次に、IoTセキュリティーカメラについては、Nozomi Networksが発見したという、ピア・トゥ・ピア(P2P)での接続に関連する脆弱性が本報告書中で3件紹介されている。図3はそのうちの一つであり、このような脆弱性を利用して、カメラで撮影された映像に不正にアクセスされる可能性があるという。

画像を拡大 図3. IoTセキュリティーカメラに関する脆弱性の例(出典:Nozomi Networks / OT/IoT Security Report)

図3で示されている、ThroughTekが開発したソフトウェア開発キット(SDK)は、多くのメーカーにOEMで供給されているため、さまざまなメーカーから販売されているIoTセキュリティーカメラに影響があるということが指摘されている。また、実際に15万台ものセキュリティーカメラに不正アクセスされた事例も紹介されている。

このような脆弱性があることを踏まえて、本報告書では、特に社会インフラや企業、政府機関など、機密性の高い場所で使われるセキュリティーカメラを設置する場合に、次のような対策を講じることが推奨されている。

1. カメラを選定する際に、どのようなセキュリティー対策が講じられているかなどをカメラの販売者に確認すること(本報告書中には具体的な質問例も示されている)

2. IoTセキュリティーカメラを含むネットワークを常時監視すること(ちなみにNozomi Networksはそのようなネットワーク監視システムを提供している)

一般家庭で防犯の目的で設置されるようなカメラであっても、プライバシーにかかわる映像が流出するリスクをゼロにすることはできないが、上のような対策(特に2の常時監視)にコストをかけるのも現実的ではないと思われる。したがって一般家庭などにおいては、プライバシーにかかわる部分が映らないようにカメラの角度を工夫するなどといった対策方法が現実的であろう(これは筆者の私見である)。

IoTに関わるセキュリティーに関しては、他にも多くの組織からさまざまな注意喚起が行われており、また対策に必要なソリューションもさまざまな企業から提供されている。したがって、特に社会インフラを担っているような組織においては、想定していなかったという言い逃れができない状況になっていると認識すべきであろう。本報告書に書かれていることも参考にしながら、多くの組織において対策が講じられ、より安全にIoTやOTが活用されて、より効果的で便利な社会が実現されることを願っている。

注1)ランサムウェアについては、関連する調査報告書を昨年にも紹介しているので、併せてご参照されたい。

第106回:ランサムウェアに身代金を支払ってはいけない
CyberEdge / 2020 Cyberthreat Defense Report
https://www.risktaisaku.com/articles/-/34871(2020年6月30日掲載)