ロシアのWebサイトで全世界のネットワークカメラ映像が流出(2) パナソニックの取り組みとは | ScanNetSecurity
2024.03.29(金)

ロシアのWebサイトで全世界のネットワークカメラ映像が流出(2) パナソニックの取り組みとは

 日本を含む世界各国のネットワークカメラの映像がまとめて見られる海外Webサイトの存在が、2016年の年明けから大きく報じられて世間の関心を集めた。

製品・サービス・業界動向 業界動向
「SECURITY SHOW 2016」のパナソニックブースに展示されていた同社のネットワークカメララインナップ。4月以降に出荷される製品には新たな対策が反映されているとのこと(撮影:防犯システム取材班)
「SECURITY SHOW 2016」のパナソニックブースに展示されていた同社のネットワークカメララインナップ。4月以降に出荷される製品には新たな対策が反映されているとのこと(撮影:防犯システム取材班) 全 4 枚 拡大写真
 日本を含む世界各国のネットワークカメラの映像がまとめて見られる海外Webサイトの存在が、2016年の年明けから大きく報じられて世間の関心を集めた。

 問題のWebサイトを見ると、プライバシーに関わるような映像が公開されているケースもあり、監視カメラを取り扱うメーカー、施工業者、販売店では、事態を重く受け止めて適切な運用方法を改めて告知するといった対応に追われている。

 そこで連載2回目となる今回は、日本国内で5割以上のシェアを誇るともいわれているパナソニック(パナソニックシステムネットワークス)で、セキュリティシステム事業部に在席する寺内宏氏に、同社のネットワークカメラの安全運用に関して話を聞いた。

●課題は対応策の周知徹底

 最初に、今回の騒動を受けてパナソニックが行った取り組みをまとめると、もともと2015年3月17日から同社の製品Webサイトで掲載していた「カメラ、レコーダーなどへの不正アクセスにご注意ください」という注意文に追加を加えた情報を同サイト内の「お知らせ」とバナー表示で2016年1月21日に公開。

 公開された主な注意点としては、次の3つ。
・ 「ユーザー認証」を「ON」にする。
・ 独自でユーザー名/パスワードを設定する。
・ 初期(工場出荷時)のユーザー名/パスワードを削除する。

 Webサイト以外では、新たに出荷される製品に関しては、設定時にポップアップウインドウで警告画面の表示を出したり、取扱説明書への記載、注意喚起をまとめたチラシの同梱なども行っていくそうだ。

 そうした取り組みと平行して、ユーザー対応としては、同社が掌握している範囲内でユーザーに連絡し、必要に応じてサポートを実施していくとのこと。

 これにて一件落着かといえばそうではなく、同社の場合は直接取り引きのある業者だけでなく、二次代理店、三次代理店、さらには世の中に無数にあるネットショップなどでも同社のネットワークカメラが扱われているため、自社の製品Webサイトからの「お知らせ」だけでは不十分だという認識を寺内氏は持っているという。

●公開を前提としたカメラでも要注意

 寺内氏によれば、今回の騒動により不安を感じたユーザーは大きく2つに整理できるという。

 1つ目が本来映像の公開を望んでいないユーザー。そして2つ目が、映像の公開を前提に設置していたものの、まさかこれほどまで広く公開されているとはと驚いているユーザーだ。両者はとるべきセキュリティ対策は変わらないものの、認識すべきポイントが異なる。

 前者の場合は、工場出荷時のID及びパスワードをそのまま運用することの危険性を知ってもらうところから注意喚起する必要がある。なぜなら問題のWebサイトで公開されていた監視カメラ映像は、いわゆる不正アクセスによって覗き見られたワケではなく、工場出荷時のIDとパスワードをそのまま使っていたものが大半だからだ。

 また、パナソニック製品では映像閲覧時に行うユーザー認証のON/OFFの切り替えができ、OFFにした場合は、未登録ユーザーでも視聴が許可されるため、今回の騒動を受けて常時「ON」にすることを推奨している。

 設定項目や手順は製品により異なるが、安全運用の基本概念となる、「工場出荷時のID&パスワードからの変更」「ユーザー認証をONにすること」はマストの対策といえるだろう。

 ちなみにこうした設定変更に関しては、ネットワークカメラのみならず、セットで運用されるレコーダー、ソフトウェアにも必要になるので覚えておいて欲しい。

 そして2つ目が、映像の公開を前提とした運用ではあるものの、広範囲に見られることまでは想定していなかったユーザーへの注意喚起に関して。

 見られることを前提にしているからといって、初期のID&パスワードのまま運用することのリスクが下がるワケではない。公開を望まないユーザーと同様に、きちんとIDとパスワードを設定・管理し、適切な方法で映像を公開すべきなのである。

 これは、誰でも利用することができる公共施設であっても、入ってはいけないエリアが設定されていたり、利用時間以外は管理者がきちんと戸締まりをしていることと同じだといえる。もし無防備なままでの公開を続けた場合には、管理者が公開を望まない時間帯も第三者から映像をのぞき見られたり、場合によっては不正アクセスを行うための踏み台に使われることだってありうる。

 このことから、注意すべき基本的な点は変わらなくても、非公開か公開を前提にしているかで、リスクの認識の違いが出てくるので注意して欲しいと、寺内氏は語っていた。

●セキュアながらも利便性を維持した仕様へ

 今回の騒動を受けて、諸々の対処策を示したことで一定の安全は担保されることになるが、定期的にIDやパスワードを変更するという作業は、ユーザーによっては不便に感じることもあるだろう。そうした場合は、忘れた頃に再び適切な対応が行われない状況に陥ることが危惧される。

 その辺を寺内氏に尋ねたところ、同社では、4月以降に出荷されるネットワークカメラ関連の製品に関して、セキュリティと利便性の両立が図れる仕様変更を導入し始めているという。

 そして、今回の問題だけでなく、ネットワークカメラの危険性として以前から指摘されている不正アクセスによるのぞき見などにも対処できるように、ユーザーのなりすましやデータ改ざんなどの防止対策なども実施しているそうだ。

 次回は、パナソニック以外のネットワークカメラを扱うメーカーの取り組みを紹介していく。

メーカー側に求められる対策とは……検証・ネットワークカメラ映像流出騒動#02

《防犯システム取材班/小菅篤@RBB TODAY》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る