キヤノンMJ/サイバーセキュリティ情報局
防犯カメラを設置する前に気をつけたいこと
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「防犯カメラを設置する前に自問自答すべき8つの質問」を再編集したものです。
スマートホームを実現するIoT機器は、利便性と同時にプライバシーやセキュリティのリスクをもたらしている。自宅に防犯カメラを設置する際に気をつけるべき8つの事柄について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
かつては富裕層や有名人のものであった防犯カメラ。技術の進歩とともに、今や誰でも手に入れることができるようになった。IoT(Internet of Things)の出現は、大きな市場を生み出した。インターネットに接続できるインターフォンやベビーモニターなど、家全体を管理できるシステムを手掛けるベンダーが急成長している。自宅のWi-Fiネットワークに接続することで、防犯カメラを通じて、自宅内のライブ映像や録画映像を確認したり、外出時にアラートを受け取ったりすることも可能だ。
しかし、こうしたテクノロジーは、防犯カメラが不正に利用されたり、映像が流出してしまうといった新たなリスクをもたらすものでもある。すべてのベンダーがセキュリティやプライバシーを重視して十分な対策を施しているわけではない。つまり、防犯カメラを利用する前に、ユーザー自身がセキュリティに対して十分に注意を払う必要があるのだ。考慮するべき主要な項目について、以下に解説する。
1. 本当に防犯カメラが必要か?
まず、自宅用の防犯カメラが本当に必要なのか、周りが持っているから欲しくなっているだけなのかを明確にするべきだ。さらに、どのような種類のカメラを購入するべきかを検討する必要がある。例えば、専門家による設置が必要になる完全なCCTVシステムが必要なのか、あるいは、スマートフォンアプリから操作して簡単に起動できるような安価なネットワークカメラが望ましいのか、といった点だ。
2. セキュリティとプライバシーのリスクを認識しているか?
これは極めて重要なポイントだ。防犯カメラは自宅を守るために設置するものだが、実際、知らず知らずのうちに、より大きなリスクにさらされる恐れもある。最悪のケースでは、遠隔地か身近にいるハッカーがライブ映像にアクセスして、家族の様子を盗み見たり、留守かどうかを確認できてしまう。特に恐ろしいのは、こうしたことが起こっているという警告がなされないことだ。
攻撃者が映像へアクセスする方法の1つとして、Wi-Fiパスワードを推測したり、ブルートフォース攻撃を仕掛けたりするなどして、自宅のワイヤレスネットワークへ侵入する手口が挙げられる。また、アカウントのパスワードを破るか推測するかして攻撃するケースや、パッチが適用されていないファームウェアの脆弱性を悪用したりするケースもあり得る。
3. ベンダーのセキュリティ対策を確認したか?
市場には多数の製品が出回っているため、それぞれのベンダーの評判や提供サービスについて調べておくことが望ましい。セキュリティに関心がある人であれば、セキュリティやプライバシーに関して利用者の評価が高く、実績のある製品・ベンダーを選ぶことになるはずだ。
迅速なパッチ適用、強力な暗号化、ログインセキュリティの強化、プライバシーポリシーの徹底などが重要である。また、技術者がシステム導入を担当しなければならない場合、どれほどの権限を与える必要があるだろうか? 米国では、防犯カメラ設置時にメールを設定した技術者が、4年半の間に数百件の家庭を覗き見たという事例も発生している。
4. カメラ映像やデータがどう扱われているか理解しているか?
