Verkadaのセキュリティカメラ映像漏洩事件で露呈したIoT特権管理の盲点の危険性

監視カメラ

BeyondTrust社Blog “Dangers of IoT Privilege Management Blind Spots Exposed in Verkada Security Camera Breach” March 11, 2021 by Morey J. Haber より

まず、IoTとインターネットセキュリティに関する率直な議論から始めましょう。あなたがもしIoTベンダーなら、自分の会社とインフラストラクチャ、顧客(自社製品の販売先が他の企業でも、消費者であっても)の安全とプライバシーを保護する基本的な責任を負っています。資格情報やアカウントの使用についてクライアントやソリューションの信頼性と良好な状態を、なにがあろうが決して損なうことがないソリューションを構築し導入したいと心から望んでいるはずです。それに、あなたの顧客からも常にそうであるべきだと期待されているでしょう。

このことを念頭におけば、次のような基本的なセキュリティ制御を整備したいと思うはずです。

  • あなたが提供するIoTデバイスへのアクセスの分離。これには、特権コンセプトの分離を強制施行することも含みます。その点で言えば、1つのアカウントですべて――あるいは多く――にアクセスが可能な状態にはすべきではありません
  • すべてのクライアントに有効な二要素認証
  • すべての従業員、ベンダー、委託先に有効な多要素認証(MFA)
  • すべての重要なアカウントに対し、アクセスを承認されたゾーンからのみに制限すること
  • すべての管理者アカウントのパスワードを入れ替え、管理し、保護し、認証するための特権資格情報管理
  • ジャストインタイムのアクセスモデルに従いつつ、最も重要なアカウントへのアクセスを許可するために確立されたワークフロー。つまり、ITや他のユーザ、時にはタスクによる管理や特権昇格は、あるタスクを完了するのに必要な期間に限定して行われるようにする、ということです。これは、攻撃面と脅威の入りこむ余地を減らすための最小権限を強制施行する賢明な方法です

ここにあげた手段の多くは、特権アクセス管理(PAM)や他のID中心のセキュリティソリューションを使って導入するのが最もうまくいきます。

Verkada のIoT漏洩はどのように起きたか、そしてそれが意味するものは?

IoTカメラの販売とサポートサービスを行うVerkada社とそのユーザーにとって不幸なことに、前述のセキュリティのベストプラクティスは一つも実施されていませんでした。3月9日、Bloombergは、Verkadaのネットワークに大規模なセキュリティ侵入があり、刑務所、病院、Teslaなどの企業で使われている150,000台の防犯カメラのライブ映像が漏洩したと報じました。この漏洩で女性専門診療所や精神病患者の施設、警察署など、機密性の高い環境のライブ映像が流出したのです。

管理者クラスの元従業員がBloombergに語ったところによれば、「実は社内にいた20歳のインターンが100,000台を超えるカメラにアクセスでき、全世界からの映像を全てみられるようになっていた」とのことでした。ハッカーは、Verkadaの全顧客に関する重要なデータの膨大な集約に、そんなに安易にアクセスできることには明らかに驚いた様子で、「現実とは思えないほどすごいこと」だと言いました。

Verkadaの顧客データを安全と称されていた一つの場所に集めていたのは、監視された画像で捉えた人を特定するのに使われる顔認証サービスのためだといわれています。脅威の実行者は、Verkadaの全顧客についてのビデオ映像記録すべてにアクセスできたと言っており、セキュリティとデータプライバシーの問題はさらに複雑になっています。

この事件はデータプライバシーに関連する次のような深刻な問題を考えるきっかけを与えました。

  • ライブ映像は顔認証サービスのベータ(テスト)版にもなりうることを組織は知っていたか?
  • ベータ版の顔認証技術を使えるようにした部門や組織は、顔認証ソフトウェアが使われていることを顧客や従業員に伝えていたか?
  • 企業や従業員は、データ保持により自分たちの嗜好が記録目的で取得されることを知っていた、または同意していたか?
  • Verkadaはどのようにしてビデオ内の知的財産を選別して除外し、保護し、処理しているのか(物体追跡を使用している場合)?
VerkadaのIoT漏洩事件は防止、もしくは被害を軽減することはできただろうか? – Yes –

これは高度な攻撃ではなく、先ほど考察したとおり適切なセキュリティ制御が施されていない事に起因しています。

この漏洩に対応して、Verkadaが発した声明はこのようなものでした。「当社では、不正アクセスの防止のために、すべての内部管理者アカウントを無効にしいました。社内のセキュリティチームと社外のセキュリティ会社がこの問題の程度と範囲について調査しており、法執行機関には通知済みです」。

脅威の行為者は、”root”(管理者アカウント)へと特権を昇格させることができる組み込まれた機構を使って、Verkadaのカメラへのrootアクセスを取得しました。このようなスーパーユーザまたはrootのアカウントは、Verkadaのカメラの映像すべてにアクセスを許可し、あらゆる顧客の環境でセキュリティとプライバシーを破壊することもあり得ます。

