- 2018年8月16日
- その他脆弱性情報 , セキュリティについて
アイ・オー・データが提供している複数のネットワークカメラに脆弱性が含まれていることが明らかになりました。
アイ・オー・データが提供している複数のネットワークカメラに脆弱性が含まれていることが明らかになりました。(2018年8月7日)
★ご参考:弊社ネットワークカメラにおける複数の脆弱性について
http://www.iodata.jp/support/information/2018/ts-wrlp/
■影響を受けるシステム
・TS-WRLP ファームウェア Ver.1.09.04 およびそれ以前
http://www.iodata.jp/product/lancam/lancam/ts-wrlp/index.htm
・TS-WRLA ファームウェア Ver.1.09.04 およびそれ以前
http://www.iodata.jp/product/lancam/lancam/ts-wrla/index.htm
・TS-WRLP/E ファームウェア Ver.1.09.04 およびそれ以前
http://www.iodata.jp/product/lancam/lancam/ts-wrlpe/index.htm
■次の複数の脆弱性が存在します。
・認可・権限・アクセス制御
CVSS v3 基本値 6.3
CVSS v2 基本値 5.8
・データの信頼性についての不十分な検証
CVSS v3 基本値 4.3
CVSS v2 基本値 4.6
・認証情報がハードコードされている問題
CVSS v3 基本値 4.7
CVSS v2 基本値 6.0
■想定される影響
・隣接ネットワーク圏内からアクセスできる第三者により特定のディレクトリにファイルを配置され、結果として OS コマンドや任意のコードを実行される
・認証情報を含む情報の漏えいや改ざんが行われる
・当該製品に物理的にアクセス可能な第三者により悪意のあるファイルを製品内に配置され、結果として任意のコードを実行される
・遠隔の第三者により任意の OS コマンドを実行される
■対策方法
アイ・オー・データ機器は「TS-WRLP」「TS-WRLP/E」「TS-WRLA」の3つの機器について脆弱性を修正したファームウェアをリリースしています。情報をもとに最新版のファームウェアにアップデートしてください。
・TS-WRLP 対策バージョン Ver 1.10.08
http://www.iodata.jp/lib/product/t/5165.htm
・TS-WRLA 対策バージョン Ver 1.10.08
http://www.iodata.jp/lib/product/t/5166.htm
・TS-WRLP/E 対策バージョン Ver 1.10.08
http://www.iodata.jp/lib/product/t/5751.htm
■必要以上に監視されるネットワークカメラ
以前、ネットワークカメラがWi-Fiネットワークに接続したら98秒後にマルウェアに感染したという記事が話題になりました。
★セキュリティカメラがWi-Fiネットワークに接続してから98秒後にマルウェアに感染した
ネットワークカメラと言えばIoT機器の先駆者的なデバイスですが、以前から様々なメーカーがピンからキリまでの製品を販売していて、中には上の記事で書かれているような粗悪な製品も多数あるようです。
今回紹介したアイ・オー・データの脆弱性はファームウェアのアップデートにより解決することができますが、どこのメーカーが販売してるかもわからないようなネットワークカメラはファームウェアのアップデートなんかは期待できず、そもそも脆弱性の有無が公表されるかどうかも怪しいものです。
世界中に設置されているネットワークカメラを一望できるinsecamというサイトも話題になりましたね。insecamで映像が公開されているネットワークカメラは、そのほとんどがパスワード設定などのセキュリティ対策が甘い防犯カメラだったり監視カメラだったりします。ネット上で広く閲覧できるということもあり、必要以上に監視されてしまっている状態となっています。
■ネットワークカメラのセキュリティ対策をしっかりやろう
ネットワークカメラだけでなく市販の家庭用ルーターなんかもそうなんですが、購入したばかりの製品というのは単純なIDやパスワードが設定されていることが多いです。そういったデバイスを購入して、さぁこれから使おう! ってなったら、まずはデフォルトのIDやパスワードを強固な物に変更しましょう。説明書はまず管理画面へのログイン方法から調べましょうね。
そしてアイ・オー・データの件でもありましたが、使用している機器のファームウェアが更新されたら速やかに更新しましょう。そのためには、定期的にファームウェアの更新が行われているような信頼できるメーカーの製品を選択することも重要です。
そして、そもそもカメラをネットワーク、特にインターネットに接続する必要があるかどうかも検討しましょう。ネットワークに接続する必要があるから、ネットワークカメラを買ったと言われてしまったらそれまでなんですけども。
最後になりますが、使わなくなったネットワークカメラは速やかに撤去しましょう。ネットワークカメラというデバイスは基本的にほったらかしで動作させる性質があります。必要がなくなったから、カメラの映像を見るためのディスプレイは撤去したけど、肝心のカメラ本体はネットワークに接続されたまま放置されていた、なんてこともありえます。ネットカメラなんて小さなデバイスですが、れっきとした情報資産であることを自覚しましょう。
ともかく、自分の意図しないところでカメラの映像が流されているという状況は、セキュリティがどうという話以前に気持ちが悪いものです。不用意な情報漏洩を起こす前に、自分でできることはしっかりしましょうねというお話でした。