最近、韓国軍が中国のマルウェアに感染したと推定される1,300台余りの軍用防犯カメラを撤収しました。軍事施設のような国家機関からの映像流出は、国の安全保障に直結するセキュリティの脅威なので非常に深刻な問題です。撤収された防犯カメラは韓国のメーカーで設計されましたが、組み立て過程で中国のメーカーに任意のIPを設定され、韓国に納品されたことが確認されました。このような経路でマルウェアに感染した可能性が提起されました。今回の記事では、脅威インテリジェンスを活用してインターネットに公開された防犯カメラを検出する方法と、防犯カメラサーバーのセキュリティを強化する方法をご紹介します。
「tag: 防犯カメラ」クエリ検索で確認した防犯カメラの公開現況
防犯カメラは、セキュリティ監視のコア機器として使用されてきましたが、ネットワーク接続性の増加に伴い、新たなサイバー攻撃の標的になっています。特に、IPベースの防犯カメラシステムは外部インターネットと接続されており、録画映像が外部に公開されたり、管理システムのアクセス権が盗まれるなど、様々な脅威にさらされる可能性があります。特に、軍の事例のように国の安全保障に致命的なセキュリティ脅威にもつながり、防犯カメラの公開を事前に防ぎ、外部アクセスを遮断するなど、防犯カメラサーバーのセキュリティを強化する対策を講じる必要があります。
脅威インテリジェンスツールを活用すると、インターネットに公開した防犯カメラを簡単に確認することができます。代表的に、Criminal IPでは、外部ネットワークに接続された防犯カメラを「CCTV」タグで分類しており、Criminal IPのIT資産検索で「tag: cctv」を検索すると、インターネットに公開されている多数の防犯カメラを確認することができます。
Query: tag: cctv
検索結果でタイトル名が「~Live Image」と表示されたIPアドレスは、IT資産検索のレポートだけでもリアルタイムの録画画面がスクリーンショットで確認できました。むろん、直接そのIPアドレスにアクセスしても、何のログイン、認証手続きもなく、防犯カメラの映像ストリームにアクセスすることができました。
防犯カメラサーバーのTelnetポートの外部公開
録画画面が公開されているだけでなく、「tag: cctv」で検索されたいくつかの防犯カメラサーバーで、Telnetポートが外部に公開されていることが確認されました。Telnetは、リモート機器と通信するために使用される暗号化されていないテキストベースのプロトコルであり、Telnetポートが外部に公開すると、非認可者のリモートアクセスが可能になるため、深刻なセキュリティの脅威につながる可能性があります。
Telnetポートの公開が防犯カメラサーバーのセキュリティに影響を与えるいくつかのセキュリティ脅威は以下の通りです。
1. デフォルトパスワードとブルートフォース攻撃:防犯カメラの場合、デフォルトパスワードを使用することが多く、Telnetの認証手順が弱かったり、ない場合が多いため、ブルートフォース攻撃(Brute Force Attack)が発生しやすいです。
2. データ窃取:Telnetは、暗号化されていないプロトコルであるため、ユーザーが入力するすべてのコマンドとパスワードは平文で送信されます。もし、ネットワーク上で通信を監視する攻撃者がいれば、簡単に情報を横取りし、その防犯カメラシステムを掌握することができます。
3. マルウェア感染およびシステム掌握:Telnetを通じて防犯カメラサーバーにアクセスした攻撃者は、root権限を取得し、システムを完全にコントロールすることができます。つまり、マルウェアをインストールしたり、リアルタイムの映像フィードを流出させたり、防犯カメラ機能を無力化させることができることを意味します。特に、重要な監視領域で防犯カメラの映像が歪曲されたり、削除される場合、致命的なセキュリティインシデントにつながる可能性があります。
4. ボットネット(Botnet)として悪用:公開された防犯カメラは、攻撃者がボットネットとして活用する可能性が高くなります。複数の感染した防犯カメラは、DDoS(分散型サービス拒否攻撃)のような攻撃に使用される可能性があり、この場合、防犯カメラのネットワークだけでなく、他のネットワークにも大きな被害を与える可能性があります。Miraiボットネットが代表的な事例で、インターネットに公開したIoT機器を感染させて大規模なサイバー攻撃を起こした事例です。
5. プライバシー侵害および機密情報の漏洩:攻撃者は、公開したTelnetポートを介して防犯カメラの映像ストリームにアクセスすることができ、これによりプライバシー侵害や機密情報の漏洩が発生する可能性があります。監視対象となる空間によっては、企業の営業機密、公共安全関連の映像情報などが流出し、大きな損害につながる可能性があります。
脅威インテリジェンスを活用した防犯カメラサーバーのセキュリティを強化する
上記の事例で確認したように、脅威インテリジェンスツールを活用すると、外部に公開された防犯カメラの確認と公開された防犯カメラの映像ストリーム、ポート公開によるセキュリティ脅威を一度に確認することができます。脅威インテリジェンスは、リアルタイムで変化するサイバー攻撃の動向、マルウェア、脆弱性を分析してセキュリティリスクを予測し、先制的な対応を可能にするツールです。防犯カメラのようなネットワーク機器は、継続的な脆弱性モニタリングと最新の脅威インテリジェンスデータを活用した迅速な対応戦略の策定が必要です。セキュリティ管理者は、脅威インテリジェンスツールを活用して、公開されたポート、脆弱なソフトウェアのバージョン、悪質なIPアドレスなどを検出することができ、これを基に、迅速なパッのチ適用、ネットワーク構成の変更、異常なトラフィックのブロックなどの実質的なセキュリティ対策を行うことができます。このような積極的なセキュリティアプローチは、防犯カメラサーバーだけでなく、システム全体の安全性を大幅に向上させるために不可欠です。
関連してOSINT脅威インテリジェンスを活用して内部管理システムの公開を防ぐ方法をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
