監視カメラ|脆弱性

f:id:alienware:20150306172031p:plain

今週から二週間の間、中国共産党にとって非常に重要な行事である「両会」が開催されてます。
※両会=「全国人民代表大会」、「中国人民政治协商会议」

このような会合が開催される直前は何か「予想外」の事件が発生することを、当局は最も忌み嫌うので、各種規制が強化され、さも戒厳令が敷かれたようなピリピリした空気になります。

そんな最中、2つの事件が起こりました:
①中央テレビ元キャスター、柴静氏主演の「雾霾调查:穹顶之下」ビデオメッセージ公開
②監視カメラ大手H社、地方警察本部より脆弱性が存在することが指摘される

 

この2件の事件の毛色からして、「予想外」なわけではなく、むしろ「想定内」=大いなる意思のもと、意図的にこの時期を選んで公開されたことが推測されます。

①に関しては大変大きな社会現象となりましたが割愛し、ここでは②のみ説明させていただきます。

 

f:id:alienware:20150306171458j:plain

 

 大手監視カメラ会社 H 社
監視カメラ最大手の H 社。

H 社は中国セキュリティ業界で最大の上場会社であり、2001年に中国電子科学技術集団第52研究所からスピンアウトしました。主力製品である監視カメラは社会安全・交通監視・金融現場など大変広く使用されております。

2008北京オリンピックや2010上海万博で大量に製品を採用された実績があり、グローバルセキュリティ雑誌A&S 2014の世界トップ50企業でも堂々と3位入りを果たしており、中国だけでなく世界的なシェアを誇り、 日本でも恐らくそれなりの数が入ってきていると思われます。中国国内で上場しており、株価も勿論ぐんぐん右肩上がりで順調に上昇しております。

f:id:alienware:20150306185307j:plain

 

近隣警察本部よりとばっちり

 そんなさなか、2月27日に地方警察本部である江蘇省公安廳(江蘇省警察本部)から以下のような通知文書が出されました:

《关于立即对全省****监控设备进行全面清查和安全加固的通知》
訳文:全省における H 社監視設備に対し直ちに全面チェック実施及びセキュリティ強化に関する通知

 

内容を簡単に要約すると:江蘇省CERT(JSCERT)より通知されたインシデントにより、江蘇省各機関で使用してる該当監視カメラ設備に重大なセキュリティ・ホールが存在することがわかり、一部の設備は国外IP(攻撃者)にコントロールされていることがわかった。各組織は直ちに所管該当監視カメラシステムに対しチェックを実施し、セキュリティ強化を行い、セキュリティホールに対処すべし。

 

のようなものでした。

※江蘇省CERT(JSCERT):中国CNCERT麾下に属する31の地方CERTの一つ、江蘇省政府通信管理局がCERT業務を兼務。
http://www.jscert.org.cn/page/index

 

江蘇省警察本部は該当する麾下組織部門に、3月10日までに全てのH社監視カメラ製品のリスク評価・問題対処を行い、パスワードは8桁以上のものを使用し、脆弱性にパッチを当て、データ&プロセスを精査し必要に応じシステムにアンチウイルスソフトのインストールを要求しました。

H社関係者によると今回の問題は監視カメラのデバイス初期パスワードが非常に簡単なものであったことが重大な要因のひとつです。

 

f:id:alienware:20150306170752p:plain

H社の対応は、投資関係者用のWECHATアカウントにてこの事件の事実存在を確認し、緊急対処チームを現場に派遣したと説明。ユーザへの告知としては、「製品ベンダーがセキュリティ問題を重要視することに加え、ユーザ側でもセキュリティ意識を高める必要がある」とやんわりとユーザ側の責任も述べていました。

そして3月1日、H社は公式発表を行い、監視カメラがサイバー攻撃を受けた状況を説明し、2014年8月より攻撃を受け、直ちにパッチ作成などを行い、2014年9月には既に公安に被害届を出したと説明。なんか後追いで説明をしている感じですね。
 

株価への影響

株価が影響され、2日は一時取引停止になりました。3日には再開しましたが、同社はいろいろと対応や説明に追われてました。

ネット上では、、石油大手の中石化(SINOPAC)社が既に、2014年12月にH社製品を一時的に購入取引停止した、との通知を出したとの情報が流れました。

 

f:id:alienware:20150306171109p:plain

 

だいぶ前からいろんな脆弱性がみつかっている

脆弱なデフォルトパスワード設定や、RTSPリクエストを処理する際のオーバーフロー、更にリモートでコードが実行される脆弱性など、実はだいぶ前からいろんな脆弱性が見つかっております。(CVE-2014-4878、CVE-2014-4879、CVE-2014-4880)

H社はこの件に関して顧客に通知し、パッチを当てたり対策をするよう催したとされますが、そもそも把握できなくリーチできない顧客や、脆弱性が存在する事自体分からない顧客が沢山いるとされ、課題はまだまだあるでしょう。

 

なんでお得意先の公安から?

今回で一番の不可解な点は、H社の一番大手顧客である、警察からのとばっちりであったという点に私は着目しました。H社は警察に製品を納入しているだけではなく、共同ラボや研究開発も盛んに行っており、いわば兄弟のような間柄でも過言ではなく、足を引っ張られる覚えはないはずです。

f:id:alienware:20150306191057j:plain

※H社本社所在地は浙江省であり、アリババと共に優良企業として浙江省の誇りとなっております。今回通達を出した江蘇省公安廳(江蘇省警察本部)はとなりの自治体です。中国では自治体、とりわけ北京から遠いほど、自治体政府の独立性が強まる傾向があります。古くから言う「封疆大吏」そのものです。

海外の一部メディアでは、共産党内で既に粛清された周氏とH社社長の親しい関係が原因で、当局によるH社への警告サインなのではないか、の見解もあります。さもありなんですね。

 

実は製品がOEM?

H社は「自家製こだわる」を全面的に打ち出しておりますが、噂ではOEM元は別会社だとか。事実だとしたら、自家製はソフトウェア部分だけになりますので、脆弱性が見つかった時の対応能力などに大きく影響していると思われます。

 

このように、中国ではサイバーセキュリティでさえも、背後の政治力学への理解なくして本質を正確に見抜くことはできないことが、再び示されました。