数万台のカメラが11か月前に発見された重大なCVEの修正を怠っており、数千の組織が危険にさらされています。
新たな調査によると、現在世界中で8万台以上のHikvision製監視カメラが、11か月前に発見されたコマンドインジェクションの脆弱性にさらされています。
Hikvision(正式名称:杭州海康威視数字技術)は、中国国有の映像監視機器メーカーです。同社の顧客は100か国以上(2019年に米連邦通信委員会がHikvisionを「米国の国家安全保障上、容認できないリスク」と認定したにもかかわらず、米国も含む)にわたります。
昨年秋、Hikvision製カメラにおけるコマンドインジェクションの脆弱性がCVE-2021-36260として公表されました。この脆弱性はNISTによって「重大」とされ、10点満点中9.8点の評価を受けました。
この脆弱性の深刻さにもかかわらず、そして発覚からほぼ1年が経過した今も、8万台以上の影響を受けたデバイスが未修正のまま残っています。その間、研究者たちは「コマンドインジェクションの脆弱性を利用してHikvisionカメラを攻撃しようと協力者を募るハッカーの複数の事例」を発見しており、特にロシアのダークウェブフォーラムでは漏洩した認証情報が販売されています。
すでにどれほどの被害が発生しているかは不明です。報告書の著者らは「MISSION2025/APT41、APT10およびその関連組織、さらに正体不明のロシアの脅威グループなどの中国系脅威グループが、これらのデバイスの脆弱性を利用して自らの目的(地政学的な動機を含む可能性あり)を達成する可能性がある」と推測するにとどまっています。
IoTデバイスにおけるリスク
このような話を聞くと、ソフトウェアの修正を怠る個人や組織に怠慢のレッテルを貼りがちですが、話はそれほど単純ではありません。
Cybraryの脅威インテリジェンス上級ディレクター、デイビッド・メイナー氏によれば、Hikvision製カメラはさまざまな理由で、しかも長期間にわたり脆弱な状態にありました。「同社の製品には、簡単に悪用できるシステム上の脆弱性が存在するか、さらに悪い場合はデフォルトの認証情報が使われています。攻撃者が排除されたかどうかを検証したり、フォレンジック調査を行ったりする良い方法がありません。さらに、Hikvisionの開発サイクルにおいてセキュリティ強化の兆候も見られません。」
この問題の多くは業界全体に根付いたものであり、Hikvisionだけの問題ではありません。「カメラのようなIoTデバイスは、スマートフォンのアプリのように簡単・確実にセキュリティを確保できるとは限りません」と、Comparitechのプライバシー擁護者ポール・ビショフ氏はメールで述べています。「アップデートは自動ではなく、ユーザーが手動でダウンロード・インストールする必要があり、多くのユーザーはその通知すら受け取らないかもしれません。さらに、IoTデバイスはユーザーに対して、未修正や未更新であることを何も知らせてくれない場合があります。一方、スマートフォンはアップデートが利用可能になると通知し、次回再起動時に自動でインストールされることが多いですが、IoTデバイスにはそのような利便性はありません。」
ユーザーが気付かない一方で、サイバー犯罪者はShodanやCensysのような検索エンジンを使って脆弱なデバイスをスキャンできます。ビショフ氏が指摘するように、「Hikvisionのカメラは出荷時にいくつかの決められたパスワードが設定されており、多くのユーザーがこれらのデフォルトパスワードを変更しない」という事実も、怠慢によって問題をさらに悪化させています。
脆弱なセキュリティ、不十分な可視性や監督体制のもと、これら数万台のカメラがいつ、あるいは本当に安全になるのかは不透明です。
翻訳元: https://threatpost.com/cybercriminals-are-selling-access-to-chinese-surveillance-cameras/180478/