サイバー犯罪者や国家主体の攻撃者にとって、IPカメラは尽きることのない宝の山だ。インターネットにさらされ、デフォルトの認証情報がそのまま残され、脆弱性が修正されていないため、初期のネットワークアクセス権を獲得したり、ボットネットに組み込まれたりするために容易に悪用されてしまう。 中東で現在進行中の戦争により、新たな戦術が標準的な作戦手順となった。それは、あらゆる建物や街路に設置されたカメラを武器化し、攻撃前の偵察、リアルタイムでの標的特定、そして攻撃後の爆撃被害評価(BDA)に利用することだ。手に入れれば誰でも使える無料のインフラである以上、こうした事態が起きるのは時間の問題だった。
2000年代に入り、IPカメラは都市の風景に広く普及した。設置場所の特定もハッキングも容易だが、必ずしもそうとは限らない。多くのカメラには認証不要の映像配信機能があり、IPアドレスを知っている者なら誰でも匿名でライブ映像を視聴できるからだ。地上に設置されているため、衛星や高高度ドローンよりも有用なアングルや視界を提供し、さらに少しのスキルがあれば、リモート操作によってそれらのアングルを自由に調整することも可能だ。
広く引用されている複数の報告書によると、現在の戦争において、あらゆる陣営でIPカメラが兵器化されていることが確認されている。チェック・ポイント・リサーチと フィナンシャル・タイムズ (購読が必要)は、中東全域で戦略的に配置された防犯カメラや交通監視カメラが利用されている実態を記録しており、Wiredは、ハッキングされた防犯カメラが軍事兵器としていかに重要な位置を占めるようになったかについて、決定的な報告を掲載している。
Nozomi Networks 、この地域および世界中でIPカメラが広く普及している状況をNetworks 。Nozomi 匿名化されたデータフィードを通じてNozomi 100万台以上のデバイスのうち、約8%がIPカメラです。そのうち、検出されたカメラの10%強がHikvision製でした。
イスラエルと米国の対イラン戦争におけるIPカメラ
フィナンシャル・タイムズ紙によると、今回の緊張激化の数年前、イスラエルはテヘランにあるほぼすべての交通監視カメラをハッキングしていた。これは、イランが反体制派を弾圧するために市民の監視に利用していた広範なネットワークであった。 2月28日に至るまで、イスラエルはこのデータフィードを利用して、最高幹部たちの護衛要員の行動パターンをモデル化し、CIAと連携して、最終的にアヤトラ・アリ・ハメネイやその他のイラン高官を殺害した空爆の標的を特定した。このリアルタイムデータ源は数百ある情報フィードの1つに過ぎなかったが、極めて重要な役割を果たした。
テルアビブに拠点を置くチェック・ポイントは、イランと関連のある脅威アクターによる、IPカメラを含むイスラエルのインフラへのハッキングや悪用を試みる動きを継続的に追跡している。研究者らは、1月中旬に最初の急激な増加を確認した。この時期は、テヘランで反体制デモに対する暴力的な弾圧が行われていた時期であり、イランはイスラエルや米国がこれを悪用することを懸念していた。 その6週間後、2月28日の暗殺事件を受けて、イスラエル、カタール、バーレーン、クウェート、アラブ首長国連邦(UAE)、キプロス、レバノンの各国のカメラで、さらに大規模な急増が確認された。これらは、イランのミサイル攻撃を受けたのと同じ国々である。ハッキングの試みは、米国とイスラエルがイランへの空爆を開始した3月1日まで続いた。
最も侵害された標的:HikvisionおよびDahuaのカメラ
チェック・ポイントによると、イランは2017年のものを含む5つのCVEを利用して、HikvisionおよびDahua製のカメラを標的にした。 これらのCVEに対するパッチは以前から公開されていたが、実際には適用されていなかったようだ。(IoT 所有権が不明確であることは、周知の通り深刻な問題となっている。)Hikvisionの脆弱性の1つ(CVE-2021-3626;コマンドインジェクション)は、攻撃者にデバイスを制御するための完全なrootアクセス権を付与する。なお、HikvisionおよびDahuaのデバイスは、セキュリティ上の懸念から米国では使用が禁止されている。
特定の場所で脆弱なカメラを見つけるのは簡単だ。例えば、ShodanやCensysといった検索エンジンを利用すれば、攻撃者は認証不要で閲覧可能な映像配信を行っているカメラを即座に特定できる。Dahuaのカメラを例に挙げると、Censysは3月10日のブログ記事で、攻撃者に先んじてインターネットに公開されているカメラを所有者が発見できるよう支援することを目的として、世界中で6,808件以上の認証不要なDahuaカメラの映像配信がインターネットに公開されていることを特定した。
起源の物語:ヴァイツマン研究所とウクライナ
