ニュース

ネットワークカメラなどの意図せぬ公開に注意、設定の再確認を〜JPCERT/CCが呼び掛け

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は22日、ネットワークカメラや複合機などに対して、インターネットを経由して遠隔の第三者から意図せずにアクセスされる事例が報じられているとして、設定を確認するよう注意を喚起した。

設定不備があるシステムの例

 ネットワークカメラにおいては、第三者が映像を閲覧できるなどの事例が報告されており、JPCERT/CCでも複数台のネットワークカメラがインターネットからアクセス可能な状態にあることを確認していると説明。ネットワークカメラの映像を不正に閲覧され、映像などから利用者のプライバシーに関する情報や、カメラの設置場所が漏えいする可能性があるとしている。

 同様に、ネットワークに接続している複合機やデータベースシステムが、インターネットからアクセス可能な状態になっている事例も確認されているとして、こうした自組織で利用している機器が予期せぬ被害に遭わないために、設定の確認などを行うよう呼び掛けている。

 対策としては、1)適切なパスワードを設定し、認証機能を有効にすること、2)アクセスが必要なIPアドレスを制限するなどのネットワークの設定を適切に行うこと、3)ソフトウェアを定期的にアップデートすること――の3点を挙げている。

適切な認証設定やアクセス制御を実施したシステムの例

 パスワードについては、こうした製品では初期設定では共通のIDとパスワードが設定されている場合もあるため、遠隔の第三者がそうしたID・パスワードをログインに使用する可能性があると指摘。また、初期設定では認証機能が無効になっている場合もあるため、利用にあたっては認証機能を有効にし、適切なパスワードを設定することを求めている。

 ネットワークの設定については、インターネットからのアクセスが不要な場合には、インターネットへの公開を停止することを検討してほしいと説明。インターネットからのアクセスが必要な場合は、特定のIPアドレスのみに接続を制限することや、ファイアウォールなどのネットワーク機器を用いたアクセス制限を検討してほしいとしている。

 また、外出先や遠隔地からネットワークカメラの映像を確認するために、ネットワークカメラを直接インターネットに接続したり、ルーターやソフトウエアなどの機能を用いてアクセスできるように設定したりしている場合には特に注意が必要だと指摘。ネットワークに接続するシステム・機器を安全に使用する上では、インターネットから第三者によりアクセス可能な設定となっていないかを確認することが重要だとしている。

 さらに、予期せぬ被害に遭わないためには、脆弱性を悪用した攻撃などの脅威から防ぐことも重要だとして、ネットワークに接続するシステム・機器に対しては、定期的なソフトウェアのアップデートを行うことを推奨している。

 システム・機器の設定方法は、利用している製品により異なるため、対策の実施にあたっては、システム・機器のマニュアルを参照する、製品の設置事業者に確認を行うとともに、定期的にシステム・機器のログを確認し、第三者から不正に使用された形跡がないかを確認することも重要だとしている。

 組織内の対策としては、予期せぬ被害に遭わないために、セキュリティを意識してシステム・機器を利用することが重要だと指摘。管理者は、組織内に設置されたシステム・機器を把握し、適切な設定を施すよう努めるとともに、組織内でのセキュリティへの意識を高めるため、利用者への注意喚起や、必要であれば社内ルールの改善などを検討するよう呼び掛けている。

(三柳 英樹)