とりあえずブログ

普通のサラリーマンの雑多なブログ

ネットワークカメラを狙ったような探索アクセスをキャッチ

f:id:tkm03:20181021153616p:plain

僕のハニーポットにこんな感じのアクセスが来ていました。

1件目

POST /onvif/device_service HTTP/1.1
Accept-Encoding: gzip, deflate
Content-Length: 1144
Content-Type: application/soap+xml; charset=utf-8; action="http://www.onvif.org/ver10/device/wsdl/GetSystemDateAndTime"
Host: XXX.XXX.XXX.XXX:80
Soapaction: http://www.onvif.org/ver10/device/wsdl/GetSystemDateAndTime
User-Agent: AvigilonSoapClient/6.10

<?xml version="1.0" encoding="UTF-8"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://www.w3.org/2003/05/soap-envelope" xmlns:SOAP-ENC="http://www.w3.org/2003/05/soap-encoding" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:tt="http://www.onvif.org/ver10/schema" xmlns:tns1="http://www.onvif.org/ver10/topics" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:wstop="http://docs.oasis-open.org/wsn/t-1" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsnt="http://docs.oasis-open.org/wsn/b-2" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:ter="http://www.onvif.org/ver10/error" xmlns:tavg="http://www.avigilon.com/onvif/ver10/avigilon-types" xmlns:tds="http://www.onvif.org/ver10/device/wsdl" xmlns:xmime="http://www.w3.org/2005/05/xmlmime" xmlns:xop="http://www.w3.org/2004/08/xop/include"><SOAP-ENV:Header></SOAP-ENV:Header><SOAP-ENV:Body><tds:GetSystemDateAndTime></tds:GetSystemDateAndTime></SOAP-ENV:Body></SOAP-ENV:Envelope>

2件目

POST /onvif/device_service HTTP/1.1
Accept-Encoding: gzip, deflate
Content-Length: 1178
Content-Type: application/soap+xml; charset=utf-8; action="http://www.onvif.org/ver10/device/wsdl/GetServices"
Host: XXX.XXX.XXX.XXX:80
Soapaction: http://www.onvif.org/ver10/device/wsdl/GetServices
User-Agent: AvigilonSoapClient/6.10

<?xml version="1.0" encoding="UTF-8"?>
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://www.w3.org/2003/05/soap-envelope" xmlns:SOAP-ENC="http://www.w3.org/2003/05/soap-encoding" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:tt="http://www.onvif.org/ver10/schema" xmlns:tns1="http://www.onvif.org/ver10/topics" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:wstop="http://docs.oasis-open.org/wsn/t-1" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsnt="http://docs.oasis-open.org/wsn/b-2" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:ter="http://www.onvif.org/ver10/error" xmlns:tavg="http://www.avigilon.com/onvif/ver10/avigilon-types" xmlns:tds="http://www.onvif.org/ver10/device/wsdl" xmlns:xmime="http://www.w3.org/2005/05/xmlmime" xmlns:xop="http://www.w3.org/2004/08/xop/include"><SOAP-ENV:Header></SOAP-ENV:Header><SOAP-ENV:Body><tds:GetServices><tds:IncludeCapability>false</tds:IncludeCapability></tds:GetServices></SOAP-ENV:Body></SOAP-ENV:Envelope>

どちらも/onvif/device_serviceにアクセスが来ていることから、ネットワークの標準規格であるONVIFを使用しているネットワークカメラの探索アクセスのようです。

SHODANで調べてみると少なくとも世界中で90万以上のネットワークカメラが稼働しているので、注意が必要です。

f:id:tkm03:20181021152854p:plain

AmazonでもONVIF規格に準拠したネットワークカメラが販売されていますが、レビューを見てみると結構パスワードを書き換えられて、乗っ取られたという事例があるようなので、ネットワークカメラの購入を考えている人は周りのIT(特にネットワークやセキュリティ)に詳しい人にどう設置すればよいか確認してみてください。

www.amazon.co.jp