ITmedia NEWS > セキュリティ >
ニュース
» 2012年01月27日 07時48分 UPDATE

ビデオ会議システムのセキュリティ問題に研究者が警鐘――産業スパイに利用される恐れも

侵入者が外部からビデオ会議システムのカメラを操作して、パスワードを盗み見したり、社内の会話を傍受できたりする恐れがあるという。

[鈴木聖子,ITmedia]

 企業などが導入しているビデオ会議システムの多くはセキュリティ対策に不備があり、設定の甘さを突かれれば、外部から不正アクセスされて重要情報が流出する恐れもあるという。セキュリティ研究者がブログで調査結果を紹介し、対策を促した。

 この問題は、脆弱性検証ツール「Metasploit」の創設者であるHD・ムーア氏がセキュリティ企業Rapid7のブログで指摘した。ビデオ会議システムの多くがファイアウォールを経由せずにインターネットに接続され、外からかかってきたビデオ電話に自動的に応答する設定になっていることが分かったとしている。

 ムーア氏の調査では、ビデオ会議システムで一般的なH.323プロトコルを利用しているシステム25万台について調べた。その結果、約5000台が外から入ってくるビデオコールを自動的に受信する設定になっていることが判明。全体ではインターネットに接続されたシステム15万台がこの問題の影響を受ける計算になるという。それに加えてH.323だけでなく、telnet、Web、FTP、SNMPなどを使ったシステムも危険にさらされる可能性があるとしている。

 この問題を悪用して外部から侵入すれば、ほとんど気づかれることなく音声と映像の情報を傍受できてしまうとムーア氏は指摘する。同氏の調査では、会議システムに搭載されたカメラから、6メートル離れた場所にある付箋(ふせん)に記された6けたのパスワードを読み取ったり、廊下で交わされている会話を聞くことができてしまったと報告。侵入者がカメラを操作して画面を拡大したり角度を変えたりして、PCを操作しているユーザーのキー入力を盗み見し、パスワードを入手できる可能性もあるという。

 ムーア氏によると、ビデオ会議システム大手Polycomの製品の大部分は、初期設定で自動応答機能が有効になっているという。一方、ソニーやCiscoのTandberg、LogitechのLifesizeといった製品の初期設定ではこの機能が無効になっているようだとしている。この問題を見つけ出すため、Metasploitに搭載されているスキャナモジュールを使えば、自動受信に対応したH.323対応のシステムを検出できる。

 こうしたビデオ会議システムは企業の役員室や弁護士事務所の相談室、ベンチャーキャピタル企業、研究施設などに設置されていることも多い。「センシティブなビジネスを手掛ける組織にとって重大な危険を伴うにもかかわらず、そのことはほとんど知られていない」とムーア氏は述べ、産業スパイなどにも利用されかねないと警鐘を鳴らしている。

関連キーワード

ビデオ会議 | セキュリティ | 情報流出


Copyright© 2017 ITmedia, Inc. All Rights Reserved.