ロシアのWebサイトで全世界のネットワークカメラ映像が流出(2) パナソニックの取り組みとは | ScanNetSecurity
2022.05.20(金)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

ロシアのWebサイトで全世界のネットワークカメラ映像が流出(2) パナソニックの取り組みとは

 日本を含む世界各国のネットワークカメラの映像がまとめて見られる海外Webサイトの存在が、2016年の年明けから大きく報じられて世間の関心を集めた。

製品・サービス・業界動向 業界動向
 日本を含む世界各国のネットワークカメラの映像がまとめて見られる海外Webサイトの存在が、2016年の年明けから大きく報じられて世間の関心を集めた。

 問題のWebサイトを見ると、プライバシーに関わるような映像が公開されているケースもあり、監視カメラを取り扱うメーカー、施工業者、販売店では、事態を重く受け止めて適切な運用方法を改めて告知するといった対応に追われている。

 そこで連載2回目となる今回は、日本国内で5割以上のシェアを誇るともいわれているパナソニック(パナソニックシステムネットワークス)で、セキュリティシステム事業部に在席する寺内宏氏に、同社のネットワークカメラの安全運用に関して話を聞いた。

●課題は対応策の周知徹底

 最初に、今回の騒動を受けてパナソニックが行った取り組みをまとめると、もともと2015年3月17日から同社の製品Webサイトで掲載していた「カメラ、レコーダーなどへの不正アクセスにご注意ください」という注意文に追加を加えた情報を同サイト内の「お知らせ」とバナー表示で2016年1月21日に公開。

 公開された主な注意点としては、次の3つ。
・ 「ユーザー認証」を「ON」にする。
・ 独自でユーザー名/パスワードを設定する。
・ 初期(工場出荷時)のユーザー名/パスワードを削除する。

 Webサイト以外では、新たに出荷される製品に関しては、設定時にポップアップウインドウで警告画面の表示を出したり、取扱説明書への記載、注意喚起をまとめたチラシの同梱なども行っていくそうだ。

 そうした取り組みと平行して、ユーザー対応としては、同社が掌握している範囲内でユーザーに連絡し、必要に応じてサポートを実施していくとのこと。

 これにて一件落着かといえばそうではなく、同社の場合は直接取り引きのある業者だけでなく、二次代理店、三次代理店、さらには世の中に無数にあるネットショップなどでも同社のネットワークカメラが扱われているため、自社の製品Webサイトからの「お知らせ」だけでは不十分だという認識を寺内氏は持っているという。

●公開を前提としたカメラでも要注意

 寺内氏によれば、今回の騒動により不安を感じたユーザーは大きく2つに整理できるという。

 1つ目が本来映像の公開を望んでいないユーザー。そして2つ目が、映像の公開を前提に設置していたものの、まさかこれほどまで広く公開されているとはと驚いているユーザーだ。両者はとるべきセキュリティ対策は変わらないものの、認識すべきポイントが異なる。

 前者の場合は、工場出荷時のID及びパスワードをそのまま運用することの危険性を知ってもらうところから注意喚起する必要がある。なぜなら問題のWebサイトで公開されていた監視カメラ映像は、いわゆる不正アクセスによって覗き見られたワケではなく、工場出荷時のIDとパスワードをそのまま使っていたものが大半だからだ。

 また、パナソニック製品では映像閲覧時に行うユーザー認証のON/OFFの切り替えができ、OFFにした場合は、未登録ユーザーでも視聴が許可されるため、今回の騒動を受けて常時「ON」にすることを推奨している。

 設定項目や手順は製品により異なるが、安全運用の基本概念となる、「工場出荷時のID&パスワードからの変更」「ユーザー認証をONにすること」はマストの対策といえるだろう。

 ちなみにこうした設定変更に関しては、ネットワークカメラのみならず、セットで運用されるレコーダー、ソフトウェアにも必要になるので覚えておいて欲しい。

 そして2つ目が、映像の公開を前提とした運用ではあるものの、広範囲に見られることまでは想定していなかったユーザーへの注意喚起に関して。

 見られることを前提にしているからといって、初期のID&パスワードのまま運用することのリスクが下がるワケではない。公開を望まないユーザーと同様に、きちんとIDとパスワードを設定・管理し、適切な方法で映像を公開すべきなのである。

 これは、誰でも利用することができる公共施設であっても、入ってはいけないエリアが設定されていたり、利用時間以外は管理者がきちんと戸締まりをしていることと同じだといえる。もし無防備なままでの公開を続けた場合には、管理者が公開を望まない時間帯も第三者から映像をのぞき見られたり、場合によっては不正アクセスを行うための踏み台に使われることだってありうる。

 このことから、注意すべき基本的な点は変わらなくても、非公開か公開を前提にしているかで、リスクの認識の違いが出てくるので注意して欲しいと、寺内氏は語っていた。

●セキュアながらも利便性を維持した仕様へ

 今回の騒動を受けて、諸々の対処策を示したことで一定の安全は担保されることになるが、定期的にIDやパスワードを変更するという作業は、ユーザーによっては不便に感じることもあるだろう。そうした場合は、忘れた頃に再び適切な対応が行われない状況に陥ることが危惧される。

 その辺を寺内氏に尋ねたところ、同社では、4月以降に出荷されるネットワークカメラ関連の製品に関して、セキュリティと利便性の両立が図れる仕様変更を導入し始めているという。

 そして、今回の問題だけでなく、ネットワークカメラの危険性として以前から指摘されている不正アクセスによるのぞき見などにも対処できるように、ユーザーのなりすましやデータ改ざんなどの防止対策なども実施しているそうだ。

