パスワードを忘れた? アカウント作成
13380381 story
セキュリティ

自宅に設置したネットワークカメラがサイバー攻撃されて乗っ取られるトラブルが発生? 82

ストーリー by hylom
どう対処するのがよいのだろう 部門より

ネットワーク接続監視カメラがサイバー攻撃を受けて乗っ取られるというトラブルは以前より多数発生しているが(過去記事1過去記事2)、過去記事3)、恵安製のネットワークカメラを導入したところ、カメラが勝手に動いてそこから不審な「鼻歌」が聞こえてきたという話が話題になっている

実際にこのカメラの脆弱性を検証した結果も公開されているが、脆弱性のあるファームウェアが使われており外部からの攻撃を受ける可能性があるという。また、このファームウェアはほかの製品でも使われており、ほかメーカーの製品でも同様の攻撃を受ける可能性もあるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by minet (45149) on 2017年08月15日 20時30分 (#3261589) 日記

    ネットにカメラを繋がない。
    いや、それが一番。
    だってほんと、カメラなんて繋いでないウチのWebサーバーに対しても、カメラを探す不審なアクセスがちょいちょい来るんだから。

    • by Anonymous Coward on 2017年08月16日 2時06分 (#3261734)

      ネットワーク経由で見たいと言う需要があるからネットワークカメラな訳で。ネットに繋がなかったら目的を果たせません。
      必要な目的があって使っている物を、使わなければ良いって言うのは、「事故に合わないための対処⇒外出しない」って言うのと同じレベルです。

      親コメント
  • このカメラ、たしかにスピーカーがついてるみたいなんだけど、何に使うんだろう……

    • by Anonymous Coward

      この手の商材の広告ではよくこう謳われています
      「自宅でお留守番中のペットにお声かけできます」
      「侵入者に声で威嚇できます」

  • by Anonymous Coward on 2017年08月15日 20時47分 (#3261599)

    Raspberry Piに、そこらの家電量販店のカートで投げ売りされてるWebCAM繋げば、全く同じことが比べものにならないほど安全に、かつ効率よくできるのに、一体どうして恵安のIPカメラなどという怪しいことこの上ない製品を買うの?

    しかもこれ高くね?
    最大で720pでしか使えないくせしてAmazonで\5,475って、Raspberry Pi ZeroにカメラモジュールとSDカードつけて買ってもお釣り来るじゃん
    じょうよわさんなの?

    • Re:いつも思うんだが (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2017年08月15日 20時52分 (#3261600)

      そんなこと言ってるから周りからバカにされるんだよ

      親コメント
      • by Anonymous Coward

        こっちに一票。全く同感。

    • Re:いつも思うんだが (スコア:3, すばらしい洞察)

      by Anonymous Coward on 2017年08月15日 22時52分 (#3261675)
      それには

      ・Raspberry Piという商品が売られていることと、それが何でどこで買えるか知っている
      ・パソコンなど、プログラミング環境を構築するためのハードウェアを持っている
      ・コンパイラをインストールするなど、プログラミング環境を構築できる技術がある
      ・プログラムを作るための言語に関する知識がある
      ・現在契約しているインターネット周りのサービス内容を知っている
      ・ネットワークに関する知識がある
      ・カメラ等の画像処理に関する知識がある
      ・セキュリティに関する知識がある

      といったあたりの前提条件があってはじめて高い安いが言えるのでは。

      留守の間のペットが心配なのでカメラ設置したいけどインターネットっておいしいんですか的な人が上記条件をクリアしようとすると、100倍の金額を使っても難しいような。
      なんとか最低ラインをクリアしたとしても「設定するとなぜか動かなかったので、全ポート開放してパスワード無しにして使ってます」というオチが待っている展開に。
      親コメント
      • by Anonymous Coward

        これ位、知識がある人ならセットアップにかかる時間仕事したら、カメラの代金位かるく超えますし。
        自分で作れる物を買うって事は時間を買うって意味でもあるのを元コメの人は理解していないように思えますね。

