確認されています。

図9. クレジットカードデータを公開する可能性のあるカメラに関する投稿

図9. クレジットカードデータを公開する可能性のあるカメラに関する投稿

もちろん無防備なIP監視カメラは、企業施設や重要インフラなどの物理的なセキュリティに影響を与える可能性があります。当社では、すでに多くの会議室、管理職の部屋、警備室、危機管理センター、および政府施設にある無防備なIP監視カメラを確認しています。無防備なIP監視カメラの犯罪マーケットには、他人の裸を見るためにお金を支払う人がいます。しかし、取締役会議室の無防備なIP監視カメラにアクセスし、そこから収集できる機密データから不正に得られる大きな利益を想像したとき、彼らは喜んで裸を見ようとするときの数倍の金額を支払うはずです。

図10. オフィスにおける無防備なIP監視カメラに関する投稿

図10. オフィスにおける無防備なIP監視カメラに関する投稿

無防備なIP監視カメラへのサイバー攻撃に対するベストプラクティス

今回の調査は、IP監視カメラのメーカーやベンダーのみならず、IP監視カメラの使用者側である個人や組織がIP監視カメラや他のIoTデバイスを適切に保護する必要があることを示しています。

デバイスのメーカーおよびベンダーに対する主な推奨事項は以下のとおりです。

・「設計段階からのセキュリティ」の手法を導入し、開発プロセスの初期段階から、デバイスにセキュリティ機能と対策を組み込む。
・ファームウェアを常に監視し、脆弱なシステムコンポーネントにはパッチを適用する。必要に応じて、FOTA (Firmware Over The Air) を利用し、更新プログラムの適用を容易にする。また、更新プログラム適用に時間を要したり、適用が困難なことが予想されたりする場合、脆弱性攻撃を遮断する機能を組み込む。
・セキュアブートを有効にして、信頼されるソフトのみを使用してデバイスが起動されるようにし、侵害されたデバイスが動作しないようにする。
・不要であればデバイス上で開放するポートを最小限にとどめるなど、最小機能の原則を採用する。
・初期設定の認証情報の変更を強制的に利用者に実施させる。

利用者に対するベストプラクティスは以下のとおりです。

・大文字と小文字の両方、数字、特殊記号を含む複雑なパスワードを作成し、すぐに管理用のログインパスワードを初期設定から変更する。
・不要なネットワークポートやUniversal Plug and Play (UPnP) などのプロトコルを無効にし、ネットワーク内の機器が警告なしに外部のインターネットに対してポートを開かないようにする。
・入手可能になった時点で新しいファームウェアアップデートやセキュリティパッチを適用して、脆弱性侵害の可能性を最小化する。
・カメラの設置されたネットワークにおいて異常状態(攻撃を受けている状態)に早めに気付き、被害を低減できるよう異常検知の仕組みを組み込む。

サイバー犯罪者によるアンダーグラウンドマーケットが活況であり、都市部に数多くのIP監視カメラが設置されている現代社会において、IP監視カメラやビデオ監視システムのセキュリティの問題はあらゆる人々に影響を与えます。

これは、個人や法人を問わず、IoT、そして重要インフラのセキュリティに関連した世界規模の問題であり、早急な対応が求められます。

VLADIMIR KROPOTOV

VLADIMIR KROPOTOV

Senior Threat Researcher

Forward-Looking Threat Research

Trend Micro

大手企業におけるインシデントレスポンスチームの構築および責任者を務めた後、トレンドマイクロの最先端脅威研究組織である「Forward-looking Threat Research」に参加。 “サイバーセキュリティ”の専門家として15年以上にわたる経験があり、中でもネットワークトラフィック分析、インシデント対応、ボットネットとサイバー犯罪の調査に高い知見を持つ。FIRST、CARO、HITB、Hack.lu、PHDays、ZeroNights、POC、Hitcon、Black Hat EUなど多くの著名な国際会議において定期的に調査発表を行っている。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop