埼玉県上尾市と千葉県八千代市で河川監視カメラに不正アクセス
こんばんは。昨日、河川監視カメラに不正アクセスがあったというニュースがありました。こちらはScanNetSecurityの記事からです。
こちらは埼玉県上尾市の河川監視カメラです。「インターネット経由で不正アクセスされた」「パスワードを設定していたが、侵入者に解析された」とあります。
さて、河川監視カメラ設置の際にどの程度のセキュリティ対策を施していたのでしょうか?疑問が残ります。Webカメラを買ってきて、そのまま単純にインターネット接続回線に接続したのではないか?と思えてきました。(まさかの剥き出し?)
そして、こちらは千葉県八千代市の事例です。こちらも同様に河川監視カメラに苦不正アクセスされました。
こちらはインターネットを通じて一般公開しているとあります。こちらの場合も単にWebカメラを直接インターネットに接続したのではないかと推測してます。
「Webカメラをインターネット接続すればしまいやな♪」と深く考えずに設置したのではないでしょうか。職員が自力で取り付けたのか、ベンダに依頼したのかはこれだけではなんとも言えませんが…。
こちらはロイターの記事からです。既に60台以上のWebカメラに不正アクセスがなされているようです。この記事からは「販売元のキャノンが悪い」とミスリードされかねませんが、この場合はキャノンに罪はありません。初期パスワードのまま設置して、インターネット接続するというのは論外ですよね。
ScanNetSecurityの記事にもありますように、「パスワードが解析され」というようなことはなく、単に初期パスワードを試したら当たったというだけの話だろうと思います。マニュアルを入手すれば分かるでしょうから、設定してないのと同義ですね。
これでは行政側の責任を問われるのは不可避ではないでしょうか。初期パスワードのまま使っていたというのは論外です。安全にWebカメラの映像を公開するためには、最低限のネットワーク構成でFWを設置して、リバースプロキシ経由でWebカメラを守るとかいうような発想で構築しなかった責任は問われそうです。このWebカメラを踏み台にされていたら…と思うと背筋が寒くなります。地方自治体は情報セキュリティに関してもうちょっとちゃんと考えましょうよと。