2014年11月22日、インターネットからアクセス可能な世界中の Webカメラのリンクを集めたロシアの Webサイトの存在が報道され、大きな話題を呼びました。Webカメラやネットワークカメラなどは、ネットワークを介して遠隔地の映像をリアルタイムに伝えることができることから、主にビデオチャットや監視などの用途で広く普及しています。特にインターネットからアクセス可能なネットワークカメラは、外出先などどこからでも画像が確認できるため、使用者にとっては便利な機能です。しかし、公開範囲やセキュリティ設定の穴により、思わぬ情報漏えいに繋がっていることがあります。様々な議論がありますが、問題のサイトの管理者は、アクセスのための認証情報をデフォルト設定から変更しないなどの安易な設定による公開が、情報漏えいやプライバシーリスクに繋がることを啓発するためにサイトを作った、と主張しています。
図1:問題のネットカメラ画像サイトの表示例
図2:問題のサイト上で公開されている管理者の説明文。セキュリティ啓発のためと主張
このロシアのサイトは報道されたことで大きな注目を浴びましたが、アクセス可能なネットワークカメラの情報を集めた同様のサイトは珍しいものではありません。トレンドマイクロの日本国内における脅威解析機関であるリージョナルトレンドラボ(RTL)では、類似のサイトを少なくとも 14件確認しています。
図3:類似 Webサイトの表示例
これらの類似サイトを含め、表示可能なネットワークカメラの画像としては屋外の画像が最も多いようです。また、廊下や玄関、店舗の内部、ペットの檻や企業の会議室など、屋内に設置された監視用カメラと思われる映像も多く確認できます。
これらの「ネットワークカメラ画像公開サイト」は不正なものなのでしょうか。もしこれらの公開サイトで扱われている画像がすべて認証なしにインターネットからアクセスできるものであれば、それは不正とは断定できません。しかし、アクセスのために認証を必要としている画像について、その認証を破ってまで表示しているのであれば不正と言えるでしょう。また、不正であるかどうかとは別に、明らかにプライベートな空間を写した画像を紹介することには道義的な問題が残ります。ただし、実際にはこのような公開サイトに頼らずとも、Google などの Web検索エンジンで特定の文字列を含む URL を検索することで、インターネットからアクセス可能なネットワークカメラを探すことが可能です。冒頭に紹介したロシアのサイトでは、ネットワークカメラの情報収集のための検索条件を FAQ の形で一部公開しており、特徴から識別したと思われるメーカーごとの分類表示も行われています。また、このようなインターネットに接続された様々な機器の検索に特化した「SHODAN」のような検索エンジンでも意識的もしくは無意識的に公開されているネットワークカメラを検索することが可能です。つまり、「ネットワークカメラ画像公開サイト」の存在に関わらず、公開すべきでない画像が公開されている、という問題はずっと存在していたと言えます。
図4:インターネットに接続された機器の検索に特化した「SHODAN」
公開を意図している画像であれば懸念はありませんが、設定ミスなどにより意図せず公開されてしまっている画像や、閲覧に必要な認証情報を破られている画像は大きな問題です。ネットワークカメラの利用者側から注意すべき点としては、インターネットからアクセスできるように機器を運用することは、それ自体目的が達成されれば便利なものですが、同時にその存在を一般に公開しているということです。設定者の不注意が意図せぬ情報漏えいに直結してしまうことを認識すべきです。前出のロシアのサイトでは、日本に位置するネットワークカメラの掲載数は 400~600件の範囲で推移しており、米国と共に国別件数では 2位を占める状況です。これは、先進国である日本でネットワークカメラが普及しているということと同時に、利用者のセキュリティ意識の低さを表しているとも言えそうです。
インターネットは誰でもアクセスができる空間です。利用者においては、自身が使用している機器が意図せずインターネットに対して公開されアクセス可能となってしまう危険性について認識し、設定を確認する必要があるでしょう。同時に、機器のベンダー側も仕様策定の段階から様々なリテラシレベルの利用者が使用することを考慮し、初期設定をそもそもセキュアな状態にしておくような配慮も必要ではないでしょうか。例えば、機器へのアクセスのための認証を ON/OFF できる場合、初期設定は「ON」としておくことが望ましいでしょう。また、機器へのアクセスのための認証情報の初期設定がマニュアルに記載されているため誰でも調べればわかる、ということはよくあります。これを機器の個体ごとに異なるパスワードとする、もしくは簡単なパスワードだとしても最初の設定時に必ず変更するようにさせるなど、よりセキュアな仕様とすることが、不必要な情報の暴露を防ぎ利用者を保護することに繋がります。
今後、「すべてをつなぐインターネット(IoE)」が広まるにつれ、単純なミスによる情報暴露だけでなく、悪意の第三者による不正アクセスの増加なども考えられます。ネットワークカメラだけでなくインターネットに接続された機器すべてについて、利用者側、ベンダー側双方のセキュリティ意識が重要になっていくでしょう。
※調査協力:鈴木七慧(Regional Trend Labs)