最近、車両ナンバー認識システム(License Plate Recognition、LPR)によるセキュリティインシデントが増加しています。車両ナンバー認識システムとは、デジタルカメラと赤外線ライトデバイスを利用して車両のナンバープレートを撮影し、獲得した動画からナンバープレートの文字および数字を自動認識する判読の過程を経て、ナンバープレートをテキスト化するDBシステムであり、駐車場の車両管理を自動化するのに使用されます。
車両ナンバー認識システムの外部公開
このように効率的な駐車場管理に大きな役割を果たす車両ナンバー認識システムが外部に公開されると、個人情報をはじめとする敏感な情報が流出されやすいので、注意が必要です。CTI検索エンジンCriminal IPで敏感な情報が外部に公開された車両ナンバー認識システムのサーバーを見つけられました。
Search Query: title: Index of / “LPRimage”
サーバーのバナー情報に「LPRimage」という文字列が含まれている車両ナンバー認識システムのサーバーを検索すると、現在は総36台のサーバーを見つけられます。当クエリで検索されたシステムには、ほとんどディレクトリリスティングが許される脆弱性が見つかり、一般的に知られていないサービスポートを使用していることが分かりました。
外部に公開されたシステムサーバーはハッキング、データの流出および改ざんなどの攻撃対象になりやすくて、実際に検索されたサーバーの中では別の認証を経ずにアクセスが可能なサーバーがありました。当サーバーでは以下のように撮影された車両ナンバーのイメージが保存されたLPRimageのフォルダーを見つけられました。
個人情報で車両ナンバー公開
一般社団法人日本自動車整備振興会連合会によると、ナンバープレートの情報だけでは特定の個人を識別できないので、一般的には個人情報に該当しないと言っています。しかし、韓国を含むいくつの海外では、車両ナンバーは個人情報として取り扱われています。むろん、車両ナンバーだけで個人を特定することは難しいですが、他の情報と組み合わせて特定の個人を類推できる情報は個人情報である認識があるからです。自動で保存されたイメージだけでも車両ナンバー、車種、色、位置情報を把握できるため、悪意のある目的でその他の情報を組み合わせ、特定の個人を把握することもできるということです。
従って、車両ナンバーからも個人情報を得られる認識が必要であり、今まで取り扱った他のIT機器およびサーバーと同じく、個人情報が第三者に公開されないようにシステムの脆弱性と公開の可否を常時管理する必要があります。
関連してCVE-2024-29212 : RCE脆弱性に影響される公開されたVeeam Service Provider Consoleをご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
