2019/04/16

IPカメラのサイバー脅威が現実の世界に

メイン画像
    

IPカメラは、サイバー攻撃者にとって恰好の標的になります。初心者のサイバー攻撃者ですら、オープンソースコミュニティで簡単に手に入るツールを利用して、こうしたモノのインターネット(IoT)デバイスに侵入していると言われています。しかし、IPカメラのサイバーセキュリティ上のリスクについてセキュリティの専門家が以前から強調してきた一方で、そのリスクの高さが現実の世界に即して語られることは、あったとしても稀でした。意図的に脆弱にしたハニーポットでシミュレートされたデバイス以外に、現場で実際に実行されている製品がたくさんあるにもかかわらずです。    

2018年後半に、トレンドマイクロは有名なIPカメラメーカーのVIVOTEKとプログラムを立ち上げました。その目的は、サイバーセキュリティの脅威を認識して保護する機能をファームウェアに組み込んで、市場で提供することでした。この記事では、この経験から得られたいくつかの洞察についてご紹介します。    

この記事は、2019年1月にトレンドマイクロが行った調査に基づいています。サイバーセキュリティ指標について相当数のIPカメラ(数千台単位)を監視したところ、いくつかの興味深いポイントが明らかになりました。調査から判明した重要なポイントは、以下のとおりです。    

・かなりの割合のIPカメラ(10~15%)が、インターネット上に晒されてしまっています。    

・未使用のポートを閉じることで、悪意のある、または望ましくないトラフィックの80%以上を阻止できます。    

・最初のアプローチとしては、ブルートフォースログインが最も一般的です。     

・着信するセキュリティインシデントの約4%に、悪意のあるペイロードが含まれています。

パブリックネットワークへの露出

前の記事で触れたように、ほとんどのIPカメラメーカーでは、自社のデバイスを主にプライベートネットワークに配置しているとのことです。一般に、消費者向けモデルはホームルータの背後にあり、産業用制御システム(ICS)向けのモデルは工場のような隔離された施設内にあって、それ以外の公共の場所に配置されるものは価格が高いために出荷量が比較的少ないと考えれば、そうした話も頷けます。

ただし、この理論がこれまでに検証されたことはありません。実際の出荷量と、トレンドマイクロが受信した一意のサンプルの量を照らし合わせると、トレンドマイクロのサイバーセキュリティ機能が組み込まれたVivotekカメラの約10~15%が、インターネットにアクセス可能な環境に設置されていたと結論づけることができます。これを業界の標準とすれば、1年間に100万台を超えるIPカメラがパブリックネットワーク上に晒されており、IoT検索エンジンShodanで閲覧可能になっていると推定できます。IPカメラは大量の帯域幅を使用する強力なデバイスであり、このように膨大な数のデバイスがインターネットで幅広く公開されていれば、サイバー攻撃者がIPカメラを狙うのは当然のことです。さらにこれは、サイバー攻撃者が分散型サービス拒否(DDoS)攻撃などにIPカメラを悪用する絶好の動機にもなります。

最小機能のルール

サイバーセキュリティのアドバイザーなら誰でも、使っていないポートは閉じるように開発者に勧めます。この調査では、各デバイスからの発着信イベントをすべて記録したところ、着信イベントの83%が閉じたポートを経由して発生していたことがわかりました。つまり、ほかにサイバーセキュリティ対策の導入有無にかかわらず、設計上アクセスの発生しないポートを閉じることで、望ましくない着信イベントの8割以上がすでにブロックされていることになります。

デフォルトの弱い認証情報

強い認証情報の重要性については、いくら強調しても足りません。しかし現実には、利便性を最大限に高めることを優先して、この重要な点が無視されることが非常に多くなっています。漏えいした認証情報が必ずしもIPカメラの侵害につながるとは限りませんが、この情報を手掛かりとしてプライバシーが侵害されるだけでなく、悪用される潜在的なリスクも生じます。

この調査では、異常な着信メッセージの残り17%は有効な開いたポートからIPカメラに到達し、その大部分はブルートフォースでの認証情報攻撃でした(17%のうち13%)。多くのデバイスメーカーはセキュリティに十分配慮して未使用ポートを閉じていますが、たとえばWebサービスなど、いくつかのポートは重要な機能を提供するので、常に開いたままです。認証情報の漏えいによってシステムの破壊が必ず発生するとは限りませんが、IPカメラの場合は個人のプライバシーやビジネスの機密性が侵害されることがよくあります。

デフォルトの弱い認証情報が悪用される問題を防止するために、いくつかの対策を講じることができます。一般的な方法は、デフォルトパスワードを変更するようユーザーに求めることですが、ほかに開発者によって幅広く使われる方法は、再試行の基準を設定することです。

最後の砦

この調査では、確認された悪意のあるペイロードをIPカメラの開いたポートに送信できた異常なネットワークイベントは、4%だけでした。割合としては比較的小さいと思われるかもしれませんが、セキュリティイベントの実際の総数を見れば、話は違ってきます。IPカメラが毎日受信する攻撃ペイロードが1つだけだったとしても、攻撃が1回でも成功すればデバイスは侵害されてしまうので、望ましくない状況が生じることになります。

出典:2019年1月現在のトレンドマイクロのデータ

出典:2019年1月現在のトレンドマイクロのデータ

現状では、悪意のあるパッケージに対処できる侵入防御システム(IPS)のルールを理解し、維持して、更新するための専任のチームを置けるような余裕がある企業は、業界内でも限られていることは、重要な課題のひとつです。IoTセキュリティの専門性を持った企業と協力して運用の負担を減らし、高度なセキュリティを実現することが、IPカメラのメーカーに限らず、IoTデバイスやサービスを提供する事業者には不可欠です。徹底したセキュリティ対策を協力して実現することで、IoTデバイスのメーカーは実際に稼動している製品の脅威の状況をより明確に把握でき、サイバーセキュリティのリスクに対する防御力をより高めることができるでしょう。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop