あなたは家用の監視カメラを買った。電源をつなぎ、Wi-Fiにつなぎ、スマホでアプリをダウンロードし、QRコードをスキャンしてペアリングする。3分で完了だ。これで外出先からでも、いつでも家の猫の様子を確認できる。
すべてが完璧だ。
そう思っていたある日、友人がリンクを送ってきて言う。「これ、ちょっと見てみろよ」。あなたがリンクを開くと、そこには自宅のリビングルームが映っていた。ソファには昨日着た上着、テーブルの上には飲みかけのミルクティー。画面の右下にはIPアドレスと都市名のラベル。
あなたはこの映像を誰とも共有していない。誰にもパスワードを教えていない。そもそもカメラの映像がウェブブラウザで開けることすら知らなかった。
しかし今この瞬間、誰でも——そのウェブページを開いた誰もが——あなたのリビングルームを見ている。
これはホラー小説の書き出しではない。IP Crawlというプロジェクトが世界に突きつけた日常である。
一人のプログラマー、42億のIPアドレス
2026年6月、Alecというハンドルネームのプログラマーが一つのサイトをHacker Newsのトップページに押し上げた。当日192ポイントの推薦と百件を超える激しい議論を集めた。そのサイトはIP Crawl(ipcrawl.com)といい、機能はあまりにもシンプルで誰にでも理解できる。世界中で今まさにリアルタイムにキャプチャされた監視カメラの映像を表示する、公開カメラの生きた地図である。学校、病院、工場、政府庁舎、ホテル、民家のリビング、さらには寝室までもが映し出されていた。
これらすべてのカメラに、一つの共通点がある。一切のパスワードなしで直接アクセスできるのだ。クラッキングも、ハッキング技術も、「ソーシャルエンジニアリングデータベース」も必要ない。ブラウザにアドレスを打ち込むだけで映像が流れてくる。
Alecがやったことは、技術的観点から言えば複雑ではない。しかし工学的に見れば、セキュリティ専門家の背筋を凍らせるに十分な内容だ。彼は一つのプログラムを書いた。それはIPv4のパブリックアドレス空間——約42億のIP——を総なめに走査する。プログラムは各IPに対し、数十種類もの既知のネットワークカメラ用スナップショット取得パスを次々に試していく。Hikvision(海康威視)、Dahua(大華)、Axis、D-Link、TP-Link、SONY……市場に出回るほぼすべての主要ブランドのカメラにおいて、デフォルトのスナップショット用インターフェースアドレスは公開されており、フォーマットも固定で、ドキュメントを調べるまでもなく推測できるものばかりだ。
プログラムは一軒一軒ノックして回る。応答があればスクリーンショットを保存する。応答がなければ飛ばす。パスワードのブルートフォース攻撃も、脆弱性の悪用も、密かにバックドアを仕込むこともしない。プログラムがやったことはただ一つ——もともと鍵のかかっていないドアを見つけて、撮影し、目録にしただけだ。
Alec自身の言葉を引用する。ただしこの文章はもともと英語である(筆者による日本語訳を括弧内に付す)。
「To be absolutely clear: the engine never attempts authentication, brute-forces credentials or exploits software vulnerabilities. It only catalogues what is already completely open to the public internet.」(明確にしておく。このエンジンは一切の認証試行、パスワード総当たり攻撃、ソフトウェア脆弱性の悪用を行っていない。すでに完全に公衆インターネットへ開放されているものだけを収集し、目録化している。)
抑制の効いた言い方に聞こえる。しかし、その目録の中身が何かを知ってしまうと、「抑制」という言葉がにわかに戦慄を帯びてくる。
中に何があるか、想像もつかないだろう
IP Crawlに表示される光景の範囲は、一般人の想像をはるかに超える。筆者が公開資料を渉猟して整理した事例だけでも、これだけある。
- SONY日本本社のオフィス:セキュリティカメラの映像が直にパブリックネットワークに接続され、アクセス制御も一切なし
- イスラエルの公共施設サイト:重要インフラの映像がWebブラウザから直接閲覧可能
- 英国Droitwichの民家:室内栽培設備にレンズが向けられており、大麻栽培の疑い
- 米国ソルトレイクシティの隠しカメラ:通常の設置とは思えない不自然な角度——誰かが密かに置いたものではないかとの疑い
- 学校の廊下と教室
- 病院の廊下と病室周辺
- 保育園の内部
- 工場の作業フロアと産業用制御室
これはAlecが列挙した氷山の一角に過ぎない。彼はこう書いている。原文は英語である。
「Schools, colleges, hospitals, government facilities, corporate offices, residential living rooms, daycares, indoor cultivation setups, industrial complexes and manufacturing plants. Every day you will see something new.」(学校、大学、病院、政府施設、企業オフィス、民家のリビングルーム、保育園、室内栽培施設、工業団地、製造工場。毎日、新しい何かを目にすることになる。)
