5月22日午前、VietNamNet紙が情報セキュリティ局(情報通信省)と共同で開催したセミナー「監視カメラのための基本的なネットワーク情報セキュリティ基準」において、国家サイバーセキュリティ協会技術部長でNCS社のテクニカルディレクターのVu Ngoc Son氏が、ネットワークセキュリティの観点から監視カメラについての見解を共有しました。カメラは聞く、見る、考える(AIと統合されている場合)、観察した物体や空間を検出することができるため、特別なコンピューターとみなすことができると彼はコメントした。カメラは決してオフにならず、24時間365日オンラインであり、パッチが適用されることもほとんどなく、パッチやウイルス対策ソフトウェアによる更新もほとんどありません。したがって、攻撃を受けた場合、守る人が誰もいなくなります。

W-VietNamNetによる監視カメラの基本的なネットワークセキュリティ基準に関する議論(1).jpg
Vu Ngoc Son氏、国家サイバーセキュリティ協会技術部門責任者、NCS社のテクニカルディレクター。写真:レ・アン・ドゥン

VNPTテクノロジーの副社長であるグエン・ビエット・バン氏も同じ見解で、カメラは小型でシンプルだが、光学、放送、WiFi、LAN部品などが含まれており複雑であると述べた。このような 2 つのネットワーク インターフェイスがあれば、カメラは情報を収集するデバイスになることができます。家の中に設置されたカメラは、オペレーティングシステムを備えたコンピューターのようになり、音声を録音したり写真を撮ったりして、まるで家の中に別の人がいるかのように静かに動作します。そのため、脆弱性があれば、カメラデバイスは情報を完全に送信することができます。

W-VietNamNetによる監視カメラの基本的なネットワークセキュリティ基準に関する議論(2).jpg
VNPT Technology 副社長、Nguyen Viet Bang 氏。写真:レ・アン・ドゥン

これほど普及し重要なデバイスであるにもかかわらず、監視カメラの情報セキュリティを保護する意識はユーザーにまだ十分にありません。専門家のVu Ngoc Son氏は、大型カメラシステムに対する最近の攻撃について言及した。 2023年、多くのHikvisionの顧客は、カメラを閲覧しているときに画面にハッカー攻撃の警告メッセージを受け取りました。注目すべきは、メーカーがパッチを提供していたにもかかわらず、ハッカーが2021年の古い脆弱性を利用してHikvisionカメラを攻撃したことだ。

ベトナムでは大規模な攻撃は起きていないが、状況は非常に憂慮すべき状況だ。 2020年にベトナムで行われた調査によると、パスワードが更新されていないカメラの数は最大70%に上りました。 2023年、一部のハッカーがベトナムのカメラへのアクセスを販売したが、そのシステムには最大10万台のカメラが含まれていた。視聴費用も手頃で、15台のカメラにアクセスするのに約80万VNDだけです。

Vu Ngoc Son氏は、カメラの情報セキュリティ損失につながる6つの主な原因を指摘しました。つまり、ユーザーは弱いパスワードを設定し、パスワードを共有し、Facebook、Google などの他のアカウントを使用してカメラ システムを管理します...技術者から引き継ぎを受けるときにパスワードを変更しないでください。カメラにゼロデイ脆弱性あり。パッチ更新はありません。ホスティング サーバーに脆弱性があり、ハッキングされる。緩やかな権限委譲。たとえば、建設部門と共有した後で権限を取り消さないなど。

W-VietNamNetによる監視カメラの基本的なネットワークセキュリティ標準に関する議論.jpg
情報通信省情報セキュリティ局担当副局長トラン・ダン・コア氏。写真:レ・アン・ドゥン

この問題について議論した情報通信省情報セキュリティ局の担当副局長トラン・ダン・コア氏は、現在、ネットワークの安全性とセキュリティに関する一般ユーザー、特にベトナム人ユーザーの意識はまだ限られていると述べた。リスクを認識し、パスワードを変更し、パッチを更新する必要があるにもかかわらず、多くの人は気にせずそれを実行しません。これは、情報セキュリティ部門が監視カメラの基本的なネットワーク情報セキュリティ要件に関する基準を構築する際に重点を置いた点です。 5月7日、情報通信省はこの基準を発表しました。

専門家のヴー・ゴック・ソン氏によると、監視カメラが攻撃された場合、ユーザーは深刻な結果を被ることになるという。家庭にとって、最初の問題はプライバシーの侵害であり、次にプライベートな画像、機密の音声、またはその他の犯罪行為に対する脅迫のリスクが続きます。たとえば、ハッカーは監視カメラで収集した画像や音声を利用して、不正なディープフェイクを作成することができます。もう一つの結果は遠隔監視されています。

そのため、監視カメラによる情報セキュリティの損失やデータ漏洩のリスクを回避するために、Vu Ngoc Son 氏はユーザーにいくつかの推奨事項を示しています。出所が明確なカメラを選択し、ビデオの保存場所とユーザー向けのデータセキュリティポリシーを公表する必要があります。配達後すぐにパスワードを変更し、2 要素認証を使用します。適切な設置場所を選択し、機密性の高い場所への設置は避け、重要なエリアでは標準カメラの設置が必須であり、重要な情報の漏洩を防ぎ、アクセス構成を最小限に抑えます。定期的にパッチを監視して更新します。

トラン・ダン・コア氏によると、ユーザーが意識とスキルを持つためには、自分自身と組織を保護することにも注意する必要があることをユーザーに理解してもらうように普及させる必要があるとのことです。まず、ユーザーはデバイスのパスワードを変更する必要があります。デフォルトのパスワードは使用しないでください。デバイスを配置する場所と、そこに配置する必要があるかどうかを決定します。