インターネットに接続されたセキュリティカメラ10万台以上に、「大規模な」セキュリティ脆弱性が含まれていることが分かった。セキュリティ企業のBitdefenderによると、悪用されるとオープンなWebを経由してアクセスや監視が可能であり、悪意あるボットネットを構築したり、同一ネットワーク上にある他のデバイスがハイジャックされたりする可能性もあるという。
脆弱性は、中国のメーカーShenzhen Neo Electronicsの「NEO Coolcam」ラインの2台のカメラから発見された。Bitdefenderの研究者によると、この脆弱性により外部から簡単にデバイスをリモート攻撃できるという。17万5000台のデバイスがインターネットに接続しており、脆弱なままだ。このうち10万~14万台は、IoTデバイス検索エンジン「Shodan」で簡単に検出できるという。
オンラインで簡単に購入でき、しかも低コストであることから、NEO Coolcamは中国だけではなく、世界中で使われている。
「概念実証コードを使用した攻撃によって、ほとんどのIoTデバイスが簡単に悪用されることが再確認された。ファームウェアレベルでの品質保証が適切ではないためだ。バグが認証メカニズムに影響し、感染したデバイスの大規模なプールがあるという事実を考慮すると、デバイスのボットネットがどのような影響を与えるのかは想像することしかできない」とBitdefenderはリサーチペーパーで記している。
Shenzhen Neo Electronicsの「iDoorbell」と「NIP-22」の2種類のモデルをBitdefenderが調べたところ、複数のバッファオーバーフローの脆弱性が含まれていた。中には、認証プロセスの前段階のものもあったという。セキュリティ欠陥を利用して、デバイス上で遠隔からコードを実行できるが、攻撃者はログインしている必要さえない。ログインを試みるだけで、アクセスを得られる。
カメラの脆弱性が指摘された「iDoorbell」
提供:Shenzen Neo Electronics
この脆弱性はネットワークへのゲートウェイの役割を果たし、同一ネットワーク上にある他のデバイスへの侵入も可能にする。Bitdefenderの上級電子脅威アナリスト、Bogdan Botezatu氏は米ZDNetの取材に対し、「攻撃によりデバイス上でコードを実行できるので、悪意あるハッカーはカメラを利用して内部ネットワークを荒らし回ることができる」と述べた。
「iDoorbell」と「NIP-22」は共に、カメラそのもののWebサーバに感染するタイプ、Real Time Streaming Protocol(RTSP)サーバに影響するタイプの2種類の攻撃に脆弱だったという。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。