防犯カメラのVerkadaへ295万ドルの罰金
2024年9月3日 アメリカの連邦取引委員会はクラウド統合型防犯カメラのVerkada(ヴェルカダ)社に対し、不十分なセキュリティ対策によりハッカーが顧客のデバイスに侵入し、個人データにアクセスしたとの疑いで295万ドル(約4.2億円)の罰金を科すと発表しました。
目次
クラウド統合型防犯カメラのVerkada(ヴェルカダ)とは
インターネットに接続可能なIPカメラとカメラの管理を行うソフトウェアを提供するアメリカのメーカーで、日本を含む世界中で20,000社以上に利用されています。
Verkada(ヴェルカダ)の利用実績
大学や刑務所、病院、小学校などに利用されていますが、2024年9月3日の同社のホームページでは日本の事例は以下になります。
・西町インタースクール
・中日美容専門学校
・テンプル大学日本キャンパス
罰金の背景
罰金は以下が主な理由です
・セキュリティ対策を行った
・購入希望者にオプトアウトの選択肢を与えずにプロモーションのメールを大量に送信していた
Verkada(ヴェルカダ)のセキュリティ対策不備について
2020年12月、ハッカーがVerkadaのネットワーク内のレガシーファームウェアビルドサーバーの欠陥を悪用し、そこにMiraiをインストールしてサービス拒否(DoS)攻撃を仕掛けましたが、2週間後、Amazon Web Services(AWS)が侵害されたサーバー上での不審な活動を警告するまで、侵害に気付かなかったという。
さらに2021年3月、ハッカー集団 (APT-69420 Arson Cats) が Verkada のカスタマー サポート サーバーの脆弱性を悪用し、管理者レベルのアクセスを提供していたことが明らかになりました。
15万台のカメラへアクセス可能になる
ハッカーらはこれらの昇格された権限を悪用して、Verkadaのコマンドプラットフォームにアクセスし、FTCによれば、15万台のライブカメラ映像へのアクセスが可能になったという。
Verkada(ヴェルカダ)セキュリティ対策を怠ったと指摘される
連邦取引委員会は、顧客データを保護するために「セキュリティ対策クラス最高のデータセキュリティツールとベストプラクティス」を使用していると主張するVerkadaは欺瞞的であり、真実を反映していないと述べている。
具体的には、Verkada は、
・複雑なパスワードの使用を要求したり
・保存中の顧客データを暗号化したり
・安全なネットワーク制御を実装したりする
など、製品に基本的なセキュリティ対策を実装していませんでした。
Verkada(ヴェルカダ)は罰金を支払う
Verkada は声明で、連邦取引委員会の主張には同意しないものの、和解条件は受け入れると述べた、過去の電子メール マーケティング キャンペーンに関して FTC との和解で 295 万ドルを支払うことに同意しました。
しかし、セキュリティ対策に関しての指摘には同意していません。
なお和解の一環として、Verkadaは今後の事件を防ぐための総合的な情報セキュリティプログラムを設計し、導入する予定です。