清水理史の「イニシャルB」

Webカメラが乗っ取られる! ネット機器の脆弱性、検証して専門家に聞いてみた

正しく理解して正しく怖がろう!

 2017年8月、「監視カメラから『謎の声』盗撮・乗っ取りの恐怖」というショッキングなニュースがテレビで放送された。

 該当する監視カメラで悪用された脆弱性は、すでに最新のファームウェアで改善されているが、一体、どうしてこのような被害が発生したのだろうか? カメラの脆弱性がどのようなものなのかを実際に誌面でお見せするとともに、IoT機器を保護するにはどうすればいいのかをトレンドマイクロ株式会社に聞いた。

まずはお断りから

 本記事をお読み頂くにあたって、取り上げるテーマが敏感なものであるだけに、まずは冒頭でいくつかの注意点をお伝えしておきたい。

  • 本コラムで取り上げる製品の脅威はすでに最新ファームウェアで事実上の対策がなされている
  • 本コラムで取り上げるのは、恵安株式会社(KEIAN)のネットワークカメラ「C7823WIP」であるが、同製品はVSTARCAMのOEM製品
  • 当該製品と同様のソフトウェアを搭載した監視カメラは、ここで取り上げる製品以外にも存在する
  • 本コラムは読者にIoT機器のセキュリティに対する注意を喚起する目的で執筆しており、特定製品の評価を貶める意図はない
  • 対策としてトレンドマイクロの意見を頂いているが、同社の製品を宣伝するものではなく、あくまでも専門家の意見として掲載している

 そして何より、読者の皆さんにお願いしたいのは、

  • 記事のタイトルや見出しなどの表面的な部分だけで、今回の事例を話題にするだけでなく、その原因がどこにあるのか? どうすれば今後同様の事例を防げるのかをきちんと把握して欲しい

 ということだ。個人的には、ニュースで話題だけが先行してしまったことに対して、少しでも多くの人の不安を解消できればと考えている。

今回の脆弱性について

 冒頭で触れたニュース番組、その情報源となったブログ記事の現象(謎の声が聞こえるというもの)が、果たして当該製品の脆弱性によるものかどうかは判断できないが、いわゆるネットワークに接続するタイプの監視カメラのうち特定の製品では、外部からの設定ファイルの取得やtelnetのリモート起動を可能にする脆弱性が確認されており、そのうちのいくつかは現在も改善されないまま残っている。

ネットワークカメラのうち特定プラットフォームの製品に脆弱性が発見されており、脆弱性が放置されたままであれば、悪用される可能性がある

 具体的にどのような問題なのかを簡単に説明しよう。組み込み向けのウェブサーバー(GoAhead)をカスタムして搭載したウェブカメラがOEM製品として多く流通しているが、このカスタムバージョンには以下のような脆弱性があり、それを悪用することで、攻撃を受ける可能性がある。

  1. バックドアでのtelnetアクセスが可能
  2. RSAキーと証明書の不正取得が可能
  3. 認証情報なしで、IDとパスワードを含む設定ファイルを取得可能
  4. 既知のアカウントを使うことで、設定ファイル(IDとパスワードを含む)を取得可能
  5. 既知のアカウントを使うことで、FTPの設定用CGIを悪用し、リモートコードを実行可能(telnetをリモート起動可能)
  6. 認証情報なしで、RTSP経由でストリーミング映像を取得可能

 要するに、これらの脆弱性が残ったままのネットワークカメラを自宅のネットワークで運用していると、外部から勝手にアクセスされてしまう可能性があることになる。

 なお、自分が所有しているカメラに、これらの脆弱性が存在するかどうかは、米Cybereasonが提供するウェブサイト「Is Your Camera Vulnerable?(https://www.cybereason.com/ip-cameras/)」でチェックが可能だ。

