サイバー犯罪者が組織内に設置されたインターネット接続可能なウェブカメラをハッキングし、会議、製造工程、社内研修などを盗聴していると想像してみてください。そして、その人物が入手した情報で何ができるか想像してみてください。まさにこれが、サイバーリスク企業BitSightが想定するシナリオです。
安全でないIoTデバイスに関する新たなレポートで、BitSightは、インターネットに接続されたウェブカメラなどのデバイスを保有する12組織のうち1組織が適切なセキュリティ対策を講じておらず、動画や音声の侵害に対して脆弱な状態にあることを発見しました。具体的には、BitSightが追跡した組織のうち3%が、インターネットに接続された動画または音声デバイスを少なくとも1台保有していました。そのうち9%は、動画または音声フィードが露出したデバイスを少なくとも1台保有しており、第三者がそれらのフィードを直接閲覧したり、会話を盗聴したりすることができました。
ジャンプ先:
- このハッキングによるリスクが最も高い組織はどれでしょうか?
- このサイバーリスク調査ではどのデバイスが分析されましたか?
- なぜデバイスがハッキングされる危険性があるか
- このようなハッキングによってセキュリティにどのような影響が出る可能性がありますか?
- 露出したウェブカメラやIoTデバイスによるリスクを軽減する方法
このハッキングによるリスクが最も高い組織はどれでしょうか?
分析対象となった組織には、ホスピタリティ、教育、テクノロジー、政府機関などが含まれていました。これらのうち、教育分野は最もリスクが高く、4分の1の組織がインターネットに接続可能なウェブカメラなどのデバイスを使用しており、動画や音声の侵害を受けやすい状況でした。
さらに、フォーチュン 1000 企業が最も大きな影響を受けました。これには、フォーチュン 50 社のテクノロジー子会社、フォーチュン 100 社のエンターテイメント企業、フォーチュン 50 社の通信会社、フォーチュン 1000 社のホスピタリティ企業、およびフォーチュン 50 社の製造会社が含まれます。
このサイバーリスク調査ではどのデバイスが分析されましたか?
BitSightが分析したデバイスのほとんどは、インターネット通信にリアルタイムストリーミングプロトコル(RTSP)を使用していますが、一部はHTTPおよびHTTPSプロトコルを使用しています。RTSPを使用すると、ユーザーはビデオやオーディオコンテンツを送信し、フィードの録画、再生、一時停止などのコマンドを実行できます。
本報告書で調査対象となったデバイスの多くはウェブカメラでしたが、分析対象にはネットワークビデオレコーダー、スマートドアベル、スマート掃除機も含まれていました。中には、セキュリティ目的で設置されていたデバイスもありました。
なぜデバイスがハッキングされる危険性があるか
分析対象となったインターネット接続デバイスは、ファイアウォールやVPNの背後に配置されていなかったため、フィンガープリンティングなどの脅威にさらされていました。一部のデバイスは設定が不適切で、中にはユーザーがパスワードを設定していないものもありました。また、セキュリティ上の欠陥を抱えたデバイスも多く、その多くは「安全でない直接オブジェクト参照の脆弱性」と呼ばれる特定のアクセス制御の脆弱性に悩まされていました。
BitSightによると、IDOR脆弱性は近年、より深刻な問題となっている。2022年、BitSightは人気の車載GPSトラッカーに複数の重大な脆弱性を発見した。CVE-2022-34150と名付けられたこの脆弱性により、ハッカーはデバイスにサインインしているユーザーアカウントに関係なく、あらゆるデバイスIDから情報を取得する可能性がある。
少なくとも、動画や音声フィードはアクセス制御によって保護されるべきです。しかし、多くのフィードはアクセス制御が不十分で、攻撃者が動画フィードを閲覧したり、会話を盗聴したりすることが可能でした。BitSightによると、巧妙なハッカーは、公開されたフィードを改ざんして偽情報を拡散することさえ可能だということです。
このようなハッキングによってセキュリティにどのような影響が出る可能性がありますか?
脆弱なウェブカメラやその他のIoTデバイスは、様々な種類の脅威にさらされる可能性があります。攻撃者はプライベートな会議やその他の会話を傍受し、動画や音声フィードを通じて個人情報や機密情報を収集する可能性があります。従業員やその他の人々の実際の位置情報が漏洩する可能性もあります。また、ハッカーは業務関連の活動や会話にアクセスし、企業だけでなく第三者の機密情報を入手することも可能になります。
漏洩した情報は物理的なセキュリティを脅かす可能性があります。BitSightが分析したウェブカメラの中には、セキュリティドアや部屋を制御するものがあり、犯罪者にセキュリティを突破するために必要な情報を提供する可能性があります。さらに、組織全体のサイバーセキュリティが危険にさらされる可能性があります。脆弱なオーディオおよびビデオデバイスへのアクセスは、攻撃者に社内システムやネットワークへの侵入に必要なより多くのデータを提供することになります。
ウェブカメラが脆弱な場所としては、製造施設、研究室、会議室、学校の建物、ホテルのロビーなどがある。
露出したウェブカメラやIoTデバイスによるリスクを軽減する方法
組織がインターネットに接続されたウェブカメラやその他の IoT デバイスによるリスクを軽減できるように、BitSight ではいくつかのヒントを提供しています。
まず、組織内およびビジネスパートナーに導入されているビデオデバイスまたはオーディオデバイスを特定します。次に、これらのデバイスのセキュリティを分析します。
脆弱なデバイスをファイアウォールまたは VPN の背後に配置します。
適切な認証がないデバイスを保護するために、アクセス制御手段を設定します。
ソフトウェアの脆弱性があるデバイスの場合、開発者はパッチを提供するなど、デバイスのセキュリティ対策を講じる必要があります。ベンダーがこれに対応できない場合、または対応しない場合は、別のデバイスやブランドに切り替えるしか選択肢がないかもしれません。
「この調査は、ウェブカメラのような日常的なテクノロジーでさえ、露出されると組織を非常に脆弱にする可能性があることを示しています」と、BitSightの最高リスク責任者であるデレク・ヴァダラ氏はプレスリリースで述べています。「これらのデバイスが組織の攻撃対象領域をどのように拡大させるかを理解し、潜在的な脅威を制限する方法でそれらを導入するための措置を講じることが重要です。」
次に読む:産業用 IoT セキュリティソリューションのトップ 10 (TechRepublic)