    • by manmos (29892) on 2017年08月16日 14時24分 (#3261971) 日記

      はいはい、逸般人逸般人。

      親コメント
    • by Anonymous Coward on 2017年08月15日 21時10分 (#3261615)

      いいたいことはよく分かる。自分で構築したほうが安全なものができるからね、下のTorの説明のようなものが。

      ただ、日本人全員がRaspberrypiを知ってるというわけではない。実際、ラズパイの話をしたら
      「え、パイを作るんですか?美味しそう」なんていう反応をする人がいる(実話)

      技術レベルに満たない知識で機械を触る人は、この国に大勢いるので、そういった人にも買ってもらえるような
      製品を作らないと会社が続かない。それに消費者側も、安いものしかかってくれない。

      だから、こういったセキュリティを度外視した、価格の超安い商品が日本に出てくるわけ。

      親コメント
      • by Anonymous Coward on 2017年08月15日 21時37分 (#3261635)

        > いいたいことはよく分かる。自分で構築したほうが安全なものができるからね、下のTorの説明のようなものが。

        そのTorをわざわざ使ってる説明のコメは「わざわざ面倒と危険を増やしてる駄コメ」なんだけどねぇ
        それもわからないレベルなのにセキュリティ語らないほうがいいよ

        仮に外出先での端末がAndroidなら、L2TP/IPSECを話せるVPNルータなりPCなりを自宅に置いときゃいい
        そこをすっ飛ばしていきなりTorになってる時点で、
        いわゆる「イタい素人Tor馬鹿、どんな悪さしてるガキなのやら」としかスラドでは認識されない

        親コメント
      • by Anonymous Coward

        >自分で構築したほうが安全なものができる

        自分の目の届かない場所で24時間運用させる電子機器は
        できる限り無難なメーカーの市販品使うことにしてる。
        バラック組に毛が生えた程度の代物使って、何かのはずみで火でも噴いたら困る。
        趣味で楽しむ分にはいいんだけど、DIYは自己責任だからなあ。

        まあでも、恵安のは買わんかな。

    • by Anonymous Coward

      >全く同じことが比べものにならないほど安全に、かつ効率よく
      同じじゃない。安全はあるかもしれないので効率よくはない。

      売られているネットカメラはなんの設定もなく外部からスマホでアクセスできるの怖いよね。

    • by Anonymous Coward

      おまえラズパイすら知らないだろ?
      ちょっとPCの技術ある人でもなかなか使いこなせないぞ?
      #だからおもしろいんだけどね。

      •  NikkeiBPによると監視カメラ向けのmotionEyeOS [nikkeibp.co.jp]というのがあるらしい。
         基板を接続できて、起動用SDカードを作ることができれば監視カメラは作れますね(これで画像認識までできるなら手を出したい・・・)。
         先達の努力のたまものでそれなりに動くものを作るのは難しくないんだけど、Raspbeery Piで難しいのは信頼性、それもハードウェアの信頼性のような気がする。
         私の感想だけど、無人の環境で電気入れっぱなしにしておいて安全なのかが不安。私が持っているのはRaspberry pi3二台なんだけど、本体のみでも推奨の2.5A対応アダプターを使っていても電力不足になるし、なんか電力関係の信頼性に不安が・・・(Physical Computing製の3.0A対応アダプターにしたら電力問題は解消したけど・・)。
         それに基板自体の発熱も結構大きいし、基板の冷却をそれなりに考えないといけないと思うんだよね。
        親コメント
        • by Anonymous Coward

          玄人志向も監視カメラとかロボットカーのキットを出してるみたい。
          こういうの使えば自作PC感覚で電子工作を楽しめるのかな。
          http://www.kuroutoshikou.com/product/others/others_iot/ [kuroutoshikou.com]

