パリ・ルーブル美術館の監視システム「パスワードはLOUVRE」だった-強奪事件の前に監査で指摘|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年11月07日更新日時: 2025年11月07日

パリのルーブル美術館で発生した王冠宝飾の強奪事件を受け、過去の監査文書や公的報告書に基づき、監視システムのサーバー・パスワードが「LOUVRE」だった、古いソフトウェアが運用されていた、といった指摘が複数の報道で相次いでいます。

これらは2014年時点の監査所見に基づくもので、事件当時も同一設定だったかは未確定です。一方で、外壁監視カメラの向きや館内カメラのカバレッジ不足など、物理・運用面の弱点も明らかになりました。

1 ルーブル美術館、展示品強奪事件の概要
2 パスワード問題は「過去の監査」で指摘されていたこと
3 Webカメラは脆弱
4 Webカメラを利用する上での注意点
5 一番安全な方法はWebに接続するカメラを利用しない

ルーブル美術館、展示品強奪事件の概要

事件は現地時間2025年10月19日午前、4人組が工事作業員に偽装してギャルリー・ダポロンに侵入し、チェーンソー等で展示ケースを破壊して歴史的宝飾品を奪取したものです。所要は数分でした。現場には皇后ウジェニー由来の王冠が落下・回収され、残る複数点（報道により8点とも）の所在は不明とされています。 容疑者は複数名が逮捕・訴追段階にあります。

パスワード問題は「過去の監査」で指摘されていたこと

2014年の監査では、監視カメラ網を管理するサーバーに「LOUVRE」、関連ソフトに「THALES」という推測容易なパスワードが設定されていたと指摘されています。館内オフィス系には古いOSの残存もあったと伝えられています。

これらは当時の所見であり、2025年の事件時点で同一だったかは確認されていません。とはいえ、監視系の入り口が弱いと、遠隔操作や映像の無効化・削除の足掛かりになり得ます。

また、監視カメラの配置・向き・カバレッジにも弱点が報じられています。外壁監視のカメラが侵入経路を捉えていなかったこと、館内ギャラリーの多くが一定期間カメラ未設置であったことなどです。

外周侵入から数分で内部アラームが発報し、さらに数分で展示ケース破壊に至っており、技術対策（カメラ・アラーム・映像管理）と運用統制（監視体制、死角分析、定期点検）の両面が追い付かなかった状況がうかがえます。

Webカメラは脆弱

世界中で利用されているWebカメラは、脆弱なものも多く世界中に監視カメラの映像が公開されています、たとえば、Insecam(インセカム)は、世界中の監視カメラの映像をオンラインで公開しているウェブサイトで、映像は全てリアルタイムの映像です。もちろん日本の映像も配信されています。サイトの発信元はロシアが行なっており、インターネットカメラの危険性を啓発することを目的としているサイトになります。

Webカメラを利用する上での注意点

定期的に買い替える

古い筐体はサポートが終了すると、脆弱性のパッチがリリースされなくなります、その為3年程度での買い替えをお勧めします。

日本製メーカーを利用する

中国、香港、ロシア製のWebカメは潜在的にバックドアが設けられている可能性があるので、日本製のメーカーをお勧めします。 実際、韓国の国境地帯に設置していた中国製の監視カメラはリアルタイムで中国に送信する設定が設けられていました。

初期値からパスワードを変更する

初期値のパスワードはメーカーがサイバー攻撃された場合に、漏えいする可能性があります。その為初期値からパスワードを変更する事をお勧めします。

一番安全な方法はWebに接続するカメラを利用しない

施設や場所の監視の場合は、Webに接続するカメラではなく単純にHDDやSDDに録画するインターネットに接続していないカメラを利用する事をお勧めします。一部参照 You’ll never guess the Louvre’s onetime CCTV password. (You absolutely will)