米Cybereasonが提供しているウェブサイト。シリアルナンバーや標準パスワード、設定画面などから、脆弱性の有無を判定できる

最新ファームでは脆弱性の悪用が困難に

 それでは、上記の脆弱性がどのような振る舞いとなるのかを、実際の製品でテストしてみよう。

 利用したのは、冒頭でも触れたKEIANのネットワークカメラ「C7823WIP」。本稿執筆時点でファームウェアの最新バージョン「48.53.75.98」にアップデートした状態で利用している。まずは、同一LAN上から「KALI Linux」を利用し、参考サイトで紹介されている手法を実行した。

今回利用したカメラの設定画面。バージョンは48.53.75.98

 結論から先に言うと、上記した脆弱性のうち、今回のテストで実行可能だったのは4と5のみだった。旧バージョンのファームウェアが手に入らないため比較はできないが、おそらくファームウェアの更新によって、脆弱性対策が図られているとみられる。

 また、最新ファームウェアでは、外部からのアクセスをしにくくする工夫がなされており、ウェブサーバーにアクセスするためのポートが、再起動によってランダムに変更される仕組みなども搭載されていた。

 このため、現状でも、4と5の攻撃は可能だが、以下の理由から、外部からの攻撃は非常に困難な状況にあると言える。

  • 攻撃に使うポートが特定できないか特定できても変更される可能性がある
  • 脆弱性を悪用した攻撃をするには認証情報が不可欠

 つまり、購入後、すみやかにパスワードを複雑なものに変更してさえおけば、現時点で外部からの侵入を許す可能性は低いことになる。この点は、ぜひ理解しておいて欲しい。

脆弱性を検証パスワードとポート番号がわかれば、telnetの起動や設定ファイルの取得が可能

 前置きが長くなったので、話を戻そう。まずは、「4.既知のアカウントを使うことで、設定ファイル(IDとパスワードを含む)を取得可能」の脆弱性から見ていこう。

 この脆弱性はとても単純だ。以下の画面のようにカメラのウェブサーバーに対して、有効なアカウントの認証情報(IDとパスワード)とポート番号を指定し、設定ファイル「system.ini」を取得すればいい。これで、ファイル内容が表示される。

wget -qO- 'http://admin:888888@192.168.3.203:60856/system.ini'|xxd
wgetを使ってsystem.iniファイルを取得した例。ファイルに記述されている設定情報を確認できる。

 続いて、「5.既知のアカウントを使うことで、FTPの設定用CGIを悪用し、リモートコードを実行可能(telnetをリモート起動可能)」だ。こちらも同様に、有効な認証情報とポート番号を指定し、set_ftp.cgiに対して、いくつかのパラメータを与えることで、最終的には「telnetd」をポート25で起動することができる。

 コマンド実行後、カメラに対してtelnetを実行すれば、各種設定を表示するなど、様々なことができてしまうことになる。

wget -qO- 'http://192.168.3.203:56975/set_ftp.cgi?next_url=ftp.htm&loginuse=admin&loginpas=888888&svr=192.168.3.203&port=21&user=ftp&pwd=$(telnetd -p25 -l/bin/sh)&dir=/&mode=PORT&upload_interval=0'
wget -qO- 'http://192.168.3.203:56975/ftptest.cgi?next_url=test_ftp.htm&loginuse=admin&loginpas=888888'
リモートからルート権限でtelnetを起動。この後はtelnetで自由にアクセスできる

 ただし、ポイントはいずれも“認証情報が必要”という点だ。

 以前のファームウェアでは、これらのコマンドを認証情報なしで実行できる場合があったため、外部からの乗っ取りが簡単にできた。しかし、今回のテストでも分かる通り、脆弱性を悪用するにはURLに認証情報を指定する必要があるため、パスワードを変更していれば攻撃の可能性は低い。さらに前述したように、ポート番号もランダムとなったため、実際にこれらの攻撃を実行しようとしても、その敷居は決して低くない。

 ソフトウェアの脆弱性自体は残っているが、製品としては、その攻撃を受けにくくするための工夫は一応なされていると言っていいだろう。

ルータのIPS機能で防御を試みる

 PCやスマートフォンなどのように、機器そのものでファイアウォールやセキュリティ対策ソフトを実行できる場合はいいが、そうした対策が取れないIoT機器に脆弱性が存在した場合、基本的にはファームウェアの更新によって脆弱性を塞ぐしかない。

 では、ゼロデイと呼ばれる未修正の脆弱性に対して、対策がなされるまでの時間、私たちはIoT機器の脆弱性を放置するしかないのだろうか?