ベンダーのデータの取り扱いも考慮するべきリスクの1つとなり得る。録画された映像は自宅内のみに保管されるのか、それともベンダーのクラウドデータセンターに保管されるのか把握しているだろうか? 最新の公開レポートによると、アマゾン社の傘下にあるRingは、2021年、顧客の大量の映像を米国政府へ提出していたと発表した。これには、デバイス所有者の同意がないケースも含まれていた。このような方針に不安を覚えるカメラ所有者も少なくないだろう。
2022年2月のRingによる声明
Ringの映像に対する警察のアクセスと、緊急の要請
1. Ringは、ユーザーのカメラ、デバイス、デバイスの所在地、ライブ映像のアクセスを警察に渡していない。2. 警察に映像を提供したいユーザーは、Ringのプロテクトプランに加入し、直接、映像をシェアする必要がある。顧客は、シェアする情報について完全な権限を保有している。
3. ほかの企業と同様、警察から令状などに基づいた要請を受ける可能性があり、Ringは慎重に対応を検討している。Ringの警察向けガイドラインに、警察から情報提供の依頼を受けた際のプロセスについて記載している。
4. 緊急要請はめったにないが、要請された場合は法務部門の訓練を受けた専門家によって十分に検討される。このような場合は、厳しい基準を設け、警察が喫緊の課題を抱え、急を迫られているときのみ、例外対応をとる場合がある。
5. 防犯カメラを保護する方法を知っているか?
セキュリティとプライバシーに関する主要なリスクについて理解したら、デバイスを安全に利用するための方法について学ぶ必要がある。まず、初期設定されたパスワードは、より複雑でユニークなものに変更するべきだ。安全性を高めるために、利用可能であれば二要素認証を常に使用してほしい。
また、デバイスは最新のファームウェアに定期的に更新するべきだ。安全性の高いデバイスを製造し、ファームウェアの更新版を配布しているベンダーを選択することが推奨される。ビデオ映像を遠隔から閲覧する機能を無効化しておくと、攻撃者が不正にアクセスするリスクを軽減し、安心して利用できるだろう。
6. 適切にスマートホームを設定する方法を知っているか?
セキュリティは防犯カメラ自体の設定に限った話ではない。自宅のルーターは、スマートホームのゲートウェイであり、適切に設定されていなければセキュリティリスクをもたらす要因となり得る。同じネットワークに属するほかのデバイスを検出する機能であるUPnP(ユニバーサル・プラグ・アンド・プレイ)とポートフォワーディングは、攻撃者の侵入を許し、スマートカメラに不正侵入される恐れがある。いくつかのアプリケーションやデバイスが動作しなくなる可能性があるが、これらの機能をルーター側で無効化しておく必要がある。
7. 防犯カメラがハッキングされたかどうかを確認する方法を知っているか?
先述のとおり、防犯カメラが乗っ取られたかどうかを見分けるのは難しい。不自然なカメラの動きや、防犯カメラから奇妙な声や音がしたら注意が必要だ。アカウントのパスワードが変更され、突然ログインできなくなったら、ハッキングを疑うべきだ。
また、データ使用量の増加やパフォーマンスの低下にも注意してほしい。見知らぬユーザーによってデバイスが不正侵入されている場合、メモリーやCPUが使われてしまうため、カメラの動作が遅くなることがある。ただし、単にインターネット接続が遅くなったことで発生した現象の可能性もあり、確実な確認方法とは言えない点には留意してほしい。
8. 他者に対する影響を理解しているか?
自宅に防犯カメラを設置することは、自身のセキュリティやプライバシーだけに関わる問題ではない。所有地の外にいる人々の姿をカメラがとらえている場合、近隣住民のプライバシーにも抵触し得るのだ。GDPR(欧州一般データ保護規則)に従うと、これら隣人のプライバシーも尊重しなければならない。不法侵入のリスクを軽減するよう防犯カメラを配置しながらも、近所の人には防犯カメラが設置されているとわかるようにしておきたい。英国政府が優れたガイドを配布しているので参考にしてほしい。
防犯カメラなどのホームセキュリティ製品を購入する前に考慮するべきことはたくさんある。どんな買い物でもそうであるように、できるだけ事前に調べておくと良いだろう。
[引用・出典元]
8 questions to ask yourself before getting a home security camera by Phil Muncaster 3 Oct 2022 - 11:30 AM
https://www.welivesecurity.com/2022/10/03/8-questions-ask-yourself-getting-home-security-camera/