クラウドベースの高機能なネットワーク監視カメラを販売するスタートアップVerkadaのセキュリティが侵害され、15万台以上の監視カメラ映像がリークされていました。
Bloombergによると、Tillie Kottmannと名乗るハッカーは、テスラの工場と倉庫にある222台ものカメラや、ネットワークセキュリティ企業のCloudflareをはじめ病院、警察、刑務所、学校などに設置された監視用ネットワークカメラにアクセスできたとのこと。一部のカメラは、顔認識技術が有効なものもあり、またVerkadaのサーバーに保管された膨大な映像も参照できる状態にされていました。またKottmannとの連絡を撮ることに成功したBloombergの記者はこのうち一部のカメラ映像を実際に確認したと伝えています。
Verkadaは「不正アクセスを防ぐため、社内の管理者アカウントをすべて無効化しました。現在は内部のセキュリティチームと外部のセキュリティ会社がこの問題の規模と範囲を調査中で、法執行機関にも通知済み」だと述べています。
侵入の足がかりになったのはインターネット上に公開されていたカメラで、ハッカーは「Super Admin」でのアクセスに成功したのち、カメラの機能を使ってネットワーク管理者権限とリモートアクセス権限を取得したとのこと。
一方、ViceメディアのMotherboardは以前、Verkadaは以前に従業員が自分の会社のオフィスのカメラを使って女性社員の盗撮をしたり、他人に嫌がらせをしていたことを伝えていました。そして今回は実際にハッカーから、Verkadaの監視カメラを使っている可能性のある2万4000の組織を記した表計算ファイルを入手しました。
Verkadaはウェブサイトで自社の監視カメラが安全にリモート操作できる機能や、カメラが備える高度な顔認識/識別による人物の追跡監視や車両の追跡が可能な「ビデオアナリティクス」機能を宣伝しています。Bloombergは侵入したハッカーが今回の侵入の動機として「人々が日頃どれぐらい監視されているかを暴き、そしてその監視ネットワーク/プラットフォームがその安全性に関してどれぐらい注意も払われず利益ばかり追求しているかを知ってもらいたかった」と述べたと伝えています。
ネットワークカメラを購入した顧客が、デフォルト設定のまま設置、運用してインターネット上に映像を公開してしまっている例というのはこれまでに何度もありました。
しかし今回は、それよりも高度な監視カメラプラットフォームを提供する企業の側が、きちんとしたセキュリティ運用ができていないことを世間に晒されてしまったという、情けない例と言えそうです。
(Source:Bloomberg(1)、(2)。Engadget日本版より転載)
関連記事
・iPhone用通話録音アプリのバグで数千件の通話記録が流出
・全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出
・カリフォルニア州車両管理局がデータ流出を警告、請負業者がランサムウェアに襲われる
・クラウド型ビル運用ツールキット開発のVerkadaが新型コロナ対策で環境センサーを追加