ロシアのWebサイトで全世界のネットワークカメラ映像が流出(2) パナソニックの取り組みとは | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.15(土)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

ロシアのWebサイトで全世界のネットワークカメラ映像が流出(2) パナソニックの取り組みとは

 日本を含む世界各国のネットワークカメラの映像がまとめて見られる海外Webサイトの存在が、2016年の年明けから大きく報じられて世間の関心を集めた。

製品・サービス・業界動向 業界動向
 日本を含む世界各国のネットワークカメラの映像がまとめて見られる海外Webサイトの存在が、2016年の年明けから大きく報じられて世間の関心を集めた。

 問題のWebサイトを見ると、プライバシーに関わるような映像が公開されているケースもあり、監視カメラを取り扱うメーカー、施工業者、販売店では、事態を重く受け止めて適切な運用方法を改めて告知するといった対応に追われている。

 そこで連載2回目となる今回は、日本国内で5割以上のシェアを誇るともいわれているパナソニック(パナソニックシステムネットワークス)で、セキュリティシステム事業部に在席する寺内宏氏に、同社のネットワークカメラの安全運用に関して話を聞いた。

●課題は対応策の周知徹底

 最初に、今回の騒動を受けてパナソニックが行った取り組みをまとめると、もともと2015年3月17日から同社の製品Webサイトで掲載していた「カメラ、レコーダーなどへの不正アクセスにご注意ください」という注意文に追加を加えた情報を同サイト内の「お知らせ」とバナー表示で2016年1月21日に公開。

 公開された主な注意点としては、次の3つ。
・ 「ユーザー認証」を「ON」にする。
・ 独自でユーザー名/パスワードを設定する。
・ 初期(工場出荷時)のユーザー名/パスワードを削除する。

 Webサイト以外では、新たに出荷される製品に関しては、設定時にポップアップウインドウで警告画面の表示を出したり、取扱説明書への記載、注意喚起をまとめたチラシの同梱なども行っていくそうだ。

 そうした取り組みと平行して、ユーザー対応としては、同社が掌握している範囲内でユーザーに連絡し、必要に応じてサポートを実施していくとのこと。

 これにて一件落着かといえばそうではなく、同社の場合は直接取り引きのある業者だけでなく、二次代理店、三次代理店、さらには世の中に無数にあるネットショップなどでも同社のネットワークカメラが扱われているため、自社の製品Webサイトからの「お知らせ」だけでは不十分だという認識を寺内氏は持っているという。

●公開を前提としたカメラでも要注意

 寺内氏によれば、今回の騒動により不安を感じたユーザーは大きく2つに整理できるという。

 1つ目が本来映像の公開を望んでいないユーザー。そして2つ目が、映像の公開を前提に設置していたものの、まさかこれほどまで広く公開されているとはと驚いているユーザーだ。両者はとるべきセキュリティ対策は変わらないものの、認識すべきポイントが異なる。

 前者の場合は、工場出荷時のID及びパスワードをそのまま運用することの危険性を知ってもらうところから注意喚起する必要がある。なぜなら問題のWebサイトで公開されていた監視カメラ映像は、いわゆる不正アクセスによって覗き見られたワケではなく、工場出荷時のIDとパスワードをそのまま使っていたものが大半だからだ。

 また、パナソニック製品では映像閲覧時に行うユーザー認証のON/OFFの切り替えができ、OFFにした場合は、未登録ユーザーでも視聴が許可されるため、今回の騒動を受けて常時「ON」にすることを推奨している。

 設定項目や手順は製品により異なるが、安全運用の基本概念となる、「工場出荷時のID&パスワードからの変更」「ユーザー認証をONにすること」はマストの対策といえるだろう。

 ちなみにこうした設定変更に関しては、ネットワークカメラのみならず、セットで運用されるレコーダー、ソフトウェアにも必要になるので覚えておいて欲しい。

 そして2つ目が、映像の公開を前提とした運用ではあるものの、広範囲に見られることまでは想定していなかったユーザーへの注意喚起に関して。

 見られることを前提にしているからといって、初期のID&パスワードのまま運用することのリスクが下がるワケではない。公開を望まないユーザーと同様に、きちんとIDとパスワードを設定・管理し、適切な方法で映像を公開すべきなのである。

