タモのブロマガ

話題のPanasonic製ネットワークカメラの設定を検証してみた

2016/01/20 23:40 投稿

  • タグ:
  • #セキュリティ

【更新】2016/1/21 Panasonic お知らせ記事の追加

皆様お久しぶりです。

丁度タイムリーな話題がありまして、手持ち機器がありましたので簡単に説明の上、検証してみます。

1.話題について(インターネット公開と不正アクセス)

ネットワーク機器は、特に意識しないで接続している方が多いと思います。
閉じたネットワーク(ご家庭内など)であればよくあることです。

しかし、ちょっと設定を間違えば…全世界に公開している状態になってしまいます(!)
その状態で、「アクセス制御(ユーザー名・パスワード等)」が無い場合、誰でも中のコンテンツやデーターを見ること(閲覧)が可能です。
「アクセス制御」が無い状態での閲覧は、不正アクセスにもなりません。
(詳細は「不正アクセス行為の禁止等に関する法律」を参照ください)
※後述しますが、アクセス制御があるサイトで、正当な理由・権限がないのにユーザー名・パスワードを入力して閲覧してしまった場合には、簡単なユーザー名・パスワードの組み合わせでも、法に触れます。ご注意を。

少し前には「SHODAN」というサイトで色々なものが見れてしまう(特に複合機など)ことが問題視され、IPAなどからも注意が出ておりました。
【注意喚起】インターネットに接続する複合機等のオフィス機器の再点検を!

先日、IT速報 というサイトで以下のような情報がありました。

"日本ではPanasonic製のカメラが覗き見られているもよう。中には銭湯の脱衣所などもあり、セキュリティー意識の低さが物議に。"(引用:IT速報 当該記事

元記事はTechCrunchのこの記事でした。
世界中の無防備なWebカメラを見せるInsecam…パスワードに無関心なアドミンが多い
なぜ2014年11月の記事が話題になったか、は謎ですが…

その文中にはこんな記載もありました。
"わざわざ弱いパスワードを使ってWebカメラを一般公開でストリーミングする理由は、どこにもない。ITの連中は、8台のCCTVをセットアップする時、標準の”admin/12345″で楽をしたいと考えるかもしれないが、その怠慢に付け入るのは簡単だ。公開データにアクセスしても犯罪ではないから、プライバシーを守りたかったら、カメラのマニュアルをちゃんと読んで、まともなパスワードを使おう。" (引用:TechCrunch 当該記事

…はい、賢明な皆様にはもうお解りだと思いますが、上記の状態は「アクセス制御」されている状態となり、いくら簡単なユーザー名・パスワードの組み合わせでも「不正アクセス」となってしまいます
原文を翻訳したから仕方がないのですが、これは日本の場合、法に触れます!
皆様もご注意下さい。

2. Panasonicのネットワークカメラ 設定検証

上記記事を見て… あれ?コレ持ってるww

というわけで、検証してみましょう!

検証に使うのはこちらの2機種
Panasonic KX-HCM1(有線LANのみ)
Panasonic KX-HCM170(屋外設置型 無線LAN対応802.11b)



かなり古い機種(ネットワークI/Fが10Base-Tだったり)ですが、初期のPanasonic製監視カメラとしては売れた機種だった、と記憶しています。
動画は勿論ですが、一定時間毎に静止画をFTPアップロードする、外部デジタル入力(センサー)でのトリガー機能など、がありました。
因みにWebサーバー機能内蔵、IEでActiveXが必要だったり、と当時の最先端でしたねー(遠い目)
開発は当時の九州松下が行っていたようです。

ではKX-HCM1より
・セットアップ
 ネットワークを繋いで付属CD-ROMを入れ、セットアップをしてあげます
 (懐かしいパターンですね)
 セットアップではIPアドレス設定等と、利用帯域幅の設定が可能です

・メニュー画面
 すごく…シンプルですね!
 
 ここから、それぞれの画面に移動できます
 今回はアクセス制御の設定を確認したいので、3. 設定画面 に移動します

・設定画面
 左側に一通りの項目が並び、右側にその内容が表示されるパターンです
 
 念のため、一度「工場出荷時」に戻しておきました。ついでにファームウェア更新も行っておきました(最終バージョン 1.83)

 アクセス制御 は「管理者」メニューになります
 
 …デフォルトで認証なし、ですか(´・ω・`)


 (´ヘ`;)ウーム…


はい、じゃ次いきましょー!

KX-HCM170を起動し、こちらも工場出荷時に戻して、ファームウェア更新を行っておきます
(殆どKX-HCM1と同じなので省略します ファームウェアも1.83と同じバージョン)

・メニュー画面
 ほぼ変わらず
 

 例によって 3.設定画面 に移動します。
 

 アクセス制御は「管理者」メニュー。さて…
 
 …やはり、こちらもデフォルトで認証なし、でしたね(´・ω・`)
 ※下のユーザー名・パスワードは管理者アカウント名・パスワードの設定のみです
  「一般ユーザー」画面で通常ユーザーの追加・削除はできます


ちょっと不安なので、Panasonicさんのサイトに利用者への注意などあるかどうか、見てみましょう。
…ありました!
ネットワークカメラ | オフィス・通信 | 商品情報[法人] | Panasonic
の右側に注意文PDFへのリンクが!
(画像右下:「カメラ、レコーダーなどへの不正アクセスにご注意ください」)

リンク先PDFのプロパティを見ると、2015年3月17日、となっていますので、SHODANなどが表沙汰になった後に注意文をリリースされたようですね。



3. まとめ
検証した2台においては、工場出荷時設定ではユーザー名・パスワードが無しでも閲覧可能だったため、その他のPanasonic ネットワークカメラも近い設定かと思われます。
監視カメラでも肖像権などのトラブルも想定されるため、なるべくユーザー認証を設定すべきでしょう。
また、Panasonicの警告にもあるように、その他のセキュリティ機器を活用して安全にアクセスできるようにするべきです。

【追記 1/21 21:00】
Panasonicさんのサイトに改めて注意が掲載されました。
インターネット経由でご使用になるネットワークカメラには必ず独自のパスワードを設定してください。
内容としては以下の3点です。
  • 「ユーザー認証」を「ON」にしていただく。
  • お客様が独自で決められたID/パスワードを設定していただく。
  • 初期ID/パスワードを削除していただく。
必ず実施しておきましょう!

コメント

コメントはまだありません
コメントを書き込むにはログインしてください。

いまブロマガで人気の記事