事例例紹介 ~ 脅威と対策 ( 事例 1) 初期期パスワードや脆弱なパスワードの利用に起因因する 第三三者による映映像不正閲覧覧 PTZ 等の機器操作 脅脅威 監視カメラなどに初期設定されたユーザ名やパスワードは メーカ毎にほぼ決まっていたり WEB サイトなどから入入手可能な説明明書に掲載されてい

Transcription

1 CIAJ セキュリティ Information 監視カメラシステムセキュリティの基礎 ~ 脅威と対策 ~ 2018 年 7 月 25 日 CIAJ 通信ネットワーク機器セキュリティ分科会 はじめに IoT という言葉が一般に用いられるようになる中 インターネットに接続される機器が普及するとともに そのセキュリティに対する関心も高まっています 監視カメラシステムにおいても 一般向けや業務向けの製品問わず 監視カメラやレコーダ装置 管理装置などをインターネットに接続するケースが増加しており 設置者が意図しない第三者による映像閲覧等 各種のセキュリティに対する脅威の事例が TV ニュースなどで取り上げられるなど 社会的な関心を集めています 本記事では 監視カメラシステムを利用する際に問題となりやすい代表的な脅威の事例とその対策を紹介します 1

2 事例例紹介 ~ 脅威と対策 ( 事例 1) 初期期パスワードや脆弱なパスワードの利用に起因因する 第三三者による映映像不正閲覧覧 PTZ 等の機器操作 脅脅威 監視カメラなどに初期設定されたユーザ名やパスワードは メーカ毎にほぼ決まっていたり WEB サイトなどから入入手可能な説明明書に掲載されているなど 誰でもも知ることができると考考えるべきでしょう また 類推容容易であるなど 脆弱なユーザ ID やパスワードを用いている場合 人人手 あるいはプログラムによる総総当り攻撃 ( ブルートフォースアタック ) などで把握されてしまう可能能性があります 監視カメラなどのユーザ名とパスワードが第三者に把握されてしまった場場合 意図しない監視映映像の閲覧が行われたり 各種設定定 PTZ を含む様々な制御が行われてしまう危危険性があります また このように閲覧可能能な監視カメラをまとめてインデックス化し 全世界に公公開しているサーバがあることが知知られています 対対策 導入する機器には パスワーードの類推が困難となるように パスワードに含まれる文文字の種類や文字数に制制約が設けられていたり 一定回数数のパスワーード試行失敗敗時に 一定時時間ログイン不可となるような機能能が実装されていることが望ましいです また 運用時にには 初期パパスワードの変更を必須須とし IPA ガイドラインンなどに基づき類推困難難なパスワーードに設定することが望望まれます また 機器器に対し意図図しないアクセスが行なわれることの無いよう 必要が無無ければ外部部ネットワーークと分離したり IP アドレスやホスト名などに基づきネットワークアクセスを制限することが必要です 2

3 ( 事 脅に流れなどのザ名やとによ用する 対継続的がある簡単に導入ればそされて場合に 事例 2) 脆弱脅威 ユーザれたり UR の機器に適用やパスワードよって 対象ることが可能対策 販売元的になされてるかなど 機にファームウ入の際 一般その脆弱性へている最新のには 速やか 弱性のあるフザ ID やパス RI などに含用されていたドを入手する象となる監視能になります元のサイトなているかなど機器選定の際ウェア更新が般に公開されへの対策をとのファームウかにファーム ファームウェスワード あ含まれてしまうた場合 悪意ることが可能視カメラなどす などで脆弱性ど サポート際に事前に確ができる機能れているツーとることが望ウェアに更新ムウェアアッ 3 ェアによるユあるいは それうなどの脆弱意のある第三能です 入手どの機器は 性情報の公開ト体制が整備確認を行いま能を備える機ール等を活用望ましいです新すると共にップデートを ユーザ ID パれらを類推可弱性をもつフ三者は それら手したユーザ 事例 1 に示開や ファー備されているましょう ま機器を導入し用して脆弱性す また 導に 新しいフを実施するこ パスワード漏可能な情報がファームウェらの脆弱性をザ名やパスワ示したようにームウェアのるか また また 手順がしましょう 性の有無を確導入時には ファームウェことが求めら 漏えいがネットワーェアが監視カを利用して ワードを用いに思いのままの更新版の提 信用に足るが分かりやす 確認し 可能 その時点でェアが公開さられます ーク上カメラ ユーいるこまに利提供がる実績すく 能であで公開された

4 ( 事 脅より ファーて 対の踏み 対が無ければ クアクうにしネッウェア明書を導入しえて いるこまたは 正またら切断 事例 3) 不正脅威 事例 1 悪意のあームウェアの対象となる機み台として利対策 システければ外部ネ ルータやフクセスを限定しましょう ットワーク経ア配信サーバを検証する しましょう 工場出荷状ことが求めらた ネットワ正式なページた 万一 踏断し対策を行 正なファーム 1 や事例 2 にる第三者がの更新機能を機器に不正な利用するなどテム構築時にネットワークファイアウォ定することが 経由でファーバとの通信路 また アッ また ファ状態などに初られます ワーク経由でジからファー踏み台になっ行うことが必 ムウェア適用に示したようが管理者権限を利用したりなファームウど 第三者へには 機器のクから分離すォールを設置が望まれますームウェアア路が暗号化さップデートファームウェア初期化 またでのファームームウェアをってしまった必要です 4 用による 踏うな手段でユ限を取得し り ファームウェアを適用への攻撃に意の脆弱性を突する また 置したり 機す また 機アップデートされることをファイルの電アの改ざん検たは ロールムウェアアッを入手し 機た場合 ある 踏み台 化ユーザ ID とパ 監視カメラムウェアの脆用し 他のシ意図せず加担突かれる機会 外部ネット機器側で IP ア機器側は 不トに対応してを確認すると電子署名を検検知機能を備ルバックするップデートに機器に適用するいは疑わし パスワードをラなどの機器脆弱性を利用システムに対担してしまい会が少なくなトワークとのアドレス等に不要なサービている機器のとともに 機検証する機能備え 改ざんることができに対応していするようにししい場合は を入手するこ器に備わって用することに対する DDoS います なるように の接続が必要によりネットビスは停止すの場合 ファ機器側はサー能を備えた機んされた場合きる機能を備いない機器のしましょう ネットワー ことにているによっ S 攻撃 必要要であトワーするよァームーバ証機器を合に備備えての場合 ークか

5 まとめ 本記事では 監視カメラシステムのセキュリティに関し 世間の関心が高い代表的な事例を紹介し その脅威と対策について説明しました なお 監視カメラシステムに関わるセキュリティについては 業界団体や公的機関の取り組みにより より網羅的なセキュリティに関する分析として システム調達の観点から監視カメラシステムに求められるセキュリティ対策とその要件について述べた ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト (IPA) 公衆インターネット網と接続することを前提にしたネットワーク構成モデルとネットワーク設計について述べた 防犯カメラシステムネットワーク構築ガイドⅡ ( 日本防犯設備協会 ) などが公開されており システム発注や設計 構築に関わる方は併せて参照していただくようお願いします また 開発ベンダや CIAJ を含む業界団体から適宜セキュリティ情報が提供されており これらの情報を定期的に確認することをお勧めします 著者 CIAJ マルチメディア通信委員会 IP カメラ接続 WG 参考文献 [1] ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト, 独立行政法人情報処理推進機構, 2017 年 12 月 [2], 防犯カメラシステムネットワーク構築ガイドⅡ, 公益社団法人日本防犯設備協会, available at 年 4 月 5