HNの議論で、あるユーザーは極めて率直にこう綴った。
「I looked into someone’s bedroom. Fortunately it was empty, but I promptly shat myself and turned off my computer.」(他人の寝室を覗いてしまった。幸い誰もいなかったが、慌てふためいて即座にPCの電源を落とした。)
これはホラー映画の一場面ではない。実際に起きたことだ。2026年——サイバーセキュリティ意識が広く浸透したとされる時代に。
なぜこれほど多くのカメラが公衆ネットワークに裸で晒されているのか
一般読者がここまで読んで最初に抱く疑問は、おそらく「誰が自分のカメラをわざわざネットに晒すのか」というものだろう。
その答えはこうだ。晒されている当人のほとんどは、自分が晒されていることをまったく知らない。この状況を生み出しているのは、三つの力の共犯関係である。
第一の力は、メーカーの不作為である。
Hikvision、Dahua、Axis、D-Link、Wyze、SONY——Alecは技術ブログで長大なブランドリストを挙げたあと、こう書いた。
「Shipping hardware this vulnerable directly violates customer privacy and creates a massive security liability.」(これほど脆弱なハードウェアをそのまま消費者に販売すること自体が、顧客のプライバシー侵害であり、巨大なセキュリティ上の責任を生み出している。)
これらのカメラの工場出荷時設定には通常、デフォルトパスワードが設定されている。admin/adminやadmin/12345といった極めて単純な組み合わせだ。多くのモデルでは、特定のURLパスを叩くだけで、パスワードすら不要でライブ映像にアクセスできてしまう。これこそがIP Crawlのスキャンが利用している仕組みである。メーカーはこの事実を熟知しているが、コストと利便性のトレードオフの中で、工場出荷時設定を実質的に変更しようとしたメーカーはほぼ皆無だ。
Alecの疑念はさらに深い。
「Risking the label of a conspiracy theorist, it’s starting to look less like negligence and more like a legally sanctioned backdoor for mass surveillance.」(陰謀論者のレッテルを覚悟で言えば、これはもはや過失というより、合法的に黙認された大規模監視のためのバックドアに見えてくる。)
第二の力は、ルーターの自動ポート転送である。
多くの家庭用ルーターは、UPnP(ユニバーサル・プラグ・アンド・プレイ)と呼ばれる機能をデフォルトで有効にしている。この機能は利便性のために設計された。機器を接続すれば自動でネットワーク設定が行われ、ポートマッピングを手動で設定する手間が省ける。しかしそれは同時に、カメラがルーターに「ポートを開けてくれ」と頼めば、ルーターがその通りにしてしまうことも意味する。ユーザーはその全過程を知らない。
HNであるユーザーが痛烈に指摘している。
「UPnP is not disabled by default on all routers, especially older ones. So devices may just try to port-forward certain control or media ports.」(UPnPはすべてのルーターでデフォルト無効になっているわけではない。特に旧型では有効のままだ。そのため、デバイスが勝手に制御用やメディア用のポートを転送しようと試みる。)
つまり、あなたはカメラを買って、電源につないで、ネットワークに接続した。カメラはルーターに対し「外部への出口が必要だ」と自ら申し出る。ルーターはその出口を開ける。そして世界中のスキャナー——IP Crawlだけでなく、ShodanのようなIoT検索エンジンも——が、あなたの家の「出口」を発見する。
あなたがやったことは、QRコードを一度スキャンしただけだ。
第三の力は、設置業者の「動けばいいんだよ」精神である。
多くのケースで、カメラを設置するのはユーザー自身ではない。HNユーザーのAurornisは極めて現実的な光景を描写している。設置業者は天井裏を一日中這いずり回り、汗だくで機器を取り付け終え、とにかく早く帰りたい。
