トピックス 2021.10.20 Webカメラとマイクに潜むリスクとセキュリティ対策

第6回目となる今回は、オンライン会議などで頻繁に使用するWebカメラのセキュリティリスクと対策について、サイバーセキュリティのプロフェッショナルの観点から質問にお答え頂きます。

セキュリティ通信：イギリスでは、Webカメラによる盗撮の被害が発生しています。最近はオンライン会議などでWebカメラを使用する機会が増えていますが、Webカメラのリスクや対策について教えていただけますでしょうか？

石丸さん：まず、Webカメラを使用する場合、ユーザー側にカメラを使用する目的があり、意図的にカメラの機能をONにしているのであれば問題ありません。

ただし、ユーザーが意図していないのに、スマートフォンやパソコンのWebカメラの機能がONにされている場合はマルウェアの感染などが疑われるので警戒する必要があります。

また、カメラと同等かそれ以上に危険なのがマイクです。企業情報を盗むスパイにマイクが狙われた場合には、オンライン会議での会話を全て盗聴され、録音されてしまう恐れがあります。

セキュリティ通信：マルウェアに感染した場合、Webカメラやマイクはどうなるのでしょうか？

石丸さん：スマートフォンやタブレットの、管理者権限を特殊な方法で取得することをAndroidはroot化、iOSはジェイルブレイク(脱獄)と言います。マルウェアの感染などによって端末がroot化/ジェイルブレイク(脱獄)されてしまうと、通常では出来ないようなファイルへのアクセスや書き換えなどが行われます。Webカメラやマイクのコントロールが奪われるのもそのひとつです。

ただし、マルウェアに感染した場合、即座にroot化 /ジェイルブレイク(脱獄)されるわけではありません。マルウェアの感染以外にも、Zoomなど本来のアプリケーションのなりすましによって、意図せずカメラの使用が許可されているケースも考えられます。

セキュリティ通信：毎回、アプリケーションなどを使用するたびに、一回、一回カメラの使用を許可するのはセキュリティ効果を高めることにつながりますか？

石丸さん：セキュリティ意識を高めるという意味では有効だと思いますが、毎回カメラの使用を許可するのは面倒ですし、現実的ではないと思います。

現在のスマートフォンは、アプリケーションごとにデバイスの権限を自分で設定することが出来ます。毎回カメラやマイクの設定をONにしなくても、新しいアプリケーションをインストールする際に、必要なデバイスかどうかを必ず確認することでセキュリティは格段に向上します。

例えば、占いアプリの場合、手相占いにはカメラ機能が必要ですが、星座占いでカメラがONにされている場合は警戒した方が良いでしょう。

パズルゲームのアプリなのにGPSやカメラの使用許可を求める場合も同様です。

常に「このアプリケーションにWebカメラは必要だろうか」という疑問を持ち、デバイスは自分でコントロール出来ることを思い出し、不要なマイクやカメラはOFFにすることが重要です。

セキュリティ通信：インカメラを物理的に塞いでしまうという方法はセキュリティに効果はありますか？

石丸さん：そうですね。ワンプッシュでスライドできてONとOFFの切り替えができるフィルターがありますが、それらを使用するのは有効な手段です。

ただし、マイクに関しては、Webカメラのようにレンズを塞ぐ方法では対処できません。

マイクが必要ない場合には、ユーザーが意識してOFFにするしかありません。

また、万が一、マルウェアに感染し、root化/ジェイルブレイク(脱獄)されてしまった場合、機種によって異なりますが、ソフトウエア上ではOFFの設定で、ランプも点灯していないのに、マイクが起動している場合もあるので注意が必要です。

セキュリティ通信：マルウェアへの感染ルートはどのようなものが多いのでしょうか？

石丸さん：最近はメールを経由して感染するケースが多いです。先程お話したように、マルウェアに感染しても、即座にWebカメラやマイクのコントロールが奪われるわけではありません。

まず、メールに添付されたファイルを開くことで最初のマルウェアに感染します。その後、認証情報を盗み出すトロイの木馬や他のマルウェアをさらに感染させるダウンローダーによって、さらに感染が拡大します。

セキュリティ通信：メール以外にもマルウェアの感染ルートはありますか？

石丸さん：スマートフォンでは、iOSとAndroidで感染ルートが違ってきます。

Androidで多く発生しているのが、宅配業者を装ったSMSです。SMSに添付されたリンク先をクリックするとアプリのインストールを促す画面になり、そのままインストールしてしまうと、Webカメラやマイクのコントロールが奪われてしまいます。

