『端末はカメラと直接通信しているようです(サーバを経由しない)。』のクチコミ掲示板

[tanetty]

盗聴のリスクが心配だったので、映像データの通信経路における中継サーバの有無を調べてみました。結論からいうと、中継サーバを経由せず、端末はカメラと直接通信しているぽいです。とりあえず、ちょびっと安心しました。

私の調べ方が正しいかどうか、いまひとつ自信をもてませんので、「ぽいです」としか言えません。ご了承ください。

◆実験の目的
映像データの通信経路が、(a), (b)いずれに該当するのか知りたい。

(a)中継サーバを経由する。すなわち、
　・カメラは(クラウド上の)サーバとのみ通信。
　・端末もサーバとのみ通信。
　・カメラと端末は、直接通信しない。

(b)カメラと端末が直接通信

◆実験の背景
(a)では、映像は(プラネックス管理の)サーバを経由する。このため、たとえば、プラネックス内部に悪意(「故意」)のサーバ管理者がいた場合、あるいは、そこまでいかなくてもサーバ管理に「過失」(IDの共用など)があった場合などに、映像が第三者から盗聴できる(サーバから抜き取られる)状態になることがありうる。
すなわち、人的な故意・過失という脅威に対し、中継サーバの存在という環境が脆弱性になり、盗聴というリスクが顕在化する恐れがある。

(b)では、中継サーバが(そもそも通信経路にないから)脆弱性になりえないので、盗聴というリスクは、(a)よりも小さい。

◆実験方法
�@PC(Windows)版「スマカメ」にて、CS-QR20の映像を見る。この際、「Wireshark」で(PC上の)パケットをキャプチャ。
�A映像データを思われるパケットを分析し、宛先IPアドレスをnslookupで逆引き。

◆実験環境
・PC: Windows7
・PC側回線: Yahoo! ADSL
・カメラ側回線: IIJmioミニマムスタートプラン

◆実験結果

・PCから見た宛先IPアドレス(A.B.C.D)をnslookupで逆引きしてみると、こう表示された。
A.B.C.D.rev.vmobile.jp

・「vmobile.jp」というのは、MVNO系のAPN名らしい。なので、PC版「スマカメ」はカメラ側回線(IIJmio)を直接見ている...と推測できる(?)。ただ、APN名なので、FQDNと関係ないのかもしれないのですが...。うーん、よくわかりません。

・第４層のプロトコルはUDP。カメラ側のポート番号は、各カメラによって違うっぽい(少なくとも、Well-known Portではない。あるカメラでは42200/UDP、別のカメラでは62293/UDPだった)。

◆感想・備考
・カメラと端末の直接通信であれば、盗聴の可能性が低いだろう、と考えて、とりあえず安心しました。(中継サーバの存在は、man-in-the-middle攻撃という脅威を内包している。中継サーバ自身が攻撃者に化ける恐れがあるから)。

・以前、プラネックスのサポート窓口に確認したときは「映像データはサーバを経由する」と言ってたような気がするんですが、おかしいなぁ...。

・でも、盗聴防止という観点はもちろん、プ社のサーバ負荷軽減という観点(ユーザから見れば、安定性に直結)を考えると、サーバを経由しないほうがいいと思うので、この仕組みが正解なのでしょう。

・とはいうものの、謎がひとつ。映像データの送信に先立ち、カメラ側グローバルアドレスの解決を、PCがどのようにしているのか、まったくわかりませんでした。(パケットを見ても、それらしい通信が見当たらなかった)。どうして直接通信できるのか、不思議です。
念のため、PC側のDNSキャッシュをクリア(ipconfig /flushdns)後に再実験しましたが、やっぱりいきなりカメラと通信し始めているようです。どういうことなんだろ。もしかしたら、Windows版だけ特殊なのかもしれませんが。

書込番号：18801179

[tanetty]

訂正です。

正
・PCから見た宛先IPアドレス(A.B.C.D)をnslookupで逆引きしてみると、こう表示された。
　D.C.B.A.rev.vmobile.jp

誤
・PCから見た宛先IPアドレス(A.B.C.D)をnslookupで逆引きしてみると、こう表示された。
　A.B.C.D.rev.vmobile.jp

書込番号：18801220

[wan1wan]

グローバルIPはインターネット通信に必要ではないものですから、取得しなくても問題は無いんですよ。必要なのはインターネットを介した別機器同士を「直接」接続するときです。

で、それを解決するためにＰ社に初期設定としてクラウドサーバーを介すことでカメラ側にグローバルIPが無くても解決できます。というかこれ以外では無理です（外部からアクセスするにはグローバルIPが必要でカメラにグローバルIPが存在しない場合は中継ポイントが必要であるため）。

てことで、常通信でサーバー経由が計測されないとしても、必ずカメラとクライアントを繋ぐ際にサーバーを経由しています。ＮＡＴだとIP数が膨大ですしグローバルIPはネットワーク設定のできない集合住宅に使えませんし、取得維持するコストもかかります。

書込番号：18801342

[スーパカー消しゴム]

NAT TraversalとかP2Pなどをキーワードなどとして検索すると基本的な仕組みが理解できるサイトがいくつか出てくると思います。

ざっくりですが、カメラは一定間隔でサーバーにポーリングのようなことをしています。映像は出していません。スマホはアプリが起動したときにサーバーに問い合わせをしてカメラのアクセス先情報を得て、そのあとはスマホとカメラがトンネルを張ってそのトンネルの中を映像が流れるという感じのはずです。

対戦ゲームなども同様の手法が取り込まれていますが、とにかくサーバーの負荷を軽減しないと膨大な運営コストになってしまうのでその観点からもいかに機器と機器を直結させられるかが極めて重要です。

