5月22日午前、VietNamNet紙が情報通信省情報セキュリティ局と共同で開催したセミナー「監視カメラのためのネットワーク情報セキュリティ基本基準」において、国家サイバーセキュリティ協会技術部長でNCS社テクニカルディレクターのヴー・ゴック・ソン氏が、ネットワークセキュリティの観点から監視カメラに関する見解を共有しました。ソン氏は、カメラは「聞く」「見る」「考える」(AIと統合されている場合)ことができ、観察した物体や空間を検知できるため、特別なコンピューターとみなせると述べました。カメラは決して電源を切らず、24時間365日オンライン状態にあり、パッチ適用はほとんど行われず、パッチやウイルス対策ソフトウェアによる更新もほとんど行われません。そのため、攻撃を受けた場合、誰も守ることができません。

W-VietNamNetによる監視カメラの基本的なネットワークセキュリティ基準に関する議論(1).jpg
国立サイバーセキュリティ協会技術部門長、NCS社テクニカルディレクターのヴー・ゴック・ソン氏。写真:レ・アン・ドゥン

VNPTテクノロジーのグエン・ヴィエット・バン副社長も同様の見解を示し、カメラは小型でシンプルであるものの、光学式、放送用(Wi-Fi)、LANといった複雑な構成要素から構成されていると述べた。こうした2つのネットワークインターフェースを備えることで、カメラは情報収集デバイスとして機能する。家の中に設置されたカメラは、まるでオペレーティングシステムを搭載したコンピューターのように、音声と映像を記録し、まるで家の中にもう1人の人間がいるかのように静かに稼働している。そのため、脆弱性があれば、カメラデバイスは情報を完全に外部に漏洩してしまう可能性がある。

W-VietNamNetによる監視カメラの基本的なネットワークセキュリティ基準に関する議論(2).jpg
VNPT Technology 副社長、Nguyen Viet Bang 氏。写真: レ・アン・ズン

監視カメラはこれほど普及し重要なデバイスであるにもかかわらず、ユーザーは監視カメラの情報セキュリティ保護について依然として認識が不足しています。専門家のヴー・ゴック・ソン氏は、カメラシステムに対する最近の大規模な攻撃について言及しました。2023年には、多くのHikvisionの顧客がカメラを視聴する際に、画面にハッカー攻撃の警告メッセージが表示されました。注目すべきは、メーカーがパッチを提供していたにもかかわらず、ハッカーが2021年に存在した古い脆弱性を利用してHikvisionカメラを攻撃したことです。

ベトナムでは大規模な攻撃は発生していないものの、状況は深刻です。2020年のベトナムの調査によると、パスワードが更新されていないカメラの数は最大70%に達しました。2023年には、一部のハッカーがベトナム国内のカメラへのアクセス権を販売し、そのシステムは最大10万台のカメラで構成されていました。アクセス料もわずか80万ドン(約150万円)と、わずか15台のカメラへのアクセスにとどまっています。

ヴー・ゴック・ソン氏は、カメラの情報セキュリティを脅かす主な原因として6つを指摘しました。具体的には、ユーザーが脆弱なパスワードを設定すること、パスワードを共有すること、FacebookやGoogleなどの他のアカウントを使用してカメラシステムを管理することなどが挙げられます。技術者から引き継ぎを受けた際にパスワードを変更しないこと、カメラにゼロデイ脆弱性があること、パッチを更新していないこと、ストレージサーバーに脆弱性がありハッカーの攻撃を受けていること、分散化が不十分であること(例えば、建設部門と情報を共有したにもかかわらず、権限を失効させていないことなど)などが挙げられます。

W-VietNamNetによる監視カメラの基本的なネットワークセキュリティ標準に関する議論.jpg
情報通信省情報セキュリティ局担当副局長、トラン・ダン・コア氏。写真:レ・アン・ドゥン

この問題について、情報通信省情報セキュリティ局のトラン・ダン・コア副局長は、一般ユーザー、特にベトナムユーザーのネットワークの安全性とセキュリティに関する意識が依然として低いと述べた。リスクを認識し、パスワードの変更やパッチ適用の必要性を認識しているにもかかわらず、多くの人が関心を示さず、実際に実行していない。情報通信省は、監視カメラの基本的なネットワーク情報セキュリティ要件に関する基準を策定する際に、この点に着目した。情報通信省は5月7日、この基準を公表した。

専門家のヴー・ゴック・ソン氏によると、監視カメラがハッキングされた場合、ユーザーは深刻な結果に直面することになる。家庭にとってまず問題となるのはプライバシーの侵害であり、次にプライベートな画像や機密性の高い音声、その他の犯罪行為を理由に脅迫されるリスクが続く。例えば、ハッカーは監視カメラで収集した画像や音声を用いてディープフェイクを作成し、詐欺に利用することができる。また、遠隔監視されるというリスクもある。

そのため、監視カメラによる情報セキュリティ損失やデータ漏洩のリスクを回避するために、Vu Ngoc Son氏はユーザーに対して次のような推奨事項を提示しています。つまり、出所が明確なカメラを選択し、 ビデオの保存場所とデータセキュリティポリシーをユーザーに告知する必要があります。引き継ぎ後はすぐにパスワードを変更し、二要素認証を使用します。適切な設置場所を選択し、機密性の高い場所への設置は避け、重要なエリアには標準的なカメラを設置し、重要な情報漏洩を回避し、アクセス構成を最小限に抑える必要があります。定期的に監視し、パッチを更新します。

トラン・ダン・コア氏によると、ユーザーに意識とスキルを身につけてもらうためには、自分自身と組織の保護についても意識する必要があることを周知徹底させる必要があるとのことです。まず、ユーザーはデバイスのパスワードをデフォルトパスワードではなく変更する必要があります。また、デバイスをどこに設置するか、そこに置く必要があるかどうかも判断する必要があります。