Webカメラ遠隔操作によるのぞき見は終わらない

この記事をシェア

かつての近未来SFには必ずと言っていいほど「テレビ電話」が登場していたが、はたしてセキュリティは万全だったのかどうか、気になるところである。少なくとも21世紀の現在、私たちの使っているWebカメラは、遠隔操作によって勝手に第三者がのぞき見するという事件を引き起こしている。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものである。

Webカメラ遠隔操作によるのぞき見は終わらない

Webカメラ(ライブカメラ、ネットワークカメラ)の技術は20世紀末には生まれていたが、一般的に利用されるようになったのは2006年1月にSkypeがビデオ通話サービスを開始してからである。それから10年ほどの間にすっかり定番ツールとなり、今やスマートフォンのアプリを使って簡単に、外出中にペットや自宅の様子を動画で確認できるまでになった。

しかしこの手軽さには、落とし穴もある。まず、カメラが動作しているかどうかは、ソフトウェアによるモニターが画面に表示されていなければ、あとは付属ランプの点灯によって判断するしかない、ということが挙げられる。また、遠隔操作を可能とするソフトウェアがあるため、外部からパソコンがある場所を見ることが可能であり、それが悪用される恐れもあるのである。

いや、実は「恐れ」ではなく、実害がこれまでに数多く報告されている。2014年11月、英国のウェスト・ヨークシャー地方にあるリーズという小さな町に住むステファン・リゴ(Stefan Rigo)は、14名の人たち(しかも半数は知人)に対して「のぞき見」を行っていた容疑で逮捕された。

彼は悪名高い遠隔操作ツールである「Blackshades」(ブラックシェーズ)を使って、コンピューターとつながっているWebカメラを乗っ取り、3年間毎日5~12時間、個人のプライベートな暮らしをのぞき見していたのである。

リゴの自白によれば、被害者が別の人物とSkypeで行ったビデオ通話を傍受していたという。いや、そればかりではない。感染したコンピューターからパスワードを盗むことも、メールのやりとりを読むことも、DoS(サービス不能化)攻撃も、オンラインバンキングを利用することも、リゴには可能だったのである。

ユリウス・キビマキのTwitterのプロフィル

ユリウス・キビマキのTwitterのプロフィル

リゴは2014年11月、国際的な捜査の流れから、Blackshadesを使用して遠隔操作によって他人のコンピューターのWebカメラを乗っ取っていたことが発覚して逮捕された。地元メディアの報道によると、リゴはBlackshadesを購入するために元恋人のオンラインバンキングのアカウントを使用していたという。身元を隠すやり方としては、極めて賢明な措置であった。

裁判所は2015年10月に、コンピューター不正使用禁止法に基づきのぞき見ならびに関連する罪を犯した罰として、34歳のリゴに対して40週間の執行猶予を与えるとともに、7年間の性犯罪者リストに登録し、さらに、200時間の社会奉仕活動の実施を命じた。

NCA(英国家犯罪対策庁)の国家サイバー犯罪担当シニア捜査官であるアンジェラ・マッケナ(Angela McKenna)は、BlackShadesなどのツールを使ったクラッカーに対して、次のように述べている。

「Blackshadesのような悪質なツールを使っている人は、多数の被害者のプライバシーを侵害するばかりでなく、さらに犯罪を重ねて、被害者のコンピューターをさまざまな形で悪用する。こうしたツールを利用したクラッカーは、被害者との物理的接触もなければ知人でもないにもかかわらず、さまざまな証拠(記録)から犯行が特定され、最終的にNCAとその関係者によって法の裁きを受けることとなった」

確かにWebカメラのハッカーが逮捕されたことは、健全な社会にとっては悪くない知らせだが、この程度の罰が、Webカメラに対して似たようなことを行っている人々に効果的な抑止力として作用するかは、やや疑わしい。

例えば、これまでもWebカメラのクラッキングに関しては、2013年8月、その年の「ミス・ティーンUSA」に輝いた米国のモデル、キャシディ・ウルフ(Cassidy Wolf)が公の場で被害を訴えたのが記憶に新しい。

これは後に、彼女の元クラスメートであった女性がこっそりとラップトップパソコンにBlackshadesをインストールし、ヌード画像を気付かれないように撮影していたことが判明した。

ほかにも、当のBlackshadesの開発者の一人であるスウェーデン人で25歳のアレックス・ユジェル(Alex Yucel)は、2015年2月に57カ月の懲役が宣告されている。

国内ではまだ、こうしたWebカメラによるのぞき見犯罪が報道されてはいないが、今後、社会問題化する恐れもある。基本的なセキュリティ対策を行うとともに、Webカメラの使い方にも十分注意すべきであろう。

なお、ESET製品においては「Blackshades」を2009年2月以降「Win32/VB.NXB」として検出している。また、2011年10月以降は「Win32/AutoRun.VB.ANQ」として、さらに2015年11月以降は「Win32/Ainslot」として検出している。

<関連年表>
2007年1月 Skypeがビデオ通話サービスを開始
2009年Blackshadesが使用され始める
2013年8月 キャシディ・ウルフがWebカメラ盗撮被害を公表
2014年5月 Blackshadesの利用が国際的に摘発される
2014年11月 ステファン・リゴが逮捕される
2015年2月 Blackshadesの共同開発者アレックス・ユジェルの刑が確定
2015年10月 ステファン・リゴの判決が下る

この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!