 そんなことはない。本コラムでも以前にいくつかの製品をレビューしてきたが、最近ではIPS/IDS(侵入防御システム/侵入検知システム)などのセキュリティ機能を備えたルーターやホームゲートウェイが発売されており、これらの機器を利用することで、こうした脆弱性を悪用した攻撃を防いだり、検知したりすることが可能だ。

 以下の表は、手元にあった2台の機器で、今回の脆弱性をテストした結果だ。前述したように、最新版ファームウェアを適用したC7823WIPでは、攻撃に使われるポートがランダムに変更される。このため、今回のテストでは、特定のポートを常に使うように固定してから、ルーターのポートフォワード機能で外部から通信できる状態にし(逆に言えばこれらの設定をユーザーが明示的にしない限り外部からの攻撃は困難)、別回線を利用してWAN側から攻撃を仕掛けた。

IPSによる防御テスト
テスト内容BRT-AC878RT2600ac
4.設定ファイル取得防御攻撃成功
5.telnetの起動攻撃成功攻撃成功

 結果を見ると、Synologyの無線LANルーター「RT2600ac」の「Intrusion Prevention(IPSモード)」では、いずれの脆弱性に対する攻撃も成功してしまったが、ASUSTeKの無線LANルーター「BRT-AC878」の双方向IPSでは、テスト4の「system.iniファイルからの設定情報読み取り」は、きちんと防御することができた。

 若干、予想外の結果となったが、これは「定義ファイル」の影響が大きい。

 トレンドマイクロ株式会社の和田克之氏(プロダクトマーケティング本部コンシューマプロダクトマーケティング部コンシューマディベロップメントグループグル-プ長マネージャー)に、同社の「ウイルスバスター for Home Network」の動作について聞いたところ、「DPI(Deep Packet Inspection)では、ネットワークを流れるパケットのヘッダーやペイロードを検査して、不正な攻撃によく見られるデータのパターンをチェックし、それを定義ファイルと照合して攻撃を検知した場合に通信を遮断している」と説明してくれた。

今回のテストに利用したASUSTek「BRT-AC878」。トレンドマイクロの技術を利用した双方向IPS機能が搭載されている

 和田氏によると、同社製品では、定義ファイルだけでなく、一部「ビヘイビア(振る舞い検知)」によるチェックも実施しているとのことだが、基本的にはIPS機能を有する機器に今回の攻撃のパターンが含まれていなければ、攻撃は通過してしまうことになる。

 Synologyの製品では、米Proofpointが無料で提供する定義ファイルを使っている上、それもすべてが適用されているわけではなく、設定画面を確認すると主要なもの以外はチェック対象から外れている。今回の脆弱性に対する定義が、そもそも無料の定義に含まれていないのか、チェック対象から外れているのかは判断できなかった(筆者が調べた限りではおそらく前者)が、それがRT2600acに対して攻撃できてしまった要因となる。

RT2600acのIntrusion Preventionの署名。今回の攻撃に対する定義ファイルが存在しないと考えられる

 BRT-AC878でも、テスト5のtelnet起動は攻撃が成功してしまったが、これについて和田氏は「すでに対策を準備中」と語った。同社は、さまざまなメーカーに対して機能を提供しているため、「実際に定義ファイルが配信される時期は機器によって異なる」(和田氏)とのことだが、遠からず攻撃を遮断できるようになるだろう。