 これは、誰でも利用することができる公共施設であっても、入ってはいけないエリアが設定されていたり、利用時間以外は管理者がきちんと戸締まりをしていることと同じだといえる。もし無防備なままでの公開を続けた場合には、管理者が公開を望まない時間帯も第三者から映像をのぞき見られたり、場合によっては不正アクセスを行うための踏み台に使われることだってありうる。

 このことから、注意すべき基本的な点は変わらなくても、非公開か公開を前提にしているかで、リスクの認識の違いが出てくるので注意して欲しいと、寺内氏は語っていた。

●セキュアながらも利便性を維持した仕様へ

 今回の騒動を受けて、諸々の対処策を示したことで一定の安全は担保されることになるが、定期的にIDやパスワードを変更するという作業は、ユーザーによっては不便に感じることもあるだろう。そうした場合は、忘れた頃に再び適切な対応が行われない状況に陥ることが危惧される。

 その辺を寺内氏に尋ねたところ、同社では、4月以降に出荷されるネットワークカメラ関連の製品に関して、セキュリティと利便性の両立が図れる仕様変更を導入し始めているという。

 そして、今回の問題だけでなく、ネットワークカメラの危険性として以前から指摘されている不正アクセスによるのぞき見などにも対処できるように、ユーザーのなりすましやデータ改ざんなどの防止対策なども実施しているそうだ。

 次回は、パナソニック以外のネットワークカメラを扱うメーカーの取り組みを紹介していく。

メーカー側に求められる対策とは……検証・ネットワークカメラ映像流出騒動#02

《防犯システム取材班/小菅篤@RBB TODAY》

PickUp

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

アンケート回答で1万円、Amazon騙るフィッシングメール(フィッシング対策協議会) 画像

アンケート回答で1万円、Amazon騙るフィッシングメール(フィッシング対策協議会)
月例セキュリティ情報を公開、悪用の事実も確認(IPA、JPCERT/CC) 画像

月例セキュリティ情報を公開、悪用の事実も確認(IPA、JPCERT/CC)
「Adobe Reader」「Acrobat」アップデート、複数の脆弱性に対応(JPCERT/CC、IPA) 画像

「Adobe Reader」「Acrobat」アップデート、複数の脆弱性に対応(JPCERT/CC、IPA)
企業のアタックサーフェス別クリプトジャッキング感染状況 画像

企業のアタックサーフェス別クリプトジャッキング感染状況
仮想通貨とフィッシングが目立った2018年、2019年は攻撃がさらに洗練(マカフィー) 画像

仮想通貨とフィッシングが目立った2018年、2019年は攻撃がさらに洗練(マカフィー)
OMC Plusを騙るフィッシングメールを確認、注意を呼びかけ(フィッシング対策協議会) 画像

OMC Plusを騙るフィッシングメールを確認、注意を呼びかけ(フィッシング対策協議会)

インシデント・事故 記事一覧へ

他の職員のOTPトークンを窃取し不正アクセス、盗撮の余罪も判明し懲戒免職に(奈良県) 画像

他の職員のOTPトークンを窃取し不正アクセス、盗撮の余罪も判明し懲戒免職に(奈良県)
学生へのフィッシングメールで攻撃者から個人情報が閲覧可能な状態に(新潟大学) 画像

学生へのフィッシングメールで攻撃者から個人情報が閲覧可能な状態に(新潟大学)
車の屋根の上に個人情報記載名簿を載せ発進・紛失(高岡市) 画像

車の屋根の上に個人情報記載名簿を載せ発進・紛失(高岡市)
BCCのつもりでTOに、誤送信でエキストラ登録者385名のメールアドレス流出(牛久市観光協会) 画像

BCCのつもりでTOに、誤送信でエキストラ登録者385名のメールアドレス流出(牛久市観光協会)
業務委託先がクレジットカード情報を含む利用料金支払用紙を紛失(スターキャット・ケーブルネットワーク) 画像