IPカメラが軍事活動に悪用される事例は現在ではより広まっているかもしれないが、これまでも3件の事例が報告されている。
- 2022年2月、ロシアによるウクライナ侵攻の開始:2025年5月になってようやく公表されたものの、20以上の国際機関が署名した共同サイバーセキュリティ勧告では、2022年2月以降、ロシア軍第26165部隊(APT 28およびFancy Bearとして知られる)が、西側の物流・技術企業からの支援物資の移動を追跡する広範な作戦の一環として、ウクライナの国境検問所、軍事施設、鉄道駅の近くにある数千台のIPカメラをハッキングしていたと警告していた。
- 2024年1月、キエフに対するロシアのミサイル攻撃:攻撃直後、ウクライナ保安庁(SSU)は、ミサイル攻撃の照準調整に悪用される恐れのあるウェブカメラ約1万台を撤去し、すべての所有者に対しても同様の措置を講じるよう呼びかけた。少なくとも1件の事例では、ロシアの諜報機関がマンションの監視カメラに遠隔アクセスし、角度を変更してミサイル攻撃の照準を調整していた。
- 2025年6月、イスラエル・イラン12日間戦争:イランは、イスラエルのレホヴォトにあるワイツマン科学研究所周辺の防犯カメラや街頭カメラをハッキングし、同研究所に弾道ミサイルを撃ち込んだ後、被害状況の把握(BDA)のためにライブ映像を監視した。
当然のことながら、ウクライナ軍も同様にロシアのカメラを乗っ取り、攻撃を計画したり、自らの戦果を誇示したりしている。
IPカメラに関するNozomi
Nozomi Networks 、2022年にDahuaを含むビデオ監視システムやIPカメラについて広範な調査を行ってきました。これらのデバイスは、ビルセキュリティに加え、石油・ガス、電力網、通信などの幅広い分野で利用されています。これらは多くの生産プロセスの監視に使用されており、プロセスエンジニアに遠隔からの可視性を提供する一方で、スパイ活動やサイバー攻撃の計画にも悪用される可能性があります。 当社は、重要インフラを運用する顧客が環境のセキュリティを強化できるよう支援することに注力しています。過去5年間にわたり、不正な認証や認証バイパス、コマンドインジェクション、ハードコードされた認証情報や脆弱な認証情報の利用を可能にする数十件の脆弱性を発見してきました。
その調査とは別に、Nozomi Networks 世界中でIPカメラが広く普及している状況をNetworks 。Nozomi 匿名化されたデータフィードを通じてNozomi 100万台以上のデバイスのうち、約8%がIPカメラです。そのうち、検出されたカメラの10%強がHikvision製でした。
脆弱性と脅威アクター
最近の報告ではHikvisionやDahuaのカメラが注目されていますが、他のベンダーの製品もスキャン活動の標的となっていることが確認されています。以下のCVEが、最近の活動に関連していることが確認されています。
以下の脅威グループは、カメラを侵害したと主張しているか、あるいはカメラを標的にしているのが確認されている。
- マディウォーター
- Z-Alliance(ロシア)
- モーニングスター
- ハンダラ・ハック
- ラドワン旅団
IPカメラのセキュリティ対策に関する推奨事項
至急(緊急)
- 攻撃対象領域を把握する:外部IPアドレス空間と内部IoT を評価し、IPカメラを特定します。
- 外部に露出しているIoT接続を切断する:IPカメラがインターネットから直接アクセスできないようにする。すべてのリモートアクセスを、セキュアなVPNまたはゼロトラストゲートウェイ経由に切り替える。
- 認証情報のリセット: IoT 産業用デバイスにおいて、デフォルトの認証情報や脆弱な認証情報をサイト全体で強制的に変更します。
短期(今後7~30日間)
- 対象を絞ったパッチ適用:HikvisionおよびDahua製デバイスのファームウェア更新を優先し、特に上記のCVEに対処してください。
- 監視と検知:ログインの失敗が繰り返される場合や予期しないリモートログイン、およびカメラによる異常な外部への接続の試みがないか注意深く監視してください。
長期(3~6ヶ月)
- ネットワークのセグメンテーション:横方向の移動を防ぐため、セキュリティカメラのVLANをOT および企業ネットワークから分離します。
- サプライチェーン監査:すべての組み込みシステムおよびセンサーの原産地とセキュリティライフサイクルを確認する。セキュリティ更新プログラムの提供が終了した(EOL)監視機器を段階的に廃止する。
- 統合脅威モデリング:物理的なセキュリティカメラをサイバー・フィジカル攻撃対象領域の重要な要素として扱うよう、リスク評価を見直してください。
今日の世界は以前より危険になっています。一般市民であっても、自宅の防犯カメラが軍事監視などの目的で悪用される可能性があることを念頭に置くべきです。ついでに、ベビーモニターやルンバのセキュリティ対策も万全にしておきましょう。
