BitSight Technologiesは6月10日(米国時間)、「40K Security Cameras Found Compromised Online|Bitsight」において、インターネット接続された40,000台以上のカメラからライブストリーミング映像が流出していると報じた。

同社は2023年にも数千の組織が保有するカメラ映像が流出しているとして調査レポートを公開しているが、2年以上経過した現在も状況に改善がみられないとして、2025年最新の調査レポートを新たに公開した。

日本は公開されているカメラの台数2位

インターネット接続されたカメラの中には、公共利用を目的としてあえて画像を公開しているデバイスも存在する。その大半はデバイスへの直接アクセスを許可しておらず、一定間隔で取得したスナップショット画像を公開するなど、セキュリティや通信帯域に配慮した運用が行われている。

今回BitSight TRACEチームが実施した調査では、このような安全面に配慮した公開情報ではなく、HTTPまたはRTSPなどの通信プロトコルを介して直接カメラから映像を取得できる公開デバイスの調査が行われている。

この最新の調査で発見されたデバイス数は40,000台以上。国別の統計では米国が約14,000台で最も多いことが確認されている。次いで日本、オーストリア、チェコ、韓国の順で多数のデバイスが発見されており、世界中でライブストリーミング映像を流出している実態が明らかになった。

  • 国別の公開カメラデバイスの分布図 - 引用:Bitsight

    国別の公開カメラデバイスの分布図 引用:Bitsight

脅威アクターも興味を示す

BitSightは公開カメラに関するダークWebフォーラムの実態調査も行っている。そこでは公開カメラの発見方法、悪用ツール、戦術などの議論が行われ、一部では不正アクセスを販売するフォーラムも存在したという。

不正に入手した映像をどのような目的に使用しているのかは定かではないが、自宅やオフィス、工場、病院などの機密情報が流出している可能性がある。このような脅威を回避するために、同社は次のような対策を推奨している。

  • インターネットからカメラにアクセスできるかどうかを調査する。スマートフォンのキャリア回線や、仮想プライベートネットワーク(VPN: Virtual Private Network)を介したアクセスを確認し、アクセスできる場合は公開している可能性がある
  • デフォルトのユーザー名とパスワードを変更する。取扱説明書に記載のパスワードなどは公開されていることが多く、これらデフォルトのパスワードは使用しない
  • リモートアクセスを制限する。外部からカメラ映像を確認する必要がない場合は、アクセス制限を実施する
  • 最新のセキュリティアップデート情報を定期的に調査して、ファームウェアを最新の状態に維持する

前回の調査報告から2年以上経過しているが、依然としてライブストリーミング映像の流出が続いている。その映像が公共の福祉にかなうものであれば問題はないが、プライペート空間などセキュリティリスクのある映像の流出が確認されている。

脅威アクターはそのような映像の入手を狙っており、脅迫などの被害につながる可能性がある。インターネットに接続しているカメラの管理者には、定期的に外部からのアクセスの可能性について調査、対策することが望まれている。