ネットワークカメラ「Samsung SmartCam」に脆弱性報告、リモートでコマンド実行の恐れ

セキュリティ研究者が「SmartCam」カメラの脆弱性を突いて、管理者権限でリモートからコマンドを実行できることを実証したとして、詳細情報や実証ビデオを公開した。

» 2017年01月19日 09時04分 公開
[鈴木聖子ITmedia]
photo ネットワークカメラ「Samsung SmartCam」シリーズ。韓国Samsung Electronics傘下のSamsung Techwinが開発していたが、2015年に韓国の複合企業体Hanwha Groupに売却されたことで、社名がHanwha Techwinに変わっている(出典:Hanwha Techwin)

 韓国Hanwha Techwin製のネットワークカメラ「Samsung SmartCam」シリーズ製品の脆弱性を指摘していたセキュリティ研究者が、この脆弱性に関する詳細情報やコンセプト実証ビデオを公開した。

 セキュリティ研究チームExploitee.rsの1月14日のブログによると、同チームは2014年に開かれたハッキングカンファレンスの「DEF CON 22」で、SmartCamシリーズカメラの脆弱性を突いてリモートでコマンドを実行し、カメラの管理用パスワードを変更できることを実証していた。

 しかし、この問題を指摘されたHanwha TechwinがローカルでアクセスできるWebインタフェースを廃止して、Samsung SmartCloudのWebサイトを使わせる措置を取ったことに対してユーザーから不満の声が噴出していたという。このためExploitee.rsでは、このカメラの新しいファームウェアを検証することにしたと説明している。

photo Exploitee.rsのブログ

 SmartCamの設定などに使われていたWebインタフェースは、バックエンドスクリプトのみを残して削除され、Exploitee.rsなどが指摘した脆弱性は修正されているように見えたという。しかし、Webカメラの監視サービス「iWatch」を通じてファームウェアを更新するためのPHPファイルだけはコマンド挿入の脆弱性が残されていて、特権を持たないユーザーがリモートから特権でコマンドを実行できてしまう状態だったという。

 Exploitee.rsでは、この脆弱性を突いて管理者権限でリモートからコマンドを実行できることを実証したとして、詳しい情報を公開している。

SmartCamシリーズのセキュリティ脆弱性を突くコンセプト実証ビデオ

 ネットワーク対応の防犯カメラを巡っては、メーカー各社の製品に相次いで脆弱性が発覚。IoTマルウェアの「Mirai」に感染して大規模攻撃の踏み台にされる事例も報告されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