監視カメラ90台がハッキング被害

北海道から沖縄まで IoTセキュリティー「穴だらけ」

不正アクセスを受けた東京都内の会社の監視カメラ

 4月末から5月初めにかけ、インターネットに接続された監視カメラが不正アクセスを受け、画面に「I’m Hacked.bye2(ハッキングされた。バイバイ)」といった文字が表示される事態が相次いだ。専門家の調査を基に取材したところ、被害を受けたのは北海道から沖縄までの少なくとも約90台に上った。多くの場合、出荷時の初期パスワードを変更せずに使用していたことが、不正アクセスにつながったとみられる。すべてのモノをネットにつなぐ「IoT(モノのインターネット)」化が急速に進む中、情報セキュリティーは後回しになり「穴だらけ」という実態が浮かんだ。

パスワード変更せず

 千葉県八千代市と埼玉県上尾市では、水路の状況を監視していたカメラがハッキングされた。パスワードを勝手に変更されたため、カメラを乗っ取られた状態となり、操作ができなくなった。

ハッカーにより改ざんされた埼玉県上尾市の水路監視カメラの画面(上尾市提供)

 取材に対し、両市とも初期パスワードのまま使用していたことを明らかにした。不正アクセスを防ぐには、他者から推測されにくいパスワードを設定して守ることが重要だが、監視カメラなどのIoT機器では、セキュリティー意識が高まっていないのが実情だ。上尾市の担当者は「このような事態は想定していなかった」と、認識不足だった点を認めていた。

 両市はそれぞれ千葉県警、埼玉県警に相談している。上尾市は不正アクセスに関連する「IPアドレス(インターネット上の住所)」などの通信記録も提供した。

不正アクセスを受けた埼玉県上尾市の水路監視カメラ(右側、上尾市提供)

東電も被害に

 東京電力が設置しているカメラも被害に遭った。千葉県銚子市沖の洋上風力発電施設の現状を、海岸から確認しているカメラの映像に「I’m Hacked.bye」という文字が書き込まれた。東電は、記者の取材を受けるまで被害を把握していなかった。

千葉県銚子市沖の洋上風力発電施設(左上)の状況を確認する東京電力のカメラ映像

 太陽光発電施設を監視するカメラの被害も目立った。滋賀県甲賀市や熊本県小国町の施設などがやられた。このほか、北海道苫小牧市の高齢者施設や、名古屋市天白区の児童施設、奈良県大和郡山市の葬儀場などの被害を取材で確認した。埼玉県の不動産会社は各支店を結ぶ監視カメラのシステムが狙われた。

犯人は日本人?

 画面に書き込まれた文字は「I’m Hacked.bye2」が最も多く、八千代市や上尾市でも同じだった。ほかに警察や政府を挑発するような内容など数パターンがあった。「marumiedesu(丸見えです)」と、日本語とみられるものもあり、日本人の犯行の可能性も浮上している。

 この問題を調べた情報セキュリティー専門家のpiyokango(ピヨカンゴ)氏は「犯行を誇示するメッセージを残していることから、愉快犯とみられる」と分析。一方で「防犯カメラにセキュリティーの不備があることを指摘する目的があった可能性も捨てきれない」と言う。

改ざんされ文字列が書き加えられた、太陽光発電の施設とみられる防犯カメラの画像

映像、意図せず外部公開

 今回の被害事例の多くはネット上で映像が勝手に「公開」されていたため、明るみに出た。パスワードを掛けていないカメラや、初期パスワードのままのカメラの映像を世界中から集めて「公開」しているサイトがあり、そこで映像が見られるようになっていた。

 多くの被害者は「外部公開は想定しなかった」と口をそろえる。設定の誤りによるものか、ハッカーに設定を書き換えられたのか、勝手に公開されていた原因は分かっていないが、カメラの前にいる人の顔が大写しになるなど、プライバシー問題になりそうなものもあった。会社内の秘密情報が盗み見された可能性もある。

 これらの事態も、適切なパスワードを掛けていれば、防げたとみられる。

キヤノン製に集中

 今回の被害はキヤノン製の監視カメラに集中していた。なぜキヤノンが狙われたのかは分かっていないが、今回被害を受けたカメラの初期パスワードは、ホームページに掲載された説明書の中に書かれ、誰でも見られるようになっている。その場合、初期パスワードの変更はセキュリティーの観点からは必要不可欠だったと言える。

 施工・管理する業者に問題があったという指摘も聞かれた。今回乗っ取られたカメラには、キヤノン関連会社が設置したものが多くある。被害に遭った東京都内の会社社長は「キヤノン関連会社は初期パスワードを変更したと言っていたが実際は違っていた」と憤っていた。

 広島市の鮮魚卸は、同じキヤノンの関連会社を呼んでカメラを復旧させた。だが、映像が外部に公開されている状態は修正されなかったため、翌日にもう一度呼ぶ羽目になったという。

 防犯カメラのセキュリティー問題に詳しい横浜国立大の吉岡克成准教授は、「他の機器でもよくあることだが、メーカーが対策を周知しようとしても、施工業者には徹底されていないのは問題だ」と指摘する。

キヤノンは監視カメラの管理者に出した文書の中で、パスワードの管理に注意を 呼びかけた

 キヤノンは、八千代市の問題が発覚した後の4月26日、ホームページでパスワード変更などの対策を行うよう呼び掛けた。しかし、今回の事実関係や原因、関連会社の対応について聞いたところ、広報担当者は「被害があったかなかったかを含めて個別の問題についてはコメントできない」と述べるにとどまった。(共同通信サイバー報道チーム=長谷川観自)

Follow

共同通信

on

©一般社団法人共同通信社

昭和天皇 素顔の27冊

昭和天皇の身の回りの世話をする侍従を長年務めた故小林忍氏の日記が見つかった。27年分の27冊に側近が見た昭和天皇の日常が凝縮している。貴重な昭和後半史として紹介

特設ページを見る