「Some installer with a git-er-done attitude knows their customer wants a solution to something (remote access) and they use the first technique they can find to accomplish that without any concern about what it means.」(「とにかく終わらせたい」という姿勢の設置業者は、顧客がリモートアクセスという「何らかの解決策」を求めていることを知っていて、セキュリティ上の意味など一切考えずに、最初に見つけた方法で実現してしまう。)
別のユーザーは、業界全体の構造を一言で喝破した。
「Most CCTV contractors are not network security experts. Most network security experts would quit before ever entering a hot attic.」(ほとんどの防犯カメラ設置業者はネットワークセキュリティの専門家ではない。そして、ほとんどのネットワークセキュリティ専門家は、暑い屋根裏に入るくらいなら辞表を出すだろう。)
だから最終的に取られる設置手法は決まっている。ポートを開けて、映像が見られればOK。では、誰がその映像を「見る」のか——そんな条項は設置契約書のどこにも書かれていない。
「技術的利便性」と「プライバシー安全」は二律背反ではない
ここには根本的な対立が横たわっている。消費者は利便性を求める。外出先からスマホで自宅のカメラ映像を見たい。しかし、その「利便性」を実現する方法は、業界の実務において「カメラのポートを公衆ネットワークに直接晒す」という形に落ち着いてしまった。
より良い解決策がないわけではない。HNの技術的背景を持つユーザーたちは、安全なアーキテクチャを提案している。メーカーが中継プロキシサーバーを提供し、カメラとプロキシ間で暗号化接続を確立、ユーザーはプロキシ経由で映像を視聴する。カメラの実IPアドレスは決して公衆ネットワークに露出しない。SignalやWhatsAppなどのビデオ通話アプリは、この方式が実現可能であることをすでに証明している。
しかし問題は、そのような方式には、メーカー側のサーバー追加コスト、安全な認可機構の設計、明確なユーザーガイダンスが必要になることだ。そして現在の現実は——「ユーザーに見えないセキュリティ」にコストを払いたがるメーカーは一社も存在しない。
Alecはブログにこう書いている。
「The goal is straightforward: turn public exposure into pressure, forcing both manufacturers and users to take privacy seriously.」(目標は明快だ。公衆への露出を社会的圧力に転化し、メーカーとユーザーの双方にプライバシーを真剣に扱わせることだ。)
これは透明性によって変化を強制する戦略である。しかし同時に、HN上で激しい倫理的論争を巻き起こしてもいる。
脆弱性を塞ぐべきか、それともサーチライトを消すべきか
かなりの数のHNユーザーが、IP Crawlプロジェクトに対する違和感を表明している。「naturalmovement」のコメントは高い賛同を得た。
「There’s a difference between your neighbor not closing her blinds and you using a telescope to look inside her apartment, which is what sites like this are.」(隣人がブラインドを閉め忘れているのと、あなたが望遠鏡でその部屋を覗くのは別の話だ。そしてIP Crawlのようなサイトは、まさにその望遠鏡だ。)
別のユーザーはさらに直接的に言う。
「Definitely an invasion of privacy. I can’t visit this website in good faith. It should be taken down.」(これは明らかにプライバシーの侵害だ。良心をもってこのサイトにアクセスすることはできない。閉鎖されるべきだ。)
しかし、こう問い返すユーザーもいる。Shodanという検索エンジンはすでに十数年にわたって存在し、同様にこれらの露出カメラを検索可能にしている。Shodanも閉鎖すべきなのか。Googleだって、パスワードのない管理画面を検索可能にしている。それも閉鎖すべきなのか。
より深い視点は、ユーザー「portaouflip」のコメントに表れている。
「I’d also ask us tech savvy people to practice some humility. Yes, the people setting up these cameras are not following security best practices. But are you sure that you will not make the same mistakes?」(我々「技術に詳しい人間」こそ、少し謙虚になるべきだ。確かに、これらのカメラを設置した人々はセキュリティのベストプラクティスに従っていない。だが、自分は絶対に同じ過ちを犯さないと言い切れるのか?)
