**********************************************

https://www.bbc.com/news/technology-65975446

 

ハッカーが監視カメラを制御できるようにする技術上の欠陥

2023年6月26日12時GMT

BBCパノラマより

取材チーム

 

 

　中国製の監視カメラは英国のオフィスや大通り、さらには政府の建物にも設置されており、パノラマはこの2つのトップブランドに関わるセキュリティ上の欠陥を調査した。 それらをハッキングするのはどれほど簡単か? それは私たちのセキュリティにとって何を意味するか?

 

　ロンドンにあるBBC放送局内の暗いスタジオで、男性がラップトップの前に座ってパスワードを入力している。

 

　何千マイルも離れた場所で、ハッカーが入力内容をすべて監視している。

 

　次に、BBC 職員は携帯電話を手に取り、パスコードを入力した。 ハッカーもそれを手に入れた。

 

　中国企業Hikvisionが製造した天井の監視カメラにセキュリティ上の欠陥があり、攻撃に対して脆弱になったことを意味する。

 

　「そのデバイスは今私が所有している。これでやりたいことは何でもできる」とハッカーは言う。 「無効にすることもできる。または、BBC で何が起こっているかを見るために使用することもできる。」

 

　ありがたいことに、この男が監視されていることに感謝し、ハッカーは BBC と協力している。これは、一部の中国製監視カメラのセキュリティをテストするパノラマの一連の実験の一環である。

 

　Hikvision と Dahua は監視カメラの世界有数のメーカーである。

 

　英国の通りにどれだけのユニットが並んでいるのかは誰も知らない。

 

　昨年、プライバシー保護運動団体「ビッグ・ブラザー・ウォッチ」はその解明を試みた。 2021年8月から2022年1月にかけて、英国全土の公共団体に4,510件の情報公開請求を提出した。 回答した 1,289 件のうち、806 件が Hikvision または Dahua のカメラを使用していることを確認した。227 の議会と 15 の警察が Hikvision を使用し、35 の議会が Dahua を使用している。

 

　Hikvision カメラは多くの政府機関の監視にも使用されている。ロンドン中心部のある日の午後、パノラマは国際貿易省、保健省、保健安全局、DEFRA、陸軍予備センターの外でカメラが設置されているのを発見した。

 

　セキュリティ専門家らは、カメラがコンピュータネットワークに大混乱をもたらすトロイの木馬として利用される可能性があり、ひいては社会混乱を引き起こす可能性があると懸念している。

 

　英国の監視カメラ委員である教授フレイザー・サンプソンは、電力供給、輸送ネットワーク、生鮮食品や水へのアクセスなど、国の重要なインフラが脆弱であると警告している。

 

　「これらすべてのことは遠隔監視に大きく依存しているので、それに干渉する能力があれば、安価に遠隔から騒乱を引き起こすことができる」と彼は言う。

 

　北京で働いていた元外交官、英国王立防衛安全保障研究所（RUSI）のチャールズ・パートンもこれに同意する。「私たちは皆、若い頃にトリノ全体を信号機で停止させるイタリア人の仕事を見たことがあるだろう」. まあ、当時はフィクションだったかもしれないけど、今は違うだろうね。」

 

　Hikvisionはパノラマに対して、同社は独立した企業であり、英国の国家安全保障に対する脅威ではないと語った。

 

　「Hikvisionは、世界のどの政府に対してもスパイ活動に関連した活動を行ったことはなく、今後も行うつもりはない」と同社は述べ、「同社の製品は厳格なセキュリティ要件の対象であり、当社が事業を展開している他の国や地域も同様であるが、英国の適用法と規制に準拠している」と付け加えた。

 

　パノラマは、監視技術の世界有数の権威である米国に本拠を置く IPVM と協力して、Hikvision カメラをハッキングできるかどうかをテストした。 IPVM は、BBC スタジオにインストールされているものを提供した。

 

　パノラマ はセキュリティ上の理由から BBC ネットワーク上でカメラを実行できなかった。そのため、ファイアウォールがなく保護がほとんどないテスト ネットワーク上にカメラを配置した。

 

　パノラマ がテストしたカメラには、2017 年に発見された脆弱性が含まれている。IPVM ディレクターのコナー・ヒーリーは、これを「Hikvision が自社製品に組み込んだバックドア」と説明している。

 

　Hikvisionは、同社のデバイスにはこの欠陥が意図的にプログラムされていなかったと述べ、問題を認識した直後にこの問題に対処するファームウェアアップデートをリリースしたと指摘している。 パノラマのテストは現在稼働しているデバイスを代表するものではないと付け加えた。 しかし、コナー・ヒーリーは、世界中でオンラインにある 10万 台以上のカメラが依然としてこの問題に対して脆弱であると述べている。

 