また、Googleプレイストアには、マルウェアそのものが紛れこんでいる場合が過去にありました。それらを正規のアプリだと勘違いしてインストールした場合も同様です。

セキュリティ通信：偽アプリだけでなく、正規のアプリであれば、Webカメラやマイクのコントロールが奪われる心配はないのでしょうか？

石丸さん：そうですね。例えば、Androidのアプリ限定ですが「カレログ」や「ケルベロス」は、海外でも問題になっています。「カレログ」は恋人や配偶者が所有するAndroid端末にアプリをインストールしておくことで、端末の現在位置や、最近インストールしたアプリが分かります。

一方「ケルベロス」は、自分自身の端末にインストールすることで、万が一、紛失や盗難されたときに端末を探したり、個人情報の流出防止に役立つアプリです。

遠隔操作によって盗撮や録画が簡単にできてしまいます。「カレログ」同様に、配偶者や恋人の浮気調査やストーカーなどにも利用されるケースが多発し、海外では逮捕者も出ているようです。

セキュリティ通信：他人にスマートフォンを貸したりすると、知らない間にインストールされる可能性があるということですね。このような正規アプリも含めたセキュリティ対策はどうすれば良いでしょうか？

石丸さん：アプリケーション一覧を定期的にチェックすることをおすすめします。自分でインストールした覚えのないアプリがあった場合には、即座に削除しましょう。また、同じアプリが2個ある場合には、どちらが偽アプリかを確認して削除しましょう。

セキュリティ通信：万が一、マルウェアに感染してしまった場合はどうすれば良いでしょうか？

石丸さん：マルウェアの感染に気が付いた時点で、銀行口座も含めた全てのIDとパスワードの変更をおすすめします。

攻撃側が何を目的とするかにもよりますが、重要な企業情報、または個人情報である画像や音声、これらを盗まれてしまってからでは取り返しがつきません。カメラのレンズカバーやウイルスソフトの導入など可能な限りセキュリティ対策を強化することをおすすめします。

ただし、ウイルスソフトは、マルウェアに対しては有効ですが、正規の使用方法とは別の使い方をすることで悪用が可能なアプリは検知されない可能性もあります。

前途したように、正規のアプリであっても、他人のスマートフォンにインストールして監視するアプリもあります。自身がインストールした覚えのないアプリがあった場合には即座に削除しましょう。

また、最近は「バーコードをスキャンしてポイントをゲット」という謳い文句で気軽にアプリケーションをインストールさせるケースが多くみられます。

ユーザー側にメリットがあってGPSやWebカメラやマイクを使用するのであれば問題ありませんが、第三者機関が企業側のメリットだけを追求して、ユーザーに無断でデバイスの使用を許可させている可能性もあるので注意が必要です。

ユーザーひとりひとりが高いセキュリティ意識を持ち、自発的に考えて行動することが社会全体のセキュリティ向上に寄与していくのだと思います。

Key Point

・ユーザーが意図していないのに、Webカメラの機能がONにされている場合はマルウェアに感染している可能性があるので警戒が必要。

・新しいアプリをインストールする際には、必ずデバイスを確認し「このアプリにWebカメラやマイクは本当に必要なのか」を疑う習慣をつける。

・マルウェアはメールを経由した感染が最も多く、Androidでは宅配業者を装ったSMSによる感染が増加。Googleプレイストアからマルウェアをインストールする場合もあるので注意が必要。

・マルウェア以外でも「カレログ」や「ケルベロス」などの正規アプリでは、GPS管理や盗撮、盗聴が可能なので、安易にスマートフォンを他人に貸さないようにする。

・ウイルスソフトはマルウェアには有効ですが、検知されない悪質なアプリケーションもあるので、定期的にアプリケーション一覧をチェックする習慣をつける。

いかがでしたでしょうか？

コロナ禍でテレワークが普及し、毎日のようにオンライン会議や授業を受けている方も多いのではないでしょうか。

普段、何気なく使用しているWebカメラやマイクですが、マルウェアによる感染や偽アプリ、第三者がインストールした悪質なアプリによって重要な企業情報や個人情報を盗撮、盗聴されるリスクがあります。

ウイルス対策ソフトやレンズカバーの導入、インストールしているアプリの定期的な確認を習慣づけ、日頃からセキュリティ意識を高めることが大切な情報を守ることにつながります。

※最終回の次回は、コロナ禍でより一層様々な分野に広がったインターネットの利用について、今後どのような意識を持って、利用していくべきなのかという部分を石丸さんにじっくりお伺い致しますので、次回もぜひご期待下さい。

TEXT：セキュリティ通信 編集部
PHOTO：iStock