防犯・監視用のウェブカメラがネットで丸見え

防犯・監視用のウェブカメラが、適切なセキュリティ対策がとられていないため、その3割がネット上で丸見えになっていたり、勝手に操作されたりしているそうです。本ページを公開してから10年あまりが経ちますが、いまも適切なセキュリティ対策が行われていないのは残念なことです。

1. 讀賣新聞とトレンドマイクロによる調査（2015年3月）
2. 朝日新聞による調査（2015年3月）
3. ロシアのサイトが監視カメラをハッキング
4. 監視カメラ900台がクラウドサーバーにDDoS攻撃
5. 参考サイト

国内最大手パナソニックでウェブカメラ事業を手がける担当者は、「パスワード設定の必要性が消費者に行き届いていなかった」と語っています。
キヤノンは、ホームページに「意図せぬ他者からのカメラへのアクセスを防ぐための注意事項」と題した情報を掲示。パスワードの設定や変更を呼びかけています。

2014年（平成26年）頃から、ロシアのサイト「Insecam」が、世界各地の監視カメラ約2万8000台について、現地の様子を大まかな座標付でストリーミング配信しています。わが国の約6000台が公開されており、2ちゃんねるなどで話題になっています。
Insecamは、初期設定のID・パスワードを使って、監視カメラの映像を横取りしているのです。

ネットワークセキュリティ機器メーカー Incapsula によると、世界で約900台のネットワーク監視カメラがマルウェアに感染し、ボットネットを構成。感染したカメラは特定のサーバーに対し、合計で1秒間に20,000回もの HTTP Get リクエストを送信する DDoS 攻撃を引き起こしているそうです。

感染したネットワーク監視カメラの多くは、きちんと設定されず工場出荷時のまま使用されていました。
またIncapsula によると、今回の例では感染を広げるために Telnet/SSH を受け付ける同種の機器を検索するため、これらの設定をデフォルトから改めることで、機器の DDoS 攻撃への加担を防止できると呼びかけています。
もし管理者が適切な設定をしていれば、このような問題は発生しなかったと考えられる。ただし根本的には、見つかった脆弱性に対してメーカーがきちんとセキュリティパッチを提供し、さらにユーザーに対し正しい設定方法の告知を徹底する必要がありそうです。

• 公開状態のライブ映像、治療室や寝室も「のぞき見」可能なままに…認証設定「オフ」原因か：讀賣新聞, 2025年（令和7年）11月25日
• 複合機やウェブカメラ、情報家電などにも適切なアクセス制限を：IPA，2015年3月17日
• 意図せぬ他者からのカメラへのアクセスを防ぐための注意事項：キヤノン
• ウェブカメラ、ネットで丸見え3割 パスワード設定せず：なんとなく綴ってみた