　パノラマ のハッキング実験が始まる中、コナー と IPVM のリサーチ エンジニアのジョン・スキャンランは、ペンシルベニア州の本社でラップトップの後ろに座っている。

 

　許可なくコンピュータ システムをハッキングすることは犯罪である。そのため、パノラマはその方法の詳細をすべて提供していない。

 

　ヒーリーとスキャンランはまず放送局内のカメラの位置を特定し、次に放送局の警備を攻撃し始めた。

 

　次に、ヒーリーが制御を掌握するまでにかかる時間を計算した。 わずか 11 秒後、スキャンラン は「現在、そのカメラにアクセスできるようになった。」と発表した。

 

　ラップトップを使用しているパノラマの従業員も含めて、スタジオ内を見ることができるようになった。

 

　「キーボードをズームインすると、パスワードを入力するために彼が押しているキーがはっきりとわかる」とスキャンランは言う。

 

　「これは、鍵屋があなたの家の鍵を渡し、そのコミュニティ内のすべての鍵のマスターキーを秘密裏に作成するのと似ている。事実上、Hikvision のエンジニアが行ったことである。」

 

　Hikvision は、「同社の製品には『バックドア』はなく」、この欠陥を意図的にプログラムされたものではないと述べている。 さらに、デバイスを使用しているほぼすべての地方自治体は、今よりずっと前にカメラを更新していたであろうと考えていると付け加えた。

 

　次に、ハッカーは 2 番目のテストを開始した。それは、Dahua のカメラを制御するソフトウェアに侵入して、Dahua のカメラにアクセスするというものであった。

 

　IPVM の本社には 2 台のテストカメラが設置されている。 ハッカーが成功すれば、監視カメラのネットワーク全体を乗っ取る可能性がある。

 

　すぐに彼らはソフトウェアの脆弱性を発見した。「さあ、行こう」とヒーリーは言った。

 

　現在、彼らはシステム内にいるため、カメラを使用して盗聴することができる。

 

　「これらのカメラについて多くの人が気づいていないのは、その大部分がマイクを備えているということである。ユーザーはマイクをオフにすることがよくあるが、ハッカーが再びマイクをオンに戻し部屋を盗聴するのは事実上簡単だ」とヒーリーは説明した。

 

　Dahua 社は、昨年末にこの脆弱性を認識したとき、「直ちに包括的な調査を実施」し、「ファームウェアのアップデート」を通じて問題を迅速に修正したと述べた。

 

　同社はまた、同社は国の支援を受けておらず、同社の機器が英国の重要なインフラに干渉する可能性はないと述べた。 さらに、「これらの申し立ては虚偽であり、ダーファテクノロジーとその製品について非常に誤解を招くイメージを与えている」と付け加えた。

 

　しかし専門家らは、英国は監視カメラ委員長の教授サンプソンが「デジタルアスベスト」と呼ぶものから自国を守るためにさらなる努力が必要だと主張している。

 

　「私たちには前世代がこの装置を設置していたが、その主な理由は、安価で、仕事をやり遂げることができたということである」と彼は言った。 「私たちは、これには重大かつ本質的なリスクがあることに気づいた。それでは、どうすればよいのか?」

 

　Hikvision と Dahua を信頼するかと尋ねると、彼は「少しも信用していない」と答えた。

*********************************************

仮訳終わり

 

 

　空から気球で電波傍受。コンピュータはこのようなワームソフトを使ってスパイ行為。

 

　で、このDahuaの回答

"These allegations are untrue and paint a highly misleading picture of Dahua Technology and its products."

「これらの申し立ては虚偽であり、ダーファテクノロジーとその製品について非常に誤解を招くイメージを与えている」

 

　中国政府の回答と全く同じ言い回しですね。

 

 

 

Hikvisionとは次のとおり

*********************************************

　ハイクビジョン（簡体字中国語: 杭州海康威视数字技术、英: Hangzhou Hikvision Digital Technology Co., Ltd.）は、中華人民共和国浙江省杭州市に本社を置く防犯カメラ及びレコーダー企業。中国電子技科集団（中国語版）（通称：CETC）の子会社が所有する企業である。アメリカ合衆国商務省産業安全保障局によるエンティティ・リストの掲載企業である。

*********************************************

引用一部　一部改変（行頭一文字空け、文献番号削除）

 

 

 

Dahuaとは次のとおり

*********************************************

　ダーファ・テクノロジー（Dahua Technology）、浙江大華技術として知られる、浙江大華技術股份有限公司（浙江大华技术股份有限公司）、略称では大華股份（大华股份）ないし大華技術（大华科技）は、中華人民共和国杭州市に本拠を置く監視カメラ設備などを扱う企業で、2015年の時点でこの分野における世界第2位の市場占拠率をもっている。

*********************************************

引用一部　一部改変（行頭一文字空け、文献番号削除）