中国製ネットワークカメラで乗っ取り?

シェアする

ネットでセキュリティ関係の記事を見ていたら、こんなのを発見。中国製のネットワークカメラ(IPカメラ)が勝手に動いて、さらに人の声が聞こえてきたというモノ。

たしかにカメラにはマイクとスピーカーがついており、遠隔でそこから声を出すことができる機能はあるのですが、まさか不正に操作している人間が鼻歌を聞かせてくるとは思わなかったです。

中国製ネットワークカメラが勝手に動き出して中国語が聞こえてきた怖い話(動画あり) – 僕とネットショッピング

サイト管理者がYoutubeにその時の音声をアップロードしているので、興味がある人は聞いてみてほしい。

中国語かどうかは聞き取りづらかったのでわからないが、知識のない人が遭遇したら現代ホラーである。

今までのカメラを外で見る仕組み

以前に工場向けのこの手の設備を扱ったことがあるのだが、その頃はローカル(同一ネットワーク)にサーバを立てるタイプのものだった。構成図としては、以下のような形。

この手の設備の場合、インターネットを経由して別の場所で見ることはある。ただ、サーバがそのまま外部に公開されるのはセキュリティ上よくないので、VPNや他のセキュリティソフトと併用する。家庭用のIPカメラでも、インターネットにつながるルータがよほどおかしなメーカでもなければ外部から内部への受け渡しはしない(いわゆるNAT変換)ので問題ない。

スマホ時代のカメラを外で見る仕組み

このメーカのサイトを見ると、スマホにソフトをダウンロード、IPカメラをWifiにつなげれば外出先でも見られるようだ。

この場合、どこにサーバがあるのだろう?

少し前のIPカメラは、カメラ自体に簡易サーバ機能が入っていたのでIPカメラに外部IPを割り振ることで見ることができた。実はセキュリティ上よくない。実際、丸裸のIPカメラをながめることができるサイトがある。

このカメラの場合、それも不要のようだ。iPhoneをサーバに見立てることもできるが、今のiOSではセキュリティ上できない。そうなると、どこかに中継サーバが必要なのでは?となる。先の動画コメントにもこんな記載が。

スマホ、PCでも接続が簡単ですし運用もすぐ出来ますが、一度中国サーバーを経由しております。 この時点でカメラIDとパスワード(この2つがあれば誰でも映像が見られます)も中国サーバに保存されていると思われますので、後はメーカーを信用するか否かの問題になります。

スマホもIPカメラもそのまま外部に公開されていない以上、中継サーバが必要で今回は中国のサーバのようだ。この方式自体は珍しいものではなく、筑波大学の実験VPNサーバの一部にも似たような仕組み使っている。

VPNサーバを運営するボランティアグループがある。日本の筑波大学が主催するVPNネットワークグループであるVPN Gateだ。無料で使えるありがたいVPNなのだが、これを中国で使えないのか方法を考えた。

セキュリティの落とし穴はどこなのか?

中国メーカは信用しづらいかもしれないが、個人のIPカメラをメーカが盗み見してもメリットがない。むしろ、このIPカメラ自体がセキュリティホールがあるのではないか?と思うのだ。

IPカメラに限らずデバイス系にはLinuxやWindowsのモバイル版が載っていることが多い。これらOSが適時適切にセキュリティ上のメンテナンスを受けていればいいのだが、実際にはそうではない。セキュリティ上の問題を抱えたまま、外部に公開する手段があればハッキングされる可能性があり、専門家も警告を出している。

Most of the cameras run older versions of Linux, like version 2.6.26, while a few run the most recent version from around 3.0 and up. While the OS is somewhat modern, all the cameras were running extremely old and vulnerable software, especially programs that people use to connect to the Internet.

Zero-day exploits could turn hundreds of thousands of IP cameras into IoT botnet slaves | Cybereason

もっと言ってしまうと、セキュリティソフトや適切なパッチを当てていても、ハッキングされる場合はされてしまう。政府や業界の重要人物や有名人であれば狙われやすい。少し前にFacebookのマーク・ザッカーバーグ氏が自身のノートパソコンにあるWebカメラとマイクをガムテープで塞いでいるのが話題になった。

個人がそこまで気にする必要はないかもしれない。ただ、中国のネットワークにいると、四六時中いたるところでウイルスがウヨウヨ、怪しげなツールが蔓延している。そんななかで身を守るのも中国サバイバルには必要なのではないだろうか。

IoTデータ争奪戦の可能性

ここまでが昨日書いた内容なのだが、やまもといちろう氏の下記のコラムを読んで、本件はIoTデータを勝手に収集されているのかもしれないと思い至った。

中華ICT界隈の素行の悪さは今に始まった話でもないのですが、奇しくもいくつかの目立つ事案が同じようなタイミングで報じられていたので備忘録的に拾っておこうかと。

中華ICT界隈で仁義なきビジネス作法が横行している件(山本一郎) – 個人 – Yahoo!ニュース

百度のIMEに限らず中華アプリの行儀の悪さ(プライバシー侵害)は今に始まった話ではない。当サイトでも複数取り上げている。

中国問題児の検索サービス終了中国検索最大手百度(バイドゥ)の日本法人が検索サービスを停止した模様。いつ停止したのかはわからないのだが...
個人情報がだだ漏れではありませんか?中国で大量に出回るモバイルアプリ。QQやWeChatはもちろん、タクシーやホテルの予約から銀行や証券まで...

中華スマホのBLUが勝手に個人情報を送信しているのも去年取り上げている。以前に格安で買った別メーカのスマホも、勝手に広告やらアプリがインストールされて破棄したことがある。

アプリだけでなくOSも…以前から当サイトでは、繰り返し中国製アプリのセキュリティ上の懸念(正確には害悪)を警告してきた。中国製スマホ...

そう言えば、以前にQQと360が喧嘩した時に、お互いのアプリを阻止する大乱闘をしたりと、中華ITでは確かに”仁義なき戦い”が多い。

他人事とは思わず、今回の話を契機にセキュリティチェックするのはいかがだろう?