書込番号：18801858

[tanetty]

wan1wanさん、スーパカー消しゴムさん

ご意見、ご指摘、誠にありがとうございます。

NAT越え等についての原理は、自分なりにですけど理解しているつもりです。また、カメラがプ社サーバに数分おきにポーリングしていることも、存じております(プ社に確認済み)。

ええと。wan1wanさんのおっしゃる「グローバルIPはインターネット通信に必要ではない」は、「『固定の』グローバルIPはインターネット通信に必要ではない」と(文脈より)読み替えましたが、そう理解してよいでしょうか？　宛先がプライベートIPのものをインターネットに流しても、ルーティングしてくれないと思いますので。

動的グローバルIPで、しかもDDNSを用意しなくても、プ社のサーバが何とかしてくれてるんだろうな、というのは、わかります。おそらく、カメラID/グローバルIP/プライベートIP/待ち受けポート番号の組み合わせを、プ社サーバがデータベースとしてもっていて、アプリからの問い合わせに適宜回答しているのかな...なんて思っています。

さて。少し私のコトバが足りなかったかもしれません。(映像データの)中継サーバ有無というのは、いいかえれば、次の３つのいずれかの仕組みだろうけど、どれかな？　と思ったのです。

(a)中継サーバあり。
　・SSL-VPN + リバースプロクシ
　・アプリ「スマカメ」とプ社サーバ間は、SSL-VPNで接続される。
　・プ社サーバは、リバースプロクシとして動作し、各カメラに接続する。

(b-1)中継サーバなし。IP Sec
・端末とカメラが直接IP SecでSAを確立する。

(b-2)中継サーバなし。APサーバ
　・アプリケーションサーバとしてのカメラに、アプリ「スマカメ」が接続する。

今回の実験で、(a)ではなさそうってことはわかりました。スマカメを起動したPCから見て、データをやりとりするIPアドレスは、(拙宅カメラ側回線業者である)IIJmioぽいので。少なくとも、プ社ホストとやりとりするパケットはゼロなので、(a)ではない、といえるでしょう。

とすると、(b-1), (b-2)のいずれかだと思います。

(b-1)で、そのなかでもIP Sec over UDPなのかもしれません。UDPの大きなポート番号が大量に流れていたので。それにしても、次の２点が腑に落ちないんですよね。

1. 端末からプ社サーバへの問い合わせパケットがない。

→端末は、(動的に変わりうる)カメラのグローバルIP, 待ち受けポート番号等を知らないはずです。プ社サーバは、ポーリングにより、これらを知っているはずです。なので、端末は(スマカメ起動直後)プ社サーバにこれら情報を問い合わせる必要があると思います。でも、そのパケットが見当たらないんです。

→もしかすると、アプリにカメラを初回登録時、これら情報は「アプリ内」に保存され、まずはその情報でカメラに接続しにいくのかもしれません。で、接続できないときだけ、プ社サーバに問い合わせする。パケットをキャプチャしたのは、カメラ登録「後」でしたので、そう考えれば、いちおう辻褄は合います。

2. SA(IP Secにおける論理的なトンネル)確立のための鍵交換(IKE)のパケット(500/UDP)が見当たらない。
→もしかしたら、でっかいUDP番号のなかで、IKEもすませているのかもしれません。

(b-2)も、なんか違うような。仮に宛先IP/宛先ポートをプ社サーバに問い合わせてわかったとしても(STUN等)、自宅ルータ側でリダイレクトの設定をしておかないと、アプリからのSYNがカメラまで到達しないと思うので。たとえば、ルータのWAN側グローバルIP1.1.1.1宛てに80/TCPが届いたら、LAN側プライベートIP192.168.1.20に80/TCPで送る...みたいな。

....以上、ゴチャゴチャと書きましたが、このスレッドの本旨は、あくまでコレ(↓)です。


「映像データは、カメラと端末で、直接通信してる。中継サーバ悪用による盗聴の心配はしなくてもよさげ」


いずれにせよ、いろいろとご指摘いただき、誠にありがとうございました。重ねがさね御礼申し上げます。

書込番号：18803187

[Moto G]

カメラ側が不特定のUDPポートを使って映像を配信するということは、閲覧側のネットワークではプロキシは使えないということですね。
会社からカメラの映像を見たいと思っていたのですが、会社はプロキシ経由でしかインターネットが使えないので…
有益な情報をありがとうございます。

書込番号：18807676

[tanetty]

Moto Gさん

ご返信ありがとうございます。

おっしゃるとおり、ポート番号が不特定なので、プロクシやファイアウォールが設置されているような一般的な企業の社内LANからだと、厳しいかもしれませんね。それら機器に対してその通信を許可する設定をするということは、セキュリティ上のでっかいでっかい穴を開けることになりますので。

スマホ等から見てやるのが、いちばん確実かつ簡単だと思います。

画質「中」の設定の場合、LTE「非」対応の私のスマホ(つまり3G通信です)でも、フツーに見れてます。

いまどきは安く、これら環境が準備できます。私の場合、こんな感じです。ご参考までに。
　スマホの端末代　　→　８千円 　(Covia F4SとかいうSIMフリースマホです)
　スマホSIMの月額　 →　２千円　（IIJmioの音声通話＋留守電つきです。SoftbankからMNPしました)。

SIMは、データのみでよければ、IIJmioで月額１千円、DMMとかだと月額700円ぐらいです。

書込番号：18810450

[tanetty]

>>それら機器に対してその通信を許可する設定をするということは、セキュリティ上のでっかいでっかい穴を開けることになりますので。

あ！　そういえば...。Windows版「スマカメ」のアプリ内に、プロクシの設定はありません。ご参考までに。(iOS版やAndroid版も同様です)。

書込番号：18810459