BBC, 26 June 2023
ハッカーが監視カメラを操作できる技術的欠陥
中国製の監視カメラは、英国のオフィスやハイストリート、さらには政府の建物にさえ設置されている。『Panorama』は2つのトップブランドが関与するセキュリティ上の欠陥を調査した。中国製監視カメラのハッキングはどれほど簡単なのか?
ロンドンにあるBBCのブロードキャスティング・ハウス内の暗いスタジオで、一人の男がノートパソコンに向かってパスワードを入力している。
何千マイルも離れたところで、ハッカーが彼が入力する全てを監視している。
次にBBCの職員が携帯電話を手に取り、パスコードを入力する。ハッカーはそれも知っている。
天井に設置された監視カメラ(中国企業Hikvision社製)にセキュリティ上の欠陥があり、攻撃を受けやすくなっているのだ。
ハッカーは言う。「無効にすることもできるし......BBCで何が起こっているかを見るために使うこともできる。」
監視されている男性にとってありがたいことに、ハッカーはBBCと協力している。これはPanoramaが中国製の監視カメラのセキュリティをテストするために行った一連の実験の一環である。
HikvisionとDahuaは世界有数の監視カメラメーカーである。
英国の街角に何台並んでいるかは誰も知らない。
昨年、プライバシー保護運動団体「ビッグ・ブラザー・ウォッチ」は、その実態を明らかにしようと試みた。2021年8月から2022年1月にかけて、英国中の公的機関に4,510件の情報公開請求書を提出した。227の議会と15の警察がHikvisionを、35の議会がDahuaを使用している。
ロンドン中心部のある日の午後、パノラマは国際貿易省、保健省、健康安全保障局、デフラ、陸軍予備軍の建物の外にもハイクビジョンのカメラが設置されているのを発見した。
セキュリティー専門家たちは、このカメラがトロイの木馬のようにコンピューター・ネットワークに悪用される可能性を恐れている。
英国の監視カメラ委員であるフレイザー・サンプソン教授は、電力供給、交通網、生鮮食料品や水へのアクセスなど、国の重要なインフラが脆弱であると警告する。
「そのため、それを妨害する能力があれば、安価に遠隔操作で大混乱を引き起こすことができる」と彼は言う。
元外交官で北京に勤務していた英国王立連合サービス研究所(Rusi)のチャールズ・パートンも同意する: 「私たちは皆、若い頃に『イタリアン・ジョブ』を見たことがある。まあ、当時はフィクションだったかもしれないが、今はそうではないだろう。」
ハイクヴィジョンはパノラマに対し、同社は独立した企業であり、英国の国家安全保障を脅かす存在ではないと語った。
「Hikvisionは、世界中のいかなる政府に対してもスパイ活動を行ったことはなく、今後も行うつもりはありません」と述べ、「製品は厳格なセキュリティ要件の対象であり、英国だけでなく、当社が事業を展開する他のいかなる国や地域においても、適用される法律や規制に準拠しています」と付け加えた。
Panoramaは、監視技術の世界的権威である米国のIPVM社と協力して、Hikvision社製カメラのハッキングが可能かどうかをテストした。IPVMはBBCのスタジオに設置されたものを提供した。
Panoramaはセキュリティ上の理由からBBCのネットワーク上でカメラを作動させることができなかった。
Panoramaがテストしたカメラには、2017年に発見された脆弱性が含まれている。IPVMのディレクターであるコナー・ヒーリーは、これを "Hikvisionが自社製品に組み込んだバックドア "と表現している。
Hikvisionは、自社のデバイスにこの欠陥が意図的にプログラムされたわけではないとし、問題を認識した後、ほぼ直ちにこの欠陥に対処するためのファームウェア・アップデートをリリースしたと指摘している。また、Panorama社のテストは現在稼働している機器を代表するものではないと付け加えている。しかし、コナー・ヒーリー氏によれば、世界中のオンライン上にある10万台以上のカメラが、まだこの問題に対して脆弱であるという。
Panoramaのハッキング実験が始まると、コナーとIPVMのリサーチ・エンジニア、ジョン・スカンランはペンシルバニアの本社でノートパソコンの前に座っていた。
コンピューターシステムを許可なくハッキングすることは犯罪行為である。
ヒーリーとスカンランは、まず放送会館内にあるカメラの場所を突き止め、その警備を攻撃する。
それからヒーリーは、カメラを制御するのにかかる時間を計る。わずか11秒後、スカンランが告げる: 「カメラにアクセスできました。」
パノラマ社の社員がノートパソコンでスタジオの中を見ることができる。
「キーボードを拡大すると、彼がパスワードを入力するために押しているキーがはっきりと見えます」とスカンランは言う。
「これは、鍵屋があなたの家の鍵を渡し、密かにそのコミュニティの全てのロックのためのマスターキーを作るようなものです...それは事実上Hikvisionのエンジニアがやったことです。」
Hikvision社によれば、同社の製品には「バックドア」はなく、この欠陥を意図的にプログラムしたものではないという。同社は、同社のデバイスを使用しているほぼ全ての地方自治体は、今よりずっと前にカメラを更新しているはずだと考えていると付け加えた。
次に、ハッカーたちは2つ目のテストを開始する。カメラを制御するソフトウェアに侵入し、Dahuaのカメラにアクセスするというものだ。
IPVM本社には2台のテストカメラが設置されている。ハッカーが成功すれば、監視カメラのネットワーク全体を掌握することができる。
すぐに彼らはソフトウェアの脆弱性を見つける。「やった、侵入できた」とヒーリーは言う。
これで彼らはシステム内部に入り、カメラを使って盗聴することができる。
「これらのカメラについて多くの人が気づいていないのは、その大部分にマイクがついているということです」とヒーリーは説明する。「ユーザーはマイクをオフにすることが多いのですが、ハッカーが再びオンにするのは簡単です。」
Dahua社は、昨年末にこの脆弱性を認識した際、「直ちに包括的な調査を実施」し、「ファームウェアのアップデート」によって問題を迅速に修正したという。
また、同社は国家の支援を受けておらず、同社の機器が英国の重要なインフラを妨害する可能性はないとしている。同社はこう付け加えた: 「これらの疑惑は真実ではなく、ダーファ・テクノロジーとその製品について非常に誤解を招くものである。」
しかし専門家は、監視カメラ委員会のサンプソン教授が「デジタル・アスベスト」と表現するものから英国を守るために、もっと努力する必要があると言う。
「私たちの前の世代は、主に安くて仕事ができるという理由で、この機器を設置してきました。私たちは今、この機器には深刻で固有のリスクがあることに気づいています。」
HikvisionとDahuaを信頼しているかと聞かれ、彼はこう答えた: 「少しも信頼していません。」
Is China watching you? (英国内のみ)
スパイ気球から秘密警察署、逃亡する反体制派まで、『パノラマ』は中国の世界的な監視活動を調査する。北京のスパイ気球の新情報を明らかにし、中国製の監視カメラをハッキングして、街角に並ぶ同様の装置がどのように悪用されるかを示す。
にほんブログ村
No comments:
Post a Comment