少なくとも60台のAI搭載監視カメラがライブストリーミングされてネットに無防備な状態で公開されていたことが発覚

Flockが提供する監視カメラのセキュリティ設定が不十分で、少なくとも60台のカメラに誰でもアクセスできる状態だったことが明らかになりました。カメラの中には公共の場所に設置されているものもあり、公園で遊ぶ子どもなどの姿が丸見えでした。

Flock Exposed Its AI-Powered Cameras to the Internet. We Tracked Ourselves
https://www.404media.co/flock-exposed-its-ai-powered-cameras-to-the-internet-we-tracked-ourselves/

Children on playground exposed by misconfigured Flock cameras
https://san.com/cc/flock-camera-captured-kids-on-a-playground-a-security-failure-exposed-them-online/

カメラの映像流出事件は、技術者でYouTuberのベン・ジョーダン氏によって最初に報じられました。ジョーダン氏は検索エンジン経由で簡単にカメラにアクセスし、ライブ映像だけでなくカメラの管理用コントロールパネルにアクセス可能であることを示しました。

This Flock Camera Leak is like Netflix For Stalkers - YouTube

これにより、誰でもカメラ映像を視聴できるほか、30日分の動画アーカイブをダウンロードし、設定変更やログファイル閲覧、診断実行が可能だったことが分かりました。

このカメラはFlockのCondorというカメラでした。CondorはAIを活用した犯罪抑止を目的とするカメラで、不審な車両や営業時間外に閉鎖区域へ集まる人々を追跡することが可能です。Flockは警察にもこのカメラを売り込んでおり、ナンバープレート追跡用カメラと組み合わせて使うことで犯罪抑止につながるとアピールしていました。

今回の件に関しFlockは「ごく少数のデバイスにおける限定的な設定ミスであり、既に修正済みです」「システムがハッキングされたわけではありません。当社は業界最高水準の要件に基づき顧客データを保護しており、Flockのクラウドストレージが侵害されたことは一度もありません」と述べました。

ただジョーダン氏は、子どもたちが集まるような公園や、人々が普通に暮らしている郊外の散歩道が監視されていることに不満げです。「ユーザー名もパスワードも不要で、遊び場から駐車場まで、あらゆる光景が即座に映し出されました。この危険性を人々に知ってほしいと思います」と述べています。ジョーダン氏は取得した映像を基にオープンソースの調査ツールを用いて人物特定にも成功したと報告しています。

この件と同時期に、Flockのナンバープレート追跡用カメラから得られた情報を検索できるようにしているサイト「Have I Been Flocked」に対してFlockが削除要請を出したことも分かっています。

Flock and Cyble Inc. Weaponize "Cybercrime" Takedowns to Silence Critics | Have I Been Flocked
https://haveibeenflocked.com/news/cyble-downtime

Flockいわく、Have I Been FlockedはFlockの登録商標を不正に使用しているとのこと。FlockはCloudflareに対して同サイトを削除するよう要請し、Cloudflareはこれに応じました。Have I Been Flockedは「法執行機関がFlockの監視ネットワークをどのように使用しているかを示す監査ログなど、政府機関によって公開された記録を利用しているだけで、不正な手段で取得した情報ではない」と反論しましたが、認められませんでした。

加えて、Flockの次期製品であるFlock Novaがハッキングや侵害を受けたデータベースから取得した人物検索データを統合しているという調査結果も公表されています。Flockはこれに反論していますが、別の調査でNovaのコードに社会保障番号やクレジットカード番号を参照するものが含まれていたとも伝えられており、真相は未確定です。