2025年初めてのサイバー攻撃はカメラレコーダーから!?

下書きのままになってた……

2024年末、年越しそばをすすりつつ、アークナイツをぽちぽちし
「そうだ、初検出IPを調べてやろう!」と突然思いつき
カウントダウン放送を見ながらNGFWのFWログをF5連打して過ごしておりました。

そして2025年になって1分も立たないうちにWANからアクセスがあり
ファイアウォールでブロックされているログが記録されました。
TCP 23というウルトラメジャーなTelnetへアタックを受けて始まった2025年です。

IP・アクセス元を調べてみた。

ログに残っていたIPを検索すると台湾に所属するIPのようでした。

利用サイト – https://www.ipalyzer.com/

見ての通り、httpのポートが開いており、Web管理画面の認証画面に入れる状態のよう。
通信等を調べるといわゆるネットワークカメラかレコーダーの管理画面のようでした。

台湾のボットネット事情の記事がちょうど検索に引っかかり
確認するとまさに記事の中で初回されているWeb画面がそれでした……。

網路攝影機、DVR、NVR 的資安議題 – 你知道我在看你嗎? – https://devco.re/blog/2014/09/24/security-of-ip-camera-and-nvr/
出荷時はまさかのパスワードなしで設定されているそう……(恐ろしい

結構古そうな設定ですので、長期間リプレースされずに運用されてそうです。

ネットワークカメラ機器の感染は多いらしい……

26万台のSOHOルーターやIPカメラに感染した中国のボットネットをFBIらが制御
日本国内で暗躍しDoS攻撃を行うRapperBot
カメラのサイバーロックダウン
令和6年版 情報通信白書 第Ⅱ部 情報通信分野の現状と課題
WikipediaやTwitchへのDDoS攻撃観測、DVR機器の脆弱性狙うMirai亜種「moobot」が感染広げる

こう見ると常時接続され、セキュリティ設定が甘くなりがち、脆弱性のあるネットワークカメラ機器が
マルウェアに感染したり、不正アクセスにより乗っ取られて悪用されているようですね……
そして、その端末から攻撃を受けているとは……

NGFWのログはIPSやATPのログはよく見るようにしてますが
FWのログは膨大に出るためあまり見ておらず、今回のキッカケがなければ気づかなかったでしょう。
これをキッカケにたまにはFW側のログも見つつ、端末が乗っ取られないように
最新の脆弱性情報やEoL情報に気をつけていきます~。

この記事の下書きを書いて放置し、9ヶ月も経ってしまいました……。

で、せっかくなので当該IPを改めた確認したところ
ログイン画面が変わっておりました!感染への対応されたのかはわかりませんが
なにかしら行動があったのはよかったのかな…と思います。
(なお、管理画面はインターネットへ露出中)

https://urlscan.io/

と思いつつも調べたところ、これまたよく感染して乗っ取られたNVRの例で出てくる画面で
日本でも複数ブランドからも同じGUIの製品が出ているのようでした。
調べてみるとNICTERのレポートが引っかかり
Shenzhen TVT Digital TechnologyがOEMで供給しているものだそう。

NICTER観測レポート2019の公開 | NICT-情報通信研究機構
https://www.nict.go.jp/press/2020/02/10-1.html
NICTER観測レポート2019(PDF版)
https://csl.nict.go.jp/report/NICTER_report_2019.pdf
の情報から今回のIPも例にあるNVMS-9000であることがわかりました。

しかもこのタイプのNVRからの攻撃が増加しているそう。

New Mirai Botnet Exploiting TVT DVRs To Gain Administrative Control
https://cybersecuritynews.com/new-mirai-botnet-exploiting-tvt-dvrs/

ちなみに同社のNVMS-1000も乗っ取られ例で出されており

HackTheBox – ServMon https://hg8.sh/posts/servmon/
攻撃手法・例が出ています。
ちなみ脆弱性情報としては
TVT NVMS-1000 デバイスにおけるパストラバーサルの脆弱性
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-013849.html
が2019年に公開済みです。

今回のNVMS-9000にも古いFWに脆弱性がありリモートで認証情報取得が可能なよう。

SSD Advisory – NVMS9000 Information Disclosure
https://ssd-disclosure.com/ssd-advisory-nvms9000-information-disclosure/

残念ながら個人的スキル問題でこのNVMS-9000がまたボットネットに組み込まれているかは
不明ですが、あまり監視カメラに予算をかけてないように見えるため……

予算や運用が怪しいIoT機器はリプレースされて脆弱性等がなくなっても
再び適切な機器選定や運用がされずに再感染してしまうケースは多いのかもと
今回改めて調べてみて思った次第でした。

スポンサーリンク
タイトルとURLをコピーしました