ロシアのWebサイトで全世界のネットワークカメラ映像が流出(2) パナソニックの取り組みとは | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

ロシアのWebサイトで全世界のネットワークカメラ映像が流出(2) パナソニックの取り組みとは

製品・サービス・業界動向 業界動向

 日本を含む世界各国のネットワークカメラの映像がまとめて見られる海外Webサイトの存在が、2016年の年明けから大きく報じられて世間の関心を集めた。

 問題のWebサイトを見ると、プライバシーに関わるような映像が公開されているケースもあり、監視カメラを取り扱うメーカー、施工業者、販売店では、事態を重く受け止めて適切な運用方法を改めて告知するといった対応に追われている。

 そこで連載2回目となる今回は、日本国内で5割以上のシェアを誇るともいわれているパナソニック(パナソニックシステムネットワークス)で、セキュリティシステム事業部に在席する寺内宏氏に、同社のネットワークカメラの安全運用に関して話を聞いた。

●課題は対応策の周知徹底

 最初に、今回の騒動を受けてパナソニックが行った取り組みをまとめると、もともと2015年3月17日から同社の製品Webサイトで掲載していた「カメラ、レコーダーなどへの不正アクセスにご注意ください」という注意文に追加を加えた情報を同サイト内の「お知らせ」とバナー表示で2016年1月21日に公開。

 公開された主な注意点としては、次の3つ。
・ 「ユーザー認証」を「ON」にする。
・ 独自でユーザー名/パスワードを設定する。
・ 初期(工場出荷時)のユーザー名/パスワードを削除する。

 Webサイト以外では、新たに出荷される製品に関しては、設定時にポップアップウインドウで警告画面の表示を出したり、取扱説明書への記載、注意喚起をまとめたチラシの同梱なども行っていくそうだ。

 そうした取り組みと平行して、ユーザー対応としては、同社が掌握している範囲内でユーザーに連絡し、必要に応じてサポートを実施していくとのこと。

 これにて一件落着かといえばそうではなく、同社の場合は直接取り引きのある業者だけでなく、二次代理店、三次代理店、さらには世の中に無数にあるネットショップなどでも同社のネットワークカメラが扱われているため、自社の製品Webサイトからの「お知らせ」だけでは不十分だという認識を寺内氏は持っているという。

●公開を前提としたカメラでも要注意

 寺内氏によれば、今回の騒動により不安を感じたユーザーは大きく2つに整理できるという。

 1つ目が本来映像の公開を望んでいないユーザー。そして2つ目が、映像の公開を前提に設置していたものの、まさかこれほどまで広く公開されているとはと驚いているユーザーだ。両者はとるべきセキュリティ対策は変わらないものの、認識すべきポイントが異なる。

 前者の場合は、工場出荷時のID及びパスワードをそのまま運用することの危険性を知ってもらうところから注意喚起する必要がある。なぜなら問題のWebサイトで公開されていた監視カメラ映像は、いわゆる不正アクセスによって覗き見られたワケではなく、工場出荷時のIDとパスワードをそのまま使っていたものが大半だからだ。

 また、パナソニック製品では映像閲覧時に行うユーザー認証のON/OFFの切り替えができ、OFFにした場合は、未登録ユーザーでも視聴が許可されるため、今回の騒動を受けて常時「ON」にすることを推奨している。

 設定項目や手順は製品により異なるが、安全運用の基本概念となる、「工場出荷時のID&パスワードからの変更」「ユーザー認証をONにすること」はマストの対策といえるだろう。

 ちなみにこうした設定変更に関しては、ネットワークカメラのみならず、セットで運用されるレコーダー、ソフトウェアにも必要になるので覚えておいて欲しい。

 そして2つ目が、映像の公開を前提とした運用ではあるものの、広範囲に見られることまでは想定していなかったユーザーへの注意喚起に関して。

 見られることを前提にしているからといって、初期のID&パスワードのまま運用することのリスクが下がるワケではない。公開を望まないユーザーと同様に、きちんとIDとパスワードを設定・管理し、適切な方法で映像を公開すべきなのである。

 これは、誰でも利用することができる公共施設であっても、入ってはいけないエリアが設定されていたり、利用時間以外は管理者がきちんと戸締まりをしていることと同じだといえる。もし無防備なままでの公開を続けた場合には、管理者が公開を望まない時間帯も第三者から映像をのぞき見られたり、場合によっては不正アクセスを行うための踏み台に使われることだってありうる。

 このことから、注意すべき基本的な点は変わらなくても、非公開か公開を前提にしているかで、リスクの認識の違いが出てくるので注意して欲しいと、寺内氏は語っていた。

●セキュアながらも利便性を維持した仕様へ

 今回の騒動を受けて、諸々の対処策を示したことで一定の安全は担保されることになるが、定期的にIDやパスワードを変更するという作業は、ユーザーによっては不便に感じることもあるだろう。そうした場合は、忘れた頃に再び適切な対応が行われない状況に陥ることが危惧される。

 その辺を寺内氏に尋ねたところ、同社では、4月以降に出荷されるネットワークカメラ関連の製品に関して、セキュリティと利便性の両立が図れる仕様変更を導入し始めているという。

 そして、今回の問題だけでなく、ネットワークカメラの危険性として以前から指摘されている不正アクセスによるのぞき見などにも対処できるように、ユーザーのなりすましやデータ改ざんなどの防止対策なども実施しているそうだ。

 次回は、パナソニック以外のネットワークカメラを扱うメーカーの取り組みを紹介していく。

メーカー側に求められる対策とは……検証・ネットワークカメラ映像流出騒動#02

《防犯システム取材班/小菅篤@RBB TODAY》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

    カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  7. ダークウェブからAIで情報収集(DTRS、IISEC)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×