 次回は、パナソニック以外のネットワークカメラを扱うメーカーの取り組みを紹介していく。

メーカー側に求められる対策とは……検証・ネットワークカメラ映像流出騒動#02

《防犯システム取材班/小菅篤@RBB TODAY》

PickUp

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性 画像

EC-CUBE 用プラグイン「簡単ブログ for EC-CUBE4」にクロスサイトリクエストフォージェリの脆弱性
サイボウズ Garoon に複数の脆弱性 画像

サイボウズ Garoon に複数の脆弱性
マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み 画像

マイクロソフトが5月のセキュリティ情報公開、Windows LSA のなりすましの脆弱性は悪用の事実を確認済み
Intel製品に複数の脆弱性 画像

Intel製品に複数の脆弱性
さくらインターネットを騙るフィッシングメールに注意喚起 画像

さくらインターネットを騙るフィッシングメールに注意喚起
Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report) 画像

Microsoft Windows においてコールバック関数による Window オブジェクトの型検証不備により権限昇格が可能となる脆弱性(Scan Tech Report)

インシデント・事故 記事一覧へ

国産パブリッククラウド「ニフクラ」に不正アクセス、公表されたロードバランサーの脆弱性を悪用 画像

国産パブリッククラウド「ニフクラ」に不正アクセス、公表されたロードバランサーの脆弱性を悪用
PayPayカードで指定信用情報機関への信用情報を誤登録、与信判断に影響 画像

PayPayカードで指定信用情報機関への信用情報を誤登録、与信判断に影響
京都で不動産業を行う長栄のサーバに不正アクセス、現時点で顧客関連情報の流出は確認されず 画像

京都で不動産業を行う長栄のサーバに不正アクセス、現時点で顧客関連情報の流出は確認されず
「MACHATT ONLINE STORE」に不正アクセス、16,093名のカード情報が漏えい 画像

「MACHATT ONLINE STORE」に不正アクセス、16,093名のカード情報が漏えい
二重チェックでも気付けず、会員専用サイト「レジナビ」内のメッセージに個人情報含むCSVファイル添付 画像

二重チェックでも気付けず、会員専用サイト「レジナビ」内のメッセージに個人情報含むCSVファイル添付
アート専門EC「TRiCERA.NET」のFacebookアカウント連携で7名の顧客情報が閲覧可能に 画像

アート専門EC「TRiCERA.NET」のFacebookアカウント連携で7名の顧客情報が閲覧可能に

調査・レポート・白書 記事一覧へ

産業化するランサムウェア ~ 被害インパクトは攻撃者のスキル高低と関係がない 画像

産業化するランサムウェア ~ 被害インパクトは攻撃者のスキル高低と関係がない
OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他 画像

OSSのセキュリティ確保事例、トヨタやソニー、デンソー、サイボウズ、ヤフー他
CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説 画像

CrowdStrike 、Dockerを標的にしたクリプトマイニングオペレーション「LemonDuck」を解説
トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理 画像

トレンドマイクロ「国内標的型攻撃分析レポート2022年版」公開、4つのグループの特徴を整理
97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査 画像

97%の組織が「Kubernetes」のセキュリティに懸念、VMware調査
米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表 画像

米国はじめ5ヶ国のサイバーセキュリティ当局、攻撃者が悪用する脆弱性トップ15を公表

研修・セミナー・カンファレンス 記事一覧へ

実践的サイバー防御演習「CYDER」の2022年度の申込み受付を開始 画像

実践的サイバー防御演習「CYDER」の2022年度の申込み受付を開始
楽天ウォレット CIO が語る暗号資産保護のポイント 画像

楽天ウォレット CIO が語る暗号資産保護のポイント
GMOサイバーセキュリティ byイエラエ、CODE BLUE 2022のトップスポンサーに 画像

GMOサイバーセキュリティ byイエラエ、CODE BLUE 2022のトップスポンサーに
2022年度の「実践サイバー演習 RPCI」の受付開始 画像

2022年度の「実践サイバー演習 RPCI」の受付開始
強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論 画像

強力な事故調査権限と影響力を持つ NTSB(米国家運輸安全委員会)のサイバー版を作る議論
近未来の日本周辺の有事とデジタル庁のガイドライン そして4人の“ベテラン”達 ~ Security Leaders Conference 2022 春 画像

近未来の日本周辺の有事とデジタル庁のガイドライン そして4人の“ベテラン”達 ~ Security Leaders Conference 2022 春

製品・サービス・業界動向 記事一覧へ

2022年9月以降はe-Govで「SSL3.0」「TLS1.0」「TLS1.1」を利用禁止 画像

2022年9月以降はe-Govで「SSL3.0」「TLS1.0」「TLS1.1」を利用禁止
イエラエ CSIRT支援室 第 24 回 システムに侵入したあと、ペンテスターは何を調査・探索しているのか? 画像

イエラエ CSIRT支援室 第 24 回 システムに侵入したあと、ペンテスターは何を調査・探索しているのか?
クラウド、エッジ、オンプレミス環境にあるコンピューティング資産の信頼性をインテルの「Project Amber」が検証 画像

クラウド、エッジ、オンプレミス環境にあるコンピューティング資産の信頼性をインテルの「Project Amber」が検証
ラック、2022年3月期の通期決算を発表 画像

ラック、2022年3月期の通期決算を発表
2022年1月改訂のFIRSTの加盟手続きをJPCERT/CCが解説 画像

2022年1月改訂のFIRSTの加盟手続きをJPCERT/CCが解説
「LogStare Collector」新バージョン2.3.0リリース、WindowsのディスクI/Oの監視に対応 画像

「LogStare Collector」新バージョン2.3.0リリース、WindowsのディスクI/Oの監視に対応

おしらせ 記事一覧へ

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×