ウェブカメラの脆弱性はウェブセキュリティの標準に近づけることで対処すべきである

　先週の週末×（2014年1月23日～）○（初出は、2016年1月21日のNHKの報道）にかけて、ウェブ上の（防犯）カメラ映像が誰でも見られる状況になっているというニュースが数局で報道されたと記憶している。今回の報道は、明らかに、設置時のサービスレベルが低いことを示唆するものであり、製品そのものに起因する問題ではないことを示唆していた。ただし、ウェブ上では、日本企業（とみなされる企業）のカメラが名指しで覗き見できる機種として取り上げられている。BBCでは、過去、脆弱性を有するカメラの製造企業の担当者が出演して脆弱性に対する説明を加えている。この点は、見習われるべきであろう。

Breached webcam and baby monitor site flagged by watchdogs - BBC News
http://www.bbc.com/news/technology-30121159

　本件脆弱性への基本的な視座については、過去、『JUSRIリポートNo.45』（2010）において、それなりに言及したつもりである。その考え方とは、ウェブカメラのセキュリティは、ウェブセキュリティの標準に収斂させていくほかないというものである。実のところ、私は、同報告書において、このような覗き見に対する防御策の一つとして、暗号鍵が有効に機能しうる点を取り上げ、群馬大学グループの「e-自警」が暗号鍵を実装している点を評価した。今回、問題となったウェブカメラには、そのような機能が搭載されていないようである。当時から現在に至るまでの技術の根幹は、さほど変化していないので、本記事において、同報告書に格別に付け加えることはない。

　ここ10年の防犯カメラ界隈の構図は、業界団体が存在し、一定以上の品質のカメラを推奨しているものの、「安かろう悪かろう」でアフターサービスなしのウェブカメラに押されているというものである。本来、製品の機能は、サービスまで含めて評価されるべきであるし、顧客もそこまで評価できるだけの才覚を備えるべきである。ウェブカメラを防犯目的で購入する者は、ウェブカメラが室内の状況を外部に流出させ、犯罪機会となり得る、というリスクに対する認識を持つべきである。ユーザビリティに係る業界の標準的認識は、サービス業者まで含めた総合的な体験を評価の対象に含める。警備業界の大手企業では、従業員がサービスの主要部分を担う以上、総合的にサービスを評価するという視点を備えているように見受けられるが、カメラ製造企業を単独で見れば、向上の余地があるということであろう。

　本来ならば、公的組織が低質なサービスを排除できて然るべきであるし、その作業に資するだけの冷静な議論が学術界にも存在して然るべきであるが、いわゆる左派の研究者も「にわか」の研究者も防犯カメラをオワコンとみなしている気配がある以上、こうした脆弱性が表れてはそのままとなるという話は、日本社会が今後もこのまま続くのであれば、今後も継続する宿命にあるものと思われる。焼き畑農業は、わが国のマスコミだけでなく、わが国の研究業界にも存在する風潮である。この刹那的傾向は、国民一般のリスクへの認識力をかえって弱める働きを有してはいないか。専門外のリスクを新たに研究しようとする学術関係者は、各種のリスクを横断的に衡量した上で、自身の行動を正当化できるか否か、検証する必要があろう。（興味を持ったからというのは理由としてありだが、謙虚に先行研究を収集すべきであろう。）

　かくして、低廉なウェブカメラの脆弱性を手当てする体制は、防犯カメラ業界の側から供給されることはない。とすれば、IoTなどという話題の範疇、つまりウェブセキュリティ標準の中で対処してもらうほかない、というのが私の結論である。そのときは、必ずカメラのID（個体識別性）が問題に含まれることになるので、自然と解決が図られることになるであろう。問題は、そこに映り込む人物の肖像権であり、その人物の撮影に対する了解の度合いとなろう。


＃ちなみに私は、研究業務に参入してから、犯罪予防を常にターゲットとしている。本ブログで福島第一原発事故に対する言及が多いのは、史上最大規模の企業犯罪であり、組織犯罪であり、潜在的被害者数も史上最大クラス、おそらくスターリンや毛沢東の指揮した虐殺を上回る規模となることが懸念されるためである。

平成28（2016）年2月23日追記

遅まきながら、本件は、最近ありがちの国際関係に起因する報道でもあることに気が付いた。報道記事が専ら参照していたサイトは、他サイトを挙げて、「パスワードのかかっていないサイトを登録している」旨を主張している。他サイトのドメインは、.io（イギリス領インド洋地域）であり、登録申請者はフランス在住である。他サイトについて触れる日本語のマスメディアは、私の見た限りでは存在しなかった。今回の報道は、サイバー○○の流行に棹さしたものであると見るのが妥当であるので、そのノリの都合上、特定国に対する色眼鏡をかけさせようとする動きが存在することは、わが国の報道機関の特性上、致し方ないことではある。ただし、今回の脆弱性の責任は、純粋に国内問題である点に注意すべきである。

　今回の話題沸騰は、NHKの報道が契機となったようである。NHKは、報道機関らしくなく、ウェブ記事のアーカイブを公開しないため、後追いで確認することが難しい。そこで、リンクをGoogle検索したところ、溝口誠一郎氏のプレゼンテーションという御託宣が下された。これでめでたく、今回の流行発信者がNHKの報道であることが確認できた（ということにしておく）。

溝口誠一郎(KDDI研究所), (2016/Feb/8). IoT時代のセキュリティについて考える
http://kiai.gr.jp/jigyou/h27/PDF/0128p1.pdf

News Up ネットで丸見え？防犯カメラ（1月21日18時57分）
http://www3.nhk.or.jp/news/html/20160121/k10010380631000.html

監視カメラ覗き見？　パスワード未設定が原因か : 科学 : 読売新聞（YOMIURI ONLINE）
http://www.yomiuri.co.jp/science/goshinjyutsu/20160122-OYT8T50085.html

　ITジャーナリストの三上洋氏は、次のように解説している。

この監視カメラサイトは以前から２ちゃんねるなどの掲示板で取り上げられていたが、２０１６年１月になってニュースサイトが取り上げたことから、新聞やテレビでも報道されている。
（...略...）
一部のメディアはこのサイトについて「初期パスワードのままで使っている監視カメラを覗き見しているようだ」と書いているが、そうではなく、最初からパスワード無しの筒抜け状態になっている監視カメラが多いと筆者は考えている（すべてをチェックしたわけではないので断言はできないが）。

 　報道からおおむね一ヶ月を経過したので、後追いしてみたが、3000件程度にまで減少している。依然としてトップの方にも、公開されることを前提としていないカメラが6割程度、上がってくる状況ではある。6089（おーぷん２ちゃんねる）→3242（筆者調べ）なので、公開を前提としたカメラを除き、過半のカメラは、閉鎖されたということであろう。この点、報道に一定の価値があったと言うことは可能であろう。