脅威アクターが中東でIPカメラへの攻撃を強化
Check Point Research (CPR)は、2026年2月28日から始まった一連の攻撃について、中東地域でIPカメラが標的となっていることを報告しました。これらの攻撃は、主に情報収集や戦術的な監視目的を達成するために行われているとみられています。
攻撃の背景
これらの攻撃は、中東地域における継続的な軍事衝突の一部として行われているとみられています。特に、イランの軍事作戦と連携して行われている可能性が高いとされています。
攻撃の詳細
攻撃は、主にイスラエル、クウェート、バーレーン、カタール、アラブ首長国連邦、キプロス、レバノンのIPカメラを標的としています。これらの攻撃は、商用VPNやクラウドホストサーバーを使用して行われているとされています。
脆弱性の利用
攻撃者は、HikvisionとDahuaのIPカメラで利用可能な脆弱性を悪用しています。主な脆弱性は以下の通りです:
- CVE-2017-7921: Hikvisionファームウェアの不適切な認証フラウア
- CVE-2021-36260: Hikvisionウェブサーバーのコマンドインジェクション
- CVE-2023-6895: HikvisionブロードキャスティングシステムのOSコマンドインジェクション
- CVE-2025-34067: Hikvision ISMPの未認証RCE
- CVE-2021-33044: Dahua製品の認証バイパス
これらの脆弱性はすべてパッチが存在しますが、多くのデバイスが未パッチのまままたはサポート終了の状態で使用されているため、依然として脆弱性が存在しています。
対策の推奨
CPRは、組織と政府機関に対して以下の対策を推奨しています:
- 公開アクセスの削除: WANからの直接アクセスを削除し、VPNやゼロトラストゲートウェイを使用する。
- 強力な認証情報の使用: デフォルトのパスワードを変更し、一意のログイン情報を維持する。
- 更新の適用: ファームウェアを定期的にパッチし、サポート終了のデバイスを置き換える。
- ネットワークのセグメンテーション: カメラを別々のVLANに配置し、アウトバウンド接続を制限する。
- モニタリングの強化: 失敗したログインや異常なアウトバウンド通信を追跡する。
結論
IPカメラへの攻撃の増加は、物理的な戦争とサイバー監視の間の交差点を示しています。これにより、地域の緊張が高まる中で、国家レベルの情報収集ツールとして重要インフラデバイスが使用される可能性が高まっています。