業務委託先がクレジットカード情報を含む利用料金支払用紙を紛失(スターキャット・ケーブルネットワーク)
事務処理の誤りでふるさと納税寄付者の全データを掲載(山形市) 画像

事務処理の誤りでふるさと納税寄付者の全データを掲載(山形市)

調査・レポート・白書 記事一覧へ

働き方改革やIoTの進展で、企業も個人も標的に--2019年の脅威予測(トレンドマイクロ) 画像

働き方改革やIoTの進展で、企業も個人も標的に--2019年の脅威予測(トレンドマイクロ)
50歳以上向けセキュリティ教材を作成(カスペルスキー) 画像

50歳以上向けセキュリティ教材を作成(カスペルスキー)
2018年はソーシャルエンジニアリングやフィッシングが前年比2倍に、Webサーバへの攻撃は減少(CrowdStrike) 画像

2018年はソーシャルエンジニアリングやフィッシングが前年比2倍に、Webサーバへの攻撃は減少(CrowdStrike)
企業のIaaS、PaaSの設定ミスの件数は月2,200件超(マカフィー) 画像

企業のIaaS、PaaSの設定ミスの件数は月2,200件超(マカフィー)
「超限戦」時代、軍事大国アメリカの迷走 - 書評「大統領失踪」 画像

「超限戦」時代、軍事大国アメリカの迷走 - 書評「大統領失踪」
「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認(警察庁) 画像

「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認(警察庁)

研修・セミナー・カンファレンス 記事一覧へ

セキュリティカンファレンス論文公募の受かり方 画像

セキュリティカンファレンス論文公募の受かり方
CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ 画像

CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ
誰もが安全で快適に感じるアプリ環境に近づく「TikTok」(Bytedance) 画像

誰もが安全で快適に感じるアプリ環境に近づく「TikTok」(Bytedance)
小池都知事他講演「Cybertech Tokyo 2018」11月29日から開催(ナノオプト・メディア) 画像

小池都知事他講演「Cybertech Tokyo 2018」11月29日から開催(ナノオプト・メディア)
サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流:オックスフォード大学研究 画像

サイバー犯罪におけるマフィアの機能とロシアンマフィア新潮流:オックスフォード大学研究
2018年のサイバー攻撃といえば? 選ばれた4つのテーマ [Internet Week 2018] 画像

2018年のサイバー攻撃といえば? 選ばれた4つのテーマ [Internet Week 2018]

製品・サービス・業界動向 記事一覧へ

VenafiのマシンID保護プラットフォームとAPI統合、証明書の管理を容易に(デジサート・ジャパン) 画像

VenafiのマシンID保護プラットフォームとAPI統合、証明書の管理を容易に(デジサート・ジャパン)
EDR機能のAPIを提供、さまざまな活用を可能に(サイランス) 画像

EDR機能のAPIを提供、さまざまな活用を可能に(サイランス)
HTTPS通信の脅威も検出、統合型ゲートウェイソリューション新製品(エフセキュア) 画像

HTTPS通信の脅威も検出、統合型ゲートウェイソリューション新製品(エフセキュア)
中堅管理者向け認定資格「CASP」日本語版試験12月より開始(CompTIA日本支局) 画像

中堅管理者向け認定資格「CASP」日本語版試験12月より開始(CompTIA日本支局)
広告代理店に向けブラックリスト提供、不正サイトへの広告配信排除(モメンタム) 画像

広告代理店に向けブラックリスト提供、不正サイトへの広告配信排除(モメンタム)
検疫アプライアンスの最新版、クライアント常駐プログラムを採用(エイチ・シー・ネットワークス) 画像

検疫アプライアンスの最新版、クライアント常駐プログラムを採用(エイチ・シー・ネットワークス)

おしらせ 記事一覧へ

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター 画像

【Scan PREMIUM 記事配信予告】あの男が帰ってくる! ~ 翼の折れたペネトレーションテスター
プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り) 画像

プレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
ScanNetSecurity 創刊 20 周年の御礼 画像

ScanNetSecurity 創刊 20 周年の御礼
編集部海外取材お土産 < 応募締切 9/30 > 画像

編集部海外取材お土産 < 応募締切 9/30 >
[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像

[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました
[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像

[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊
Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×