        • by Anonymous Coward

          画像認識ってのが、動体検知の事であれば、「動きを検知」って記載されているから対応しているんじゃ。

          後、GUIに拘らなければ、Motionって監視カメラ向けのアプリ(動体検知で録画してくれる)があって、Debion系だったらパッケージが用意されているので簡単に使えますよ。(WEBカメラのIPと取得方法、認証系の情報ぐらい設定すれば動く)

          #自分が試したのはRaspbeery Piではなく、Debion系を採用しているNASだけど、監視カメラに使う分には問題ないレベルで動作しましたね。

          •  こんばんは。
             うちの庭で積雪時に花壇でUターンするタクシーとかいたんで、車両認識してアラートできる防犯カメラとかほしいなぁと思ってます。
             (OpenCVで作れ、と言われそうなのはわかっているんだけど)

            /*ラズパイで実用品を作るとなると、拡張機器を含めて安定して電力供給できる電源、冷却も考慮済みのケースといったあたりをクリアするのが難しいですね。
            */
            親コメント
      • by Anonymous Coward

        そして、出来合いのOSの中にBOTを仕込まれているという未来w

    • by Anonymous Coward

      これだからいつも原価厨って言われるんだよ

    • by Anonymous Coward

      ラズパイ使ってれば安全!みたいに書いてるけど、
      セキュリティリスクから見れば大差ないんじゃないの?

      大体この手のIoT機器を買ってつなぐ人の大半はネットワークセキュリティなんて
      理解してないし、アップデート?なにそれ美味しいの?的な人も多い訳で。

      初期セットアップから廃棄までメンテナンスなんてせずに放置するのがデフォだから
      ラズパイセットアップ後にアップデートもせず放置すればセキュリティ的には大差ない気が。

      #世の中みんなギークでもなければナードでもないし、オタクでもなければマニアでもない。
      #ちょっと便利で格安な物を見つけたら何も考えずにネットにつなぎ、家電並みに
      #初期設置・設定したら壊れるまで使うのです。

    • by Anonymous Coward

      Pi Zeroがいくらの見積り何だろう。まさか、ワンコインで買えるとかを真に受けてる?
      国内だとPi3も真っ青な値段で売られてると思うが。

      で、自分の労働がタダってのはいかんよ。仕事じゃないにせよ、それをやらなければその時間を他に使えたわけで損失はあるのだから。
      でも、最大の問題はケースがないってことだよ。ズームやパンチルトできるカメラを収めるケースもコミで6000円しないなら格安だろ。

    • by Anonymous Coward

      じょうきょう気取ったつもりが、フルボッコにされててクソワロタ。

    • by Anonymous Coward

      rasbianやNOOBSのソースコードをちゃんとチェックしたことある?
      バイナリをいきなり入れてるけど、身元が確かか確認できてる?

      中国製のカメラとどっちがアレかっていうと微妙だな。

      Rasberry pi zero にカメラモジュールを接続して使ったことないだろ?
      使ったことがあるなら同じことができるなんて言わないだろうしな。

      情弱は誰だ?

  • ネットカメラを外から使ってるので書いてみます。参考になれば。
    Windowsのネットブックに、安いUSBカメラをつないでネットカメラにしています。
    ソフトはLiveCapture2。

    外から見れるようにしてますが、今のところ無問題です。じゃあ、どうやってそれを実現しているのか。
    「Torネットワーク」を使ってます。正式名称はTor Hidden Service(以下、THSという)。
    Torのみからしか接続できないサービスを運用できます。
    更に、以下のようにHidAuthを設定して接続元を限定できます。

    Android(OrFox⇒Orbot)---あぶない☆いんたーねっと---自宅のネットカメラPC(Torサービス⇒LiveCapture2)

    Orbotのtorrc:
    HidServAuth mylivecapture.onion MySecretTokenKey

    自宅Torのtorrc:
    HiddenServiceAuthorizeClient stealth MyDroid01

    メリット:
    1. 通常のインターネット(クリアネットという)網からTHSへは直接接続できないので安心。
    2. HidServAuthの設定により、このスマホからしか接続できないので安心。

