ある読者から奇妙なメールを受け取りました。セキュリティ上の問題を発見し、どう対処したらいいのか分からなかったそうです。GoogleでIPカメラ(インターネットに接続してリモートストレージやストリーミングアクセスを行うカメラ)について調べていたところ、その機種のウェブサイトではなく、別の家庭のカメラの動画がヒットしたそうです。その家庭は自宅に複数のカメラを設置しており、そのすべてがインデックスされたウェブページで公開ストリーミングされていたのです。
彼はこの家族のプライバシーを心配していましたが、連絡方法が分からず、ページを離れてしまいました。ブックマークに登録し、一時的な問題なのか確認するために何度か確認しました。そしてついに私にメールを送ってきました。記者として、家主を見つけてメールを送れば、少しは不気味な印象を与えずに済むのではないかと。私はそうしました。すると家主は動揺しませんでした。問題が発生している間にパスワードをオフにしておき、その後、再度有効にすることを忘れていたのです。彼は感謝してくれ、私はその情報を読者に伝えました。読者は倫理的な重荷から解放されました。
しかし、この事件全体は、特に IP カメラ、そして一般的にはモノのインターネット (IoT) の懸念事項の 1 つを浮き彫りにしました。つまり、世界中の人々がデバイスにアクセスできる場合、設定の失敗や設定方法を知らないことがプライバシーを侵害し、個人情報の盗難、嫌がらせ、その他の犯罪につながる可能性があるということです。
Apple(HomeKit)、Nest、そしてその他の企業は、自社システムからのロックインを望んでいます。しかし、彼らが約束しているのは、1つの独自規格しかサポートしない、典型的に閉鎖的なデバイスエコシステムです。彼らはプライバシー、完全性、そしてセキュリティを約束されているのです。果たして彼らはそれを果たせるのでしょうか?多くのスタンドアロンハードウェアが現在直面している状況よりも、より良い結果を期待したいところです。
デフォルトの変化
Amazon で入手できる IP カメラの数は実に膨大です。
Nestのカメラや、1台あたり150ドルから200ドルもする同様の高級ブランド製品では、こうしたプライバシーの問題は発生しません。これらの製品の多くは、クラウドベースのストレージ容量が限られているか、大容量です。しかし、これらの製品はすべて、ネットワークへのリモートアクセスを2つの方法で保護しています。ほとんどの場合、機器との安全な接続を使用し、アカウントとパスワードを要求するメーカー製のアプリが必要です。これにより、ドライブバイスヌーピングを防止できます。
しかし、セキュリティやプライバシーよりもアクセスを優先する安価なIPカメラが何千台も存在します。中には大手ブランド製品もあれば、無名の小さな企業が製造したものもあり、箱から取り出した状態ではパスワードの入力を求められず、セットアップウィザードでもパスワードは要求されません。さらに、これらのデバイスの多くは、ビデオストリーミングのセキュリティを確保するために必要な追加作業を行っていません。
これにより、アクセスが2方向から脆弱になります。カメラのIPアドレスが分かれば、誰でも画像を閲覧でき、一部のモデルではパン、スキャン、ズームも可能になり、デバイスの設定変更や破壊も可能になります。セキュリティ要件のないモデルの多くでは、出荷されるすべてのデバイスに同じ管理者名とパスワードが使用されており、「admin」と「admin」といった単純なものも存在します。
もう1つの可能性は、データが暗号化されていないため、同じWi-Fiネットワークに接続できる人なら誰でも、ストリーミング配信されている動画を遠隔で傍受できるということです。幸いなことに、ISPやWi-Fiルーターメーカーは、固有のアカウント情報や、パスワード設定を強く推奨または必須とするセットアッププロセスを備えたハードウェアを出荷するなど、非常に責任ある対応をとっています。また、ほとんどのISPは、Wi-Fiルーターにネットワークパスワードを有効化することを義務付け、または出荷しています。
無防備な IP カメラのランダムで個人的な例: どこかの排水ポンプ。
世界中の何千台もの保護されていないカメラへのリンクを掲載したサイトがあります。Axis、パナソニック、ソニー、Foscam、Linksysなどのメーカー製です。しかし、直接リンクを貼るのは避けたいです。なぜなら、他人の家庭、職場、学校での生活を覗き見する行為を公にし、助長してしまうことになるからです。中には、アクセスが困難な地下室に設置された排水ポンプのように刺激的なものもあれば、明らかに人のリビングや寝室に設置されているものもあります。
ほとんどのISPのIPアドレスは長期間固定ではありませんが、中には長期間保持されるものもあります。しかし、一部のISPは長いサブドメインをマッピングしており、驚くほど正確に位置情報を特定できます。これをGoogleストリートビューや固有のWi-Fiネットワーク名と組み合わせると、一見ランダムに見えるカメラを誰かの正確な位置情報と関連付けられる可能性があります。
ご自身やご友人がIPカメラを設置している場合は、設定を確認する良い機会かもしれません。安全なストリーミングやアクセスができない古いカメラの中には、ファームウェアのアップグレードが提供されているものもありますが、安価な機器の多くは、メーカーが発売後比較的短期間でアップグレードできるわけではありません。メーカーは新モデルをリリースするだけで、古いモデルは廃止されてしまうからです。
すべてが見ている
IoTデバイスへの意識は高まっているものの、安価なIPカメラのメーカーが実務を大きく変えたかどうかは不明です。テストに関する世界的な規制枠組みは存在しません。一部の国では、自宅や職場、あるいは小売店などから録画できる内容に制限を設けていますが、カメラがどこで使用されようとも、録画を目的とした機器の販売に適用される規則は通常ありません。
動画プライバシーに関する法執行のほとんどは、カメラの個人的誤用に関するものです。私の知る限り、消費者の側からセキュリティ対策の強化を求める広範な動きはこれまで一度もありませんでした。FTCなどの機関が小売業者に徹底的な禁止措置を講じさせ、税関でも輸入を阻止しない限り、法執行は事実上不可能でしょう。
だからこそIoTは刺激的なのです。メーカーが一元化された標準規格とテストを持ち、仕様を満たし、デバイスにブランド名を冠することを可能にする団体は、有益な効果をもたらす可能性があります。ハードウェアメーカーは、商標登録された名前、マーケティング上のメリット、そして消費者に自社製品を購入すべき理由を「売り込む」ためのより分かりやすいストーリーを求めています。しかし、これはハードウェア全体の一部に過ぎず、コンソーシアムは批判に真摯に向き合い、デバイスを壊すことなく簡単にインストールできるアップデートを提供する必要があります。
FTCは報告書を発表し、FTCの責任者は2015年1月のCES見本市でこの問題について直接基調講演を行い、エレクトロニクス業界が必ずしも正しい方向に進んでいるわけではないと警告しました。市場の圧力下で製品を出荷したり、非常に低価格で製品を出荷したりすることは、手抜きにつながります。
今後数年間で数十億台ものデバイスがインターネット経由で常時利用可能になると予想されており、たとえすべてを正しく行っていても、何か問題が発生する可能性は十分にあります。自宅に何を購入するかを決める際には、何を購入するかだけでなく、誰があなたを監視しているかについても考慮してください。
