防犯カメラは本来、店や事務所、マンションを守るための設備です。ところが近年は、“守るためのカメラ”が、情報漏えいや侵入の入口になるケースが増えています。理由はシンプルで、いまの防犯カメラは多くがネットワークに接続され、遠隔から映像確認できる「IoT機器」だからです。設定や運用が少し甘いだけで、第三者に映像をのぞかれたり、機器を乗っ取られて社内ネットワークに踏み込まれる危険があります。

実際、Bitsightの調査では、インターネット上で無防備に公開されていたライブ映像のカメラが4万台超見つかったと報告されています（パスワードなし、保護なしで閲覧できる状態を含む）。つまり「うちは大丈夫」と思っていても、**“たまたま外部公開になっていた”**だけで事故が起こり得る、ということです。

どんな被害が起きるのか（読者がイメージしやすい4パターン）

1) 映像の漏えい（のぞき見）

最も分かりやすい被害です。店舗のレジ周り、事務所の出入口、工場内、マンションの共用部などが外部に流出すると、プライバシーだけでなく、**防犯上の弱点（死角・警備状況・入退室の癖）**まで知られてしまいます。

2) カメラが「侵入口」になり、社内PCやサーバーへ波及

カメラ本体やレコーダー（NVR）の脆弱性が悪用されると、攻撃者が機器を踏み台にして社内ネットワークへ移動し、最終的にPCやファイルサーバーへ到達する可能性があります。メーカー自身がNVRの脆弱性と修正版を告知している例もあります。

3) ボット化してDDoSの踏み台にされる

乗っ取られたIoT機器が大量に集められ、外部サイトへ一斉攻撃（DDoS）に利用されることがあります。Miraiは、IPカメラやDVRなどを初期設定の認証情報で狙うことで有名になりました。

4) 「遠隔閲覧アカウント」が乗っ取られる

クラウド連携型の場合、機器そのものよりも、**閲覧アカウント（メール＋パスワード）**が狙われます。使い回しパスワード、二要素認証（MFA）なし、共有アカウント運用は特に危険です（機器が正常でも、ログインされたら見られます）。

なぜ起きる？ 事故の“原因あるある”7つ

ここからが重要です。大半の事故は「高度なハッキング」ではなく、初期設定・設置方法・運用ルールに原因があります。

1. ポート開放（ルーター設定）でカメラ管理画面を外部公開していた

2. UPnPで意図せず外部公開になっていた（自動で穴が開く）

3. 初期ID/初期パスワードのまま、または弱いパスワード

4. ファームウェア未更新（脆弱性が放置）

5. カメラ用ネットワークと社内LANが同じ（横展開しやすい）

6. 管理者アカウントの共有（退職者も知っている／ログが追えない）

7. “設置したら終わり”で点検していない（半年後に設定が崩れる）

IPA（情報処理推進機構）も、ネットワークカメラ等のIoT機器について「利用前に必ずパスワード変更」を注意喚起しています。

いますぐできる対策（中小企業・管理組合向け：優先順位つき）

ここからは“やること”を、効果が高い順にまとめます。全部やる必要はありません。

上から順に潰すだけでリスクが大きく下がります。

優先度A：今日〜今週中にやる（事故を止血する）

A-1. カメラをインターネットに直接出さない遠隔閲覧が必要なら、原則はVPN経由です（カメラの管理画面を外部公開しない）。

A-2. ルーター側の「ポート開放」「UPnP」「遠隔管理」を点検心当たりがなくても、UPnPで勝手に公開されていることがあります。CISAも家庭/小規模環境向けに、ルーターの初期パスワード変更や安全な設定を推奨しています。

A-3. 初期ID/初期パスワードを廃止し、強いパスワードへ“機器ごとに別パスワード”が基本です。東京都のセキュリティ啓発でも、初期値の危険性が強調されています。(東京都サイバーセキュリティポータルサイト)

A-4. クラウド閲覧アカウントはMFA（二要素認証）を必須化設定できるなら必須。共有アカウントも避けましょう。

優先度B：今月中にやる（侵入されても広がらない設計）

B-1. カメラ用ネットワークを分離（VLAN/別セグメント）社内PCやサーバーと同じLANに置かない。侵入されても横移動しづらくなります。

B-2. 管理者権限の最小化閲覧専用と管理者を分け、管理者は必要な人だけ。ログ（誰がいつ見たか）が追いやすくなります。

B-3. 更新（ファームウェア）を“運用”に組み込むメーカーのセキュリティアドバイザリを定期確認し、更新計画を作る。メーカー告知ベースで脆弱性と修正が出ることがあります。

優先度C：次回更新・増設のときに効く（選び方・契約のコツ）

C-1. 「サポート期間」「更新の出し方」を購入要件に入れる価格や画質だけでなく、更新が継続される製品を選ぶ。

C-2. IoT製品のセキュリティ適合表示も参考にIPAのJC-STARなど、利用者側が確認できる仕組みも整備されています。

C-3. 設置業者の“納品物”にセキュリティ項目を含める

例：ネットワーク構成図、ポート開放の有無、管理者アカウント一覧、更新手順、緊急連絡フロー。

「うちは大丈夫？」を5分で確認する簡易チェック

• ルーターにポート開放設定がないか（特にカメラ/録画機向けに心当たりがないのに開いていないか）

• UPnPの一覧に、カメラ関連の転送が自動作成されていないか

• 管理画面のID/パスワードが初期のままではないか（“admin/admin”系は要注意）

• 最終更新日が古すぎないか（更新停止製品は入替検討）

• カメラ用LANが社内PCと同じになっていないか（分離できるか）

この5つだけでも、典型事故の多くをカバーできます。

もし「見られたかも」と思ったら（初動だけは覚えておく）

1. 外部公開の停止（ポート閉鎖・UPnP無効）

2. 管理者パスワード変更／不要アカウント削除／MFA有効化

3. ファームウェア更新

4. ログ確認（いつ、どこからアクセスがあったか）

5. 必要に応じてネットワーク分離・機器初期化・再設定

“原因を潰す→再発しない設計にする”がポイントです。

まとめ：防犯カメラは「設置後の運用」がセキュリティ

防犯カメラの事故は、派手なゼロデイ攻撃よりも、外部公開・初期パスワード・未更新・ネットワーク未分離といった“基本の穴”から起きがちです。Miraiが示した通り、IPカメラやDVRはボット化の標的にもなり得ます。逆に言えば、今回のチェックリストを上から実施するだけで、リスクは現実的に下げられます。

ハンジャ・ネットワークスでは、安全な遠隔閲覧（VPN化）／VLAN分離／ルーター設定点検／運用ルール作成までまとめて支援可能です。「今の構成が安全かだけ見てほしい」でもOKなので、お気軽にご相談ください。