    ↑詳しくは https://www.torproject.org/docs/tor-manual.html.en [torproject.org]

    (別にVPNでもいいんだけど、VPN管理者が裏切ったりする可能性もなくはないので、THSでサーバ運用しています)

    • by Anonymous Coward on 2017年08月15日 21時18分 (#3261623)

      自宅のインターネット端点のルータでIPsecを話すようにしたらしいんじゃないの?
      なんかズレてると思うよ。
      自前の端末よりTorの方が優れている点は無いだろう。

      親コメント
    • Re: (スコア:0, すばらしい洞察)

      by Anonymous Coward

      なんか勘違いしてるみたいだけど、
      スラドだと自宅の自前VPNルータでL2TP/IPSEC張ってる人なんていくらでもいる
      わざわざTor通す必要もないどころかわざわざ危険を増やしてるだけ

      もし「ぼくのさいきょうのなつやすみのじゆうけんきゅう!!」を自慢したいなら某巨大掲示板にでもいって構ってもらっててください

    • by Anonymous Coward

      >外から見れるようにしてますが、今のところ無問題です。
      >じゃあ、どうやってそれを実現しているのか。

      市販のネットカメラはつないだら即外からみることが可能です。

    • by Anonymous Coward

      ダークウェブのサイトでも摘発されたりしてるけど、あれ、Torでネットワーク接続は匿名化しててもサーバの運用がヘボだったってケース多いみたいね。
      Tor使ってても、サーバが勝手にどっかに普通に通信しちゃったりしたら、そりゃね。

      で、このカメラそういうとこ大丈夫なん?

    • by Anonymous Coward

      おのれのような阿呆がいるから踏み台が絶えんのだよ
      セキュリティのセの字から学び直して
      隔離ネットワークで過ごしてなさい

      # むしろセクロスのセの字から学んで足洗ったほうがいいかもしれん

  • by Anonymous Coward on 2017年08月15日 21時00分 (#3261607)

    ウェアラブルデバイスも同じようにネットワーク側からクラックされる事件が増えてくるでしょうね

    たとえばAppleWatchのようなデバイスの場合、
    (売る側の都合ではなく、現実的な利用者の利用期間において)
    どのくらいの期間セキュリティアップデートを提供し続ける必要があるのか?
    というのは興味があります

    とりあえず手元にある3万円以上の腕時計は、
    どれも10年くらいは使ってきていますので
    そのくらいは当然セキュリティアップデートを続けるんですよね?
    と期待しますがさてどうなるのでしょうか

    もし数年で切り捨ててくるとしたら、
    (今回の話の場合では、仮に)AppleWatchなんて単なる消耗品ということになってしまいますから、、、

    • by Anonymous Coward

      スマートウォッチはバッテリーの消耗が普通の時計(ソーラー+充電池タイプ)よりも激しいから
      ハード的にも10年も持つと思えない

      • by Anonymous Coward

        > スマートウォッチはバッテリーの消耗が普通の時計(ソーラー+充電池タイプ)よりも激しいから
        > ハード的にも10年も持つと思えない

        バッテリーの劣化の話をしているのであれば、

        1:腕時計の世界で言えば電池は交換して使うのが常識ですよ
        それもできないならまさに使い捨ての消耗品ですね

        2:腕時計が何本かあり用途ごとに使い分けるのも一般的です
        ウィークデー用とか、スポーツ時用とか
        仮にAppleWatchの話とすると、
        週末のスポーツや私用外出の際のみ使用という人も多くおり
        (実際周囲でいまだにAppleWatchを使っている人はほぼこのパターン)
        このような人の場合にはバッテリー負荷の蓄積は少なく
        リチウムイオンバッテリーとしても10年くらいは普通に持ちます

        ハード的に10年持つか?といえばバッテリー負荷が低ければ実際に持つでしょうし、
        そこそこ負荷の高い使い方をする人のところであっても
        腕時計であるならバッテリー交換して使い続けることができてしかるべきです