ウェブ上には数百万、時には数十億といった不正な資格情報があふれており、攻撃者は簡単にこれを自動化ツールに取り込み、作戦を練りやりやすくしています。そのため、すべての資格情報を固有のものにしておき、特権資格情報を循環させること(最強の資格情報については各ユーザの作業が終わるたびに)が、あらゆるサイバーセキュリティのベストプラクティスのなかでも最も長く存続する基本的な方法なのです。

ここまでのことを踏まえると、Verkadaのアカウント漏洩は、管理者アカウントのユーザ名とパスワード、つまり一要素認証がインターネットに流出してしまったために起こったことでした! この漏洩についてわかったこと、そしてハッカー集団が宣言していることによれば、これにはマルウェアも高度持続型攻撃(APT)も関わっていません。流出した管理者アカウントは、監視も受けず、不適切な場所からのアクセス試行による能動的な対応もなされず、インターネットからもアクセス可能でした。

こうした事実に基づくと、特権攻撃ベクトルのせいで脅威の実行者が環境に侵入し、非常に重要なビデオ映像を取り出し、重大な欠陥をさらけ出すことができ、悪意ある者にとって以下のことを可能にしたのです。

  • 非常に重要な環境を含む数万というカメラからのライブ映像を何の制約もなく閲覧し、適切な顧客データの分離と管理者の役割と責任の分担を侵害すること
  • 企業の管理者用の、一要素でしかないユーザ名とパスワードを使って基幹システムにログインすることで、個人を特定できる情報(PII)への安全な特権アクセスのためのセキュリティ上のベストプラクティスと、適用すべき地域の法令の遵守を破る事
  • 特権昇格を認める既存のカメラのインフラストラクチャに機能として組み込まれている欠陥を使い、個人顧客のIoTカメラ映像に関する資格情報を回避すること。つまり、Verkadaは自社の顧客が実装していたかもしれないセキュリティの一部を実質的に傷つけたことになります

この漏洩を引き金に、既に政府や企業、民間機関などに対するセキュリティとプライバシーに関する懸念は高まっており、これが幅広い分野での訴訟に発展することは間違いありません。またこの漏洩によって、IoTのセキュリティと顔認証技術に関する法規制の議論が再燃するかもしれません。

この件は、2021年に起きた驚くべきセキュリティインシデントの一つであり、すべての企業、特にウェブを介してIoTサービスを提供している企業は注意しなければなりません。IoTの製品やサービスを提供している企業であれば、適切なセグメント区分を行う必要がありますが、一番大切なのは特権アクセス管理ソリューション(PAM)を導入し、安全な管理者アカウントの運用を導入することです。PAMソリューションがあれば、ベストプラクティスに従って特権を持つ資格情報を管理して、不要な管理者権限を剥奪し、最小特権を細かく強制実施し、ジャストインタイムのアクセスモデルを有効にし、特権の分離をサポートし、その他にも多くのことができます。少なくとも、特権アカウントに対して一要素認証のみを許すことはけっしてしていけません。

IoTソリューションを模索している企業は、クラウドベンダーがSOCやISOの認定を受けているか否かを常に確認する必要があります。完璧でなくても、当初のVerkadaの漏洩の原因となったサイバーセキュリティの不備や、広範囲にわたるその影響を心配しなくても済むという、一定の安心感を与えてくれるからです。

関連文書
Privilege Password Management Explained (白書)
Privilege Escalation Attack and Defense Explained(ブログ、英文)
Universal Privilege Management (オンデマンドセミナー)


Morey J. Haber、BeyondTrustの最高技術責任者 兼 最高情報セキュリティ責任者

Morey J. Haberは、BeyondTrustの最高技術責任者であり最高情報セキュリティ責任者でもあります。IT業界での経験は25年以上に及び、Apress社から『Privileged Attack Vectors (2版)、『 Asset Attack Vectors』、『Identity Attack Vectors』という本を3冊出版しています。2018年、BeyondTrustはBomgarに買収されましたが名前はそのまま残りました。彼はもともと2012年、eEye Digital Securityの買収の際にBeyondTrustに加わりました。現在は特権アクセス管理やリモートアクセスソリューションに関するBeyondTrustの戦略を統括しています。2004年、セキュリティエンジニアリングの統括長としてeEyeに加わり、フォーチュン500掲載企業である顧客の戦略的業務に関する協議や脆弱性管理アーキテクチャを担当しました。eEye入社前は、Computer Associates, Inc. (CA)の開発マネージャーとして、新製品のベータサイクルや著名なカスタマーアカウントなどの業務を担っていました。その経歴は、飛行訓練シミュレータを構築する政府の委託先における信頼性と保全性に関するエンジニアとして築かれたものです。ストーニーブルックにあるニューヨーク州立大学の電子エンジニアリング科で理学士の学位を取得しています。