Hikvision製のDVRに深刻な脆弱性、IoTデバイスは「90年代のOS状態」

HikvisionのDVRに脆弱性がみつかり、「モノのインターネット」製品に見つかる脆弱性は、90年代のOSやサーバの脆弱性を彷彿とさせると米SANS Internet Storm Center。

» 2014年11月25日 07時40分 公開
[鈴木聖子,ITmedia]

 セキュリティ企業のRapid7は、監視カメラや入退室管理システムを手掛ける中国Hikvision製のデジタルビデオレコーダー(DVR)に、リモートからコードを実行されてしまう脆弱性が複数見つかったと伝えた。パッチはまだ公開されておらず、同社は脆弱性検査ツールMetasploitにこの脆弱性を突くモジュールを追加した。

脆弱性問題を指摘されたHikvision

 Rapid7の11月19日のブログによると、Hikvisionの「DS-7204」などのモデルで、RTSPリクエストの処理コードにバッファオーバーフローの脆弱性が3件見つかった。悪用された場合、リモートの攻撃者にDVRを完全に制御される恐れがあるという。

 Hikvisionの製品には今回の脆弱性のほかにも別の脆弱性が指摘されていたが、Rapid7はこの脆弱性もまだ修正されていないことを確認したとしている。さらに、同社製品のデフォルトの管理者アカウントに「admin」「12345」という安易なユーザー名とパスワードが使われている問題も以前から指摘されていた。

 この問題についてRapid7は2014年9月にHikvisionに報告したが、まだ返答はないという。パッチが公開されるまでは、HikvisionのDVRなどの製品を無防備な状態でインターネットに接続しないようRapid7は呼び掛けている。

 DVRのような「モノのインターネット」を巡っては、危険性を指摘する声も高まっている。米セキュリティ機関のSANS Internet Storm Centerは、「Hikvision DVRのような製品に見つかる脆弱性は、90年代のOSやサーバの脆弱性を彷彿とさせる」と指摘。Hikvisionの製品はさまざまなブランドでOEM製造されており、他のブランドも影響を受ける可能性があると警告した。

関連キーワード

脆弱性 | DVR | セキュリティ


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