ソニーの防犯カメラ「Sony IPELA ENGINE」シリーズ

ソニーブランドの防犯カメラにバックドアが存在しており、第三者がインターネット経由でカメラを制御できてしまう状態にあったことが分かった。セキュリティコンサルタント会社のSEC Consultが12月6日のブログで明らかにした。

SEC Consultによると、脆弱性はソニーの子会社Sony Professional Solutions（SPS）が企業向けに販売している防犯カメラ「Sony IPELA ENGINE」のシリーズ製品に存在する。影響を受けるモデルは80種類にのぼるという。

この問題を悪用されれば、任意のコードを実行されてカメラを制御され、攻撃の踏み台として利用される恐れもある。カメラの画像や映像を操作したり、Miraiのようなマルウェアに感染させてボットネットのネットワークに組み込んだり、カメラの使用者を監視する目的で使われたりする可能性も指摘している。

SEC Consultのブログ

SEC Consultはコンセプト実証用にバックドアのアカウント名やパスワードなどの情報を公開し、一部の製品でHTTPリクエスト処理用に「himitunokagi」という文字列も使われていたことを明らかにした。

ソニーには10月11日に連絡を取ったといい、11月28日には同社がファームウェアアップデートを公開して脆弱性に対処している。

今回のバックドアについてSEC Consultでは、ソニーが開発段階のデバッグや工場での機能テストなどの目的で意図的に導入したもので、捜査当局による監視などの目的で第三者が仕込んだものではなかったと推測している。ただ、「バックドアの性質や目的、導入時期、修正方法についてソニーに質問したが、返答はなかった」という。

関連キーワード ソニー | カメラ | バックドア | 脆弱性



Copyright © ITmedia, Inc. All Rights Reserved.