        • スマートウォッチは使い捨ての消耗品ですがなにか?
          ウォッチと名前に入ってるけど、あくまでスマホの周辺機器。
          ソフトウェアのサポートが終了した時点が製品寿命です。

          #アレを機械式やクォーツ式の腕時計と一緒にする方がどうかしてる。

          親コメント
    • by Anonymous Coward

      セキュリティアップデートが必要な製品は「高い物買ったんだから当然長く使えますよね」という考え方はあてはまらないと思います。
      消耗品だと思っておいた方がいい。
      値段の高いメーカー製の一番グレードの高いパソコンを買ったからといって、10年も20年も使えませんよね。
      それと同じことです。

      • by Anonymous Coward

        つまり腕時計としては安物消耗品ってことだね

        ところで手元のC2D+メモリ4GBのノートPCはそろそろ10年になるなぁ、、、今日も快適そのものだ
        たしか当時のメーカーラインナップの上位は30万円レベルのときの10万円程度のラインナップだったんだが

        • by Anonymous Coward

          さすがにスマホに完敗のカクモサを快適と言うのは無理がある
          ようつべの動画ですら重い

          • by Anonymous Coward

            > さすがにスマホに完敗のカクモサを快適と言うのは無理がある
            > ようつべの動画ですら重い

            こういう必死なiPhone信者を見ると、
            ああこういう連中が人生を無駄にしているからこそ恵まれた側の人間が快適に人生を謳歌できるのだなとよくわかりますね

    • by Anonymous Coward

      最近の安い腕時計(3万程度じゃ安い部類)は、ほとんどソーラーになってて、10年なんて持たないと思うけど。

      電池交換(蓄電池交換)もメーカ修理行きで1万以上かかるしで、よっぽど思いいれがない限り、使い続けられる物じゃなくなっているよ。

  • どうせ初期パスワードが全端末共通でroot/passwordとかそのへんになってるんでしょう。
    だから見放題になってる。メーカーや網軍に監視されているというより中国人のおもちゃにされてるだけ。
    というかこの製品はかっちゃぁダメでしょう。中国だからではなくこのメーカーだからです。このメーカーは品質を大きく犠牲にしてそこそこ安くするタイプのメーカーです。
    動物電源のメーカーといえばわかってもらえるだろうか。

    • by Anonymous Coward

      設計が素直そうなので、hackには向いてるかもですが。
      ただし中古で。情報が集まるようになってからで十分。

    • by Anonymous Coward

      買ってハニーポットとして観察日記をつけたら楽しそうじゃん?

      • 8/16日 Webカメラを買って設置する。
        8/20日 Webカメラが部屋の中を見回すようになった。
        8/22日 Webカメラが一点を凝視する様になった。ふーんアレに興味があるのか。
        8/24日 アレを見開きにして放置してみた。
        8/27日 Webカメラが喜んでいるように見える。
        8/30日 Webカメラと目が合った、慌てて視線を逸らす仕草がなんかかわいい。
        8/31日 消化試合(夏休みの自由研究)はこれで終了。お疲れ様。

        親コメント
  • by Anonymous Coward on 2017年08月16日 3時01分 (#3261744)

    いつも見放題な自宅ネットワークカメラを利用して、ある日、既に録画された別の日(1週間前とか1年前とか)のデータをその日の映像として流して…(中略)
    弁護士「匿名の方から事件当日のセキュリティに問題のある被告人宅のネットワークカメラ映像が送られてきたので、証拠として提出いたします。」
    ざわざわ…

    • by Anonymous Coward

      > 既に録画された別の日(1週間前とか1年前とか)のデータをその日の映像として流して…

      「ビデオテープの証言」ですな。

      # 最近、何かの記事でビデオテープ(VTR)なんてもうないよ、ってネタがあったな

  • by Anonymous Coward on 2017年08月16日 3時26分 (#3261749)

    の短編の世界が実現するとは。

    ありとあらゆる画像が家で見られるので引きこもってしまうという。

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...