2016年1月23日土曜日

監視カメラの映像がインターネットに丸見え! パスワードが大事、見破られないパスワードに

店舗や企業などの監視カメラを覗き見できるサイトが問題になっています。国内でも6000台以上が誰でも見られる状態になっているそうです。

読売新聞(YOMIURI ONLINE)によると、これらの監視カメラは、IPカメラと呼ばれるインターネット接続された監視カメラで、ネットワークカメラとも呼ばれ、無線LAN・有線LANでインターネットに接続されているそうです。

 監視カメラ覗き見? パスワード未設定が原因か : 科学 : 読売新聞(YOMIURI ONLINE)
 http://www.yomiuri.co.jp/science/goshinjyutsu/20160122-OYT8T50085.html


なお、この問題、全てが問題にはならず、公開しているIPカメラであれば、当然、パスワード無しで設定されていると思います。

問題は、非公開にも関わらず、パスワードを簡単に(もしくは初期値のままで)設定している場合ですね。

 取扱説明書 操作・設定編 - PGQP1366XAC1_WV-SW598_OI_ja.pdf
 http://ssbu-t.psn-web.net/Products/IP_camera/WV-SW598/Manual/PGQP1366XAC1_WV-SW598_OI_ja.pdf


上記の有名な某メーカーの取扱説明書には、初期設定のユーザー名とパスワードが、ユーザー名: admin、パスワード: 12345であり、以下のように、パスワード変更を勧めています。

『セキュリティを確保するため、ユーザー名が「admin」のパスワードは必ず変更してください。パスワードは定期的に変更することをお勧めします。』(上記の取扱説明書より)

当然ながら、このパスワードを変更していないと、知らないうちに覗き見できる監視カメラになります。


■コンビニの防犯カメラのセキュリティも危ない

防犯カメラ映像丸見えの問題、Yahoo!ニュースによると、スーパー、老人ホーム、飲食店、街頭さまざまな映像が並ぶなか、目立ったのがコンビニ店内の映像だそうです。

この記事をみると、慌ててコンビニで全店の防犯カメラのセキュリティをチェックしたとか。エッ!設置段階で考えていないの? コンビニのセキュリティの甘さを感じますね。

 肉まん買う客の姿もくっきり 防犯カメラ映像丸見え「全く想定外の状況だ」

  セブン社員2500人が奔走 (withnews) - Yahoo!ニュース -
 http://goo.gl/OBs40d



■見破られないパスワードに

 Announcing Our Worst Passwords of 2015 | TeamsID
 https://www.teamsid.com/worst-passwords-2015/

米SplashDataは、「最悪なパスワード」2015年版ランキング、「Worst Passwords List」の2015年版を、上記で発表しています。

少なくとも、このようなパスワードにしないこと、「英文字(小文字・大文字)、数字などを組合せ12桁以上にする」ことが大事です。


「最悪なパスワード」2015年版ランキング(カッコ内は前年順位)


    1:123456 (1)
    2:password (2)
    3:12345678 (4)
    4:qwerty (5)
    5:12345 (3)
    6:123456789(6)
    7:football (10)
    8:1234 (7)
    9:1234567 (11)
    10:baseball(8)
    11:welcome (New)
    12:1234567890 (New)
    13:abc123 (14)
    14:111111 (15)
    15:1qaz2wsx(New)
    16:dragon (9)
    17:master (19)
    18:monkey (12)
    19:letmein (13)
    20:login (New)
    21:princess(New)
    22:qwertyuiop (New)
    23:solo (New)
    24:passw0rd (New)
    25:starwars (New)


 2015年の最悪なパスワードは「123456」 - 「starwars」が初のランクイン
  | マイナビニュース
 http://news.mynavi.jp/news/2016/01/20/172/

上記のマイナビニュースに、米SplashData発表の詳しい解説がありますので、マイナビニュースの内容から、以下に簡単に紹介します。

マイナビニュースによると、Worst Password Listは同社が2011年より実施している年次調査で、消費者に見破られやすいパスワードを知らせることで、強固なパスワード利用を奨励することを目的としたもの。1年間に漏えいした約200万件のパスワード情報を集計しているそうです。

また、米SplashDataでは、ユーザーに、以下の3つのアドバイスを推奨しています。

①12文字以上でさまざまな文字数字を組み合わせたパスワードやパスフレーズを使う
②同じパスワードの使い回しをしない
③パスワードマネージャーを利用してパスワードの管理と保護を行い、ランダムなパスワードを生成し、自動的にログインする


■利用者側、ベンダー側双方のセキュリティ意識が重要

しかし、この問題、利用者側だけの問題でしょうか?

メーカー側にも問題があるように感じます。上記の取扱説明書は200頁以上もあり、パスワードの重要性も、なかなか分かりづらい内容になっています。

今回の「監視カメラの映像がインターネットに丸見え」の問題、セキュリティ上の注意点を利用者が明確に分かるように、メーカー側も注意すべきだと思います。出来れば、設置する際に、パスワード変更を必ず実施するような手順にするほうが良いと思います。


下記のトレンドマイクロ セキュリティブログにも、すべてをつなぐインターネット(IoE)が広まるにつれ、ネットワークカメラだけでなくインターネットに接続された機器すべてについて、利用者側、ベンダー側双方のセキュリティ意識が重要になっていく
と警告しています。

 「ネットワークカメラ画像無断公開サイト」報道から考えるべきこと | トレンドマイクロ セキュリティブログ
 http://blog.trendmicro.co.jp/archives/10546

0 件のコメント:

コメントを投稿