Webカメラのハッキングはプライバシーの侵害だけにとどまらない。被害者のメンタルヘルスや幸福度にも深刻な影響を与える。本記事では、ノートパソコンのWebカメラの正しい扱い方について解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
四六時中デジタル機器に囲まれている昨今、ノートパソコンやスマートフォン(以下、スマホ)といった機器を見ながら過ごす時間が増えている。これは、カメラの前で常に過ごしていることを意味する。以前はWebカメラを使っていなかった人も、パンデミック以降、在宅勤務や自宅学習のためにWebカメラで他者とつながるようになった。Webカメラは友人や家族をつなぐ生命線となった一方、オンライン会議へ不正に参加されるなど、さまざまなセキュリティリスクにさらされるようになった。
Webカメラをハッキングするツールや手法は、ネット上で容易に見つけられるようになった。金銭目的のサイバー犯罪者、ストーカー、いじめっ子、荒らし、あるいは単なる変わり者かなど、その目的は問わない。Webカメラのリスクを認識し、オンライン上のプライバシーと安全を保護できるよう、対策を講じておく必要がある。対策の多くは常識の範囲内であるが、Webカメラならではのものも含まれる。
実際、「カムフェクティング(Webカメラのハッキング)」は単にプライバシーを侵害するだけではない。メンタルヘルスや幸福度にも大きく影響を与える。多くの犯罪者は逮捕されているものの、デジタル世界には標的を探し続けている者たちが未だ存在するのだ。
Webカメラのハッキングはどのようにして起こるのか?
サイバー犯罪においては、常に攻撃する側が多くの選択肢を有している。いつ、どのようにして攻撃を仕掛けるのかを決定できるのだ。そして、一度攻撃に成功しさえすれば、要した時間や労力に対して見返りが得られる。年間数百兆円規模に上るサイバー犯罪の闇市場では、攻撃を仕掛けるためのツールやノウハウが提供されるようになっている。
以下に、犯罪者が攻撃を計画する際に考慮するであろう手法をいくつか挙げる。
リモートアクセス型トロイの木馬(RATs)
標的のコンピューターやデバイスを遠隔で制御する、特別な種類のマルウェアだ。遠隔操作によって、ライトを点灯させることなくカメラを起動し、撮影した動画ファイルを攻撃者自身へ転送できる。このソフトウェアを使えば、キーボード入力を不正に記録し、パスワードや銀行口座の情報などを盗むことも可能となる。ほかのマルウェアと同様、リモートアクセス型トロイの木馬は以下のような方法で感染する。
- フィッシングメールに添付されたリンクやファイル
- メッセージングアプリやソーシャルメディアのリンク
- 正規に見せかけた悪意のあるモバイルアプリ
脆弱性攻撃
脆弱性攻撃は、Webカメラを乗っ取り、プライバシーを侵害する方法の1つだ。いかなるソフトウェアも、人が開発している以上、不具合が起こり得る。不具合によっては、攻撃者に悪用され、遠隔からデバイスへ不正侵入される恐れがある。セキュリティ研究者と攻撃者は、こうした不具合を見つけるために終わりのない競争を繰り広げている。例えば、アップル社はmacOSにおけるWebカメラのハッキングにつながる脆弱性を見つけた研究者に対し、10万ドル(1,300万円相当)を支払った。パソコン、Mac、ほかのデバイスで、ソフトウェアやOSを最新の状態に保っておかなければ、攻撃者の標的にされてしまうだろう。
無防備なホームセキュリティ機器は、やや異なる例ではあるものの、やはりプライバシーリスクが存在する。監視カメラやベビーモニターといった機器を導入したスマートホームも増えている。家族の安全を守るために導入した機器にも関わらず、攻撃者から乗っ取られる恐れがあるのだ。前述のとおり、これらの機器に脆弱性攻撃が仕掛けられる可能性がある。あるいは、単純にパスワードが類推されたり、盗まれたログイン情報が使い回されていることを見越し、自動化ソフトウェアによって「総当たり攻撃」が仕掛けられる危険性もある。
現実のものとなる脅威
残念ながら、カムフェクティング(Webカメラのハッキング)は理論上の脅威では済まなくなっている。