これは正解のない議論である。しかし、どちらの立場に立つにせよ、否定できない事実が一つある。IP Crawlが暴いたブラックホールは実在する。仮にこのサイトが閉鎖されても、それらのカメラは依然として公衆ネットワークに裸で晒されたままだ。forループを一行書ける者なら誰でも、それらを見つけ出せる。
では、あなたは今すぐ何をすべきか
IP Crawlの公式サイトには「あなたの地域をチェック」機能が用意されている。自分のおおよその位置を入力すると、付近に収録された露出カメラがあるかどうかを表示してくれる。その目的は、自宅がそのリストに載っていないかを確認させることだ。
自宅にネットワークカメラがあるなら、以下のステップで露出リスクを直ちに低減できる。
第一に、デフォルトパスワードをすぐに変更すること。 admin/adminや12345、誕生日や電話番号は論外である。最低12文字、英数字と記号を含むパスワードを設定すること。もしカメラのファームウェアが強力なパスワードに対応していないなら——そのカメラ自体が信頼に値しない。
第二に、ルーターのUPnP設定を確認すること。 ほとんどの家庭用ルーターではUPnPを無効にできる。無効にしよう。今後新しい機器を接続する際に手動設定が必要になるかもしれないが、その小さな手間は、プライバシー漏洩のリスクと比較するに値しない。
第三に、カメラの遠隔視聴が必要なら、ポート転送方式を使わないこと。 メーカーが安全なクラウド中継サービスを提供しているかどうかを確認するか、自前でVPNトンネルを構築すること。後者には一定の技術的ハードルがあるが、自分のデータが本当に重要なら——それは必要な代償である。
第四に、セキュリティアップデートを提供しないブランドの買い替えを検討すること。 ファームウェアの更新を提供せず、既知の脆弱性を修正せず、安全な接続に対応しないメーカーの機器は、ゴミ箱行きにすべきだ。それはあなた自身と家族に対する敬意である。
最後に
AlecのIP Crawlプロジェクトの本質は、一つの拡大鏡である。拡大されたのは技術的脆弱性ではない。それらの脆弱性は十数年前から繰り返し議論されてきたものだ。拡大されたのは、業界エコシステム全体が一般人に対して向ける、構造的無関心である。メーカーは安全でないと知りながら売り続け、設置業者はプロでないと自覚しながら取り付け続け、プラットフォームはリスクがあると分かっていながら接続し続ける。
そして最終的な代償は、それを負うべきでない者——ただ猫の様子を見たかっただけの普通の消費者——の肩に押し付けられる。
Alecはブログ記事をこう締めくくっている。筆者はこの一行を本稿の結びとしたい。素朴でありながら、本質を突いた言葉だからだ。
「Step. The. F*ck. Up.」
日本語に訳すなら、おそらくこうだろう。いい加減、まともにやれ。
参考リンク
- IP Crawl 公式サイト:https://ipcrawl.com/
- Alec 技術ブログ『IP Crawl: Exposing The Massive Open Webcam Crisis』:https://alec.is/posts/ip-crawl-exposing-the-massive-open-webcam-crisis/
- Hacker News 議論(192 points / 107 comments):https://news.ycombinator.com/item?id=48700834
- 関連報道『40,000+ Internet-connected Cameras Exposed Streaming Live』:https://cybersecuritynews.com/40000-internet-connected-cameras-exposed/
- Shodan IoT検索エンジン:https://www.shodan.io/