 なお、今回はテストにBRT-AC878を利用したが、和田氏によるとIPSの機能については、機器が異なっても「エンジンや定義ファイルも基本的には同一」とのことだ。このため、家庭では、より導入がしやすい(つなぐだけで設定がほとんど不要な上、スマートフォンアプリでの管理しやすい)ゲートウェイタイプの「ウイルスバスター for Home Network」を利用した方がいいだろう。

 このように現状、当該ネットワークカメラの脆弱性を防ぐためにはIPSが有効だが、今後、定義ファイルが間に合わないような脆弱性が発見される場合もある。今回のケースでは、脆弱性の発見から時間が経過しているため定義ファイルが存在していたが、定義ファイルの配信が間に合わなければ、攻撃の対象となってしまう可能性も高くなるだろう。

 この点について、今回、筆者が実感したのは、“餅は餅屋”ということだ。和田氏によると、トレンドマイクロでは「(ウイルスバスター for Home Networkなどに対しての)攻撃を統計的に監視しており、どういった攻撃が増えているかを常にチェックしている」という。

 今回のカメラの件に関しては、同社が把握する限りでは「同様の攻撃が増えている状況はあまり確認できなかった(和田氏)」とのことだが、今後、例えば「特定の機器をターゲットにした攻撃が増えている、特定の手法が流行している、といった情報を把握すれば、それに応じた定義ファイルを速やかに配信する」と和田氏は語る。

 しかも、同社は、日本にきちんと研究拠点を設定している。このため、「日本ならではの攻撃にも速やかに対応できる上、サポートも日本語で対応できる」(和田氏)としている。

トレンドマイクロ株式会社の和田克之氏(プロダクトマーケティング本部コンシューマプロダクトマーケティング部コンシューマディベロップメントグループグル-プ長マネージャー)

 個人的には、今回のカメラの脆弱性が、家庭向けセキュリティアプライアンスの性能を知るためのいいベンチマークになったと考えているが、今後は、その性能や対応の差などが、より顕著になってくると考えられる。

大切なのは「きちんと知る」こと

 以上、少し前に話題になった監視カメラの脆弱性と、その防御方法を採り上げたが、カメラだけでなく、スマートTVやSTB、AI搭載スピーカー、スマート家電、センサーなど、身の回りにネットワークにつながる機器が増えてきた現状を考えると、もはやネットワークのセキュリティ対策は不可欠と言えそうだ。

 こうした新しいデバイスをいち早く使ってみたい、いわゆる“アーリーアダプター”の層こそ、IPS搭載ルーターやセキュリティゲートウェイを導入すべきなのかもしれない。

 ただし、今回の例のように、単純にセキュリティ機能を搭載した機器を導入しても、定義ファイルがなければ攻撃がスルーされる場合もある。

 このため、むしろ、大切なのは、脆弱性の情報に常に注目していくことだ。

 脆弱性に関するニュースなどを他人事と考えず、どんな機器が、どのように危険なのかをいち早く知り、その危険性を正しく理解しておけば、機器の利用を止めるべきか、継続して使うにはどうすればいいかを正確に判断できる。

 また、今後は、脆弱性に関する情報が「機器の目利き」にも役立ちそうだ。恐らく、今後、大手やベンチャーなどからさまざまなIoT機器が登場するはずだ。この際、機器の性能やデザインだけでなく、速やかに、かつ継続的に、ファームウェアを改善していく力が、果たしてその企業にあるかどうかを見極めることは非常に大切だ。

 10月3日に総務省から「IoTセキュリティ総合対策」が公表されたように、政府を中心として、IoT向けのセキュリティに対する取り組みも始まりかけているが、結局のところ、それを見極めるのは自分しかない。

 個人的にも、ちょっと各メーカーのサポートページで、ファームウェアの更新状況をチェックしてみようかと思う。脆弱性発見から対策ファームが出るまで、どれくらいタイムラグがあるのかを比べてみてもよさそうだ。

清水 理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。