2019年には、国際的な警察機構であるユーロポールが、Imminent Monitor(Windows上で動作するリモートアクセスツール)を悪用したRAT(リモートアクセス型トロイの木馬)の販売者と利用者の摘発に乗り出した。「最も成果を上げたユーザー」のうち13人を逮捕し、430台のデバイスを押収している。警察はRATが既に14,500人以上に販売されていると警告した。
2022年1月には、RATやほかのサイバー犯罪ツールを用いて女性や子供を盗撮したとして、英国の男性が懲役2年以上の判決を受けている。メッセージングアプリで偽のプロフィールを登録し、標的と接触、リンクを含んだメッセージからRATをダウンロードするよう促すという手口を使っていた。そして、被害者のコンピューターやデバイスへ侵入し、人に見られたくないような写真や動画を探っていたとされる。
Webカメラがハッキングされていることを確認する方法
Webカメラの攻撃者は、その標的から遠く離れている場合が多い。標的から金銭を詐取したり、個人情報をオンラインで販売したりする専門の犯罪者は、このような不正行為に寛容な国に住んでいる傾向にある。標的にされているかを、自らが能動的に確認することが、これまで以上に重要だ。
以下に、Webカメラがハッキングされている兆候を挙げる。
カメラの状態表示ランプ(インジケーター)が点灯する
攻撃を悟られないよう、カメラの表示ランプを消灯する攻撃者もいるが、常にそうであるわけではない。カメラを使用していないときにランプが点灯していたら、デバイスが乗っ取られている可能性がある。
コンピューターに心当たりのないファイルが保存されている
Webカメラの映像が盗まれていた場合、コンピューターにファイルが残っている可能性がある。特に、ハードドライブ上のドキュメントフォルダーやビデオフォルダーに、変わったものがないか確認するべきだ。
心当たりのないアプリケーションがインストールされている
遠隔からWebカメラで録画するのに最も使われている方法の1つがRATだ。マルウェアスキャンを実施し、コンピューターにあるべきではないソフトウェアがないかを確認するとよい。
設定が変更されている
RATのようなマルウェアは攻撃を円滑に行うため、コンピューターに導入されているセキュリティソフトやOSを妨害する場合がある。セキュリティ機能が無効にされていないかを確認しておこう。
Webカメラをハッキングしたと主張する第三者から脅迫された場合は、どうすればよいだろうか? これは意外にも、思っているほど明確な兆候とは言えないものだ。そもそも本当にハッキングされているかは定かではない。デバイスやWebカメラへ不正侵入した「証拠」として、古いメールアドレスやパスワードといった、以前の情報漏えいから得た情報を提示してくる詐欺師もいるかもしれない。人に知られたくない画像や動画を知り合い全員に配信すると脅迫して、暗号資産(仮想通貨)で送金させようと試みるケースもある。詐欺師が本当にハッキングしているという確かな証拠を確認し、加えて先述の兆候も検証してほしい。また、性的な画像・動画を送信するよう持ち掛けられた場合、後にそれをばらまくと脅迫するセクストーション被害を避けるためにも、こうした通知は無視するべきだ。
Webカメラのハッキングを防ぐには
Webカメラのハッキングから身を守るには、十分に警戒し、セキュリティのベストプラクティスを実践する必要がある。コンピューターやモバイル機器、スマートホームのデバイスが最新の状態にあり、ウイルス対策ソフトが導入されていることを確認しよう。可能であれば、複雑でユニークなパスワードやパスフレーズを設定し、二要素認証(2FA)によって保護する。見知らぬ人からのメッセージにあるリンクをクリックしてはならない。また、マイクから音を拾われるのは防げないものの、使っていないときはカメラのレンズを覆ってしまう方法もある。
保護者だけでなく、誰に対しても役立つので、ESET社のグローバルセキュリティアドバイザーJake Mooreのアドバイスも参考にしてほしい。
オンライン上における子供に対する脅威や、脅威から身を守るための技術について学ぶなら、Safer Kids Onlineが参考になるだろう。