Skip to main content
+1 (979)-256-2462
ログイン 始める
街中のあらゆる防犯カメラを裏で支えるデータベースの仕組みを解説

街中のあらゆる防犯カメラを裏で支えるデータベースの仕組みを解説

TeamPassword 2026年6月11日 · 1 min read サイバーセキュリティ
2025年11月、Flock Safetyの法執行機関向けパスワード35件以上が、ロシアのサイバー犯罪フォーラムに流出しました。これらは、ある街路の防犯カメラ1台分の認証情報ではありません。月間200億台以上の車両を撮影する、全国規模の共有監視ネットワークへのアクセス権限だったのです。そのうちのどれか一つでも悪意ある者の手に渡れば、数千もの都市に設置されたカメラを横断して検索を行うことが可能だったでしょう。 これは単なる仮定の話ではありません。事実として記録されています。Ron Wyden上院議員とRo Khanna下院議員は連邦取引委員会(FTC)に書簡を送り、Flockのサイバーセキュリティ対策について「怠慢」であると指摘しました。Flockは、法執行機関の顧客の約3%が二要素認証を有効化していなかったことを認めました。 本記事は、すでにFlockのアカウントを保有している、あるいはアカウント登録を求められているIT責任者、運用マネージャー、および事業主を対象としています。目的は、Flockが良いか悪いかを判断することではありません。重要なのは、組織内の人物にログイン情報を渡す前に、どのようなシステムを扱っているのか、何が問題になり得るのか、そしてどのような質問をすべきかを正確に理解していただくことです。 ## **カメラではなくデータベース** Flock Safetyは2017年に設立され、2025年初頭までに9億5,000万ドル以上のベンチャー資金を調達し、企業評価額は75億ドルに達しています。同社は、自社の技術がアメリカ国内の犯罪のおよそ10%の解決に貢献していると主張しています。これは非常に印象的な主張ですが、その背景には圧倒的な規模があります。現在、Flockのカメラは49州・5,000以上のコミュニティで稼働しており、毎月200億台以上の車両を撮影しています。 この製品は見た目こそカメラです。ソーラー駆動でポールに設置されるデバイスであり、住宅街の入口やショッピングモールの駐車場などで見かけることがあります。HOA(住宅所有者協会)が設置し、企業が設置し、警察署も設置します。しかし、Flockを「カメラ会社」と呼ぶのは、Googleを「検索ボックス会社」と呼ぶようなものです。カメラは単なる入力装置にすぎません。 Flockが実際に販売しているのは、FlockOSへのアクセスです。これは、すべてのデータが集約され、処理され、検索可能になる集中型クラウドプラットフォームです。顧客は単に自分たちの映像を得るわけではありません。サブスクリプション型のデータサービスに加入するのです。例えるなら、書類キャビネットと共有Google Driveの違いです。書類キャビネットには自分の資料だけが入っています。一方、共有Google Driveには全員のデータが入り、ログイン権限を持つ人なら誰でも横断検索できます。 FlockのCEOであるGarrett Langley氏は、この構図について率直に「警察署こそが我々の実際のエンドユーザーだ」と語っています。HOAや企業がハードウェアを設置し、法執行機関が検索を行います。街角にあるカメラは、ローカルのDVRへ映像を送っているのではありません。国家規模のデータベースへ送信しているのです。 Flockの公式マーケティングでは、「顧客間で共有されるナンバープレート読み取りデータの集中型データベースは維持していない」と説明されています。しかし、Electronic Frontier Foundationは異なる実態を発見しました。Flockの共有法執行ネットワークを通じた単一の検索によって、全米ほぼ全域にまたがる83,000台以上のカメラへアクセス可能だったのです。これは、合理的な定義に照らせば、集中型データベースそのものです。EFFの調査結果とFlockの主張は真っ向から矛盾しており、実際に利用しているシステムがどちらなのかを理解することは重要です。 FlockのNational LPR Network(旧称TALON)を通じて、法執行機関の顧客は他州・他都市のカメラが取得したデータを検索できます。ジョージア州の警察署が、テキサス州のカメラ映像を検索できるのです。1回の検索、1つのプラットフォーム、そしてネットワーク全体。この仕組みこそが、正当な犯罪捜査においてFlockを強力なツールにしている理由です。同時に、問題が発生した際の被害範囲を決定づける要因でもあります。 セキュリティ分野では、「blast radius(ブラスト半径)」という言葉を使い、単一の侵害によってどれだけ大きな被害が発生し得るかを表現します。システム同士の接続性が高いほど、1つの認証情報が侵害された際の被害は大きくなります。2021年3月、クラウド型カメラ企業であるVerkadaはハッキング被害を受け、単一の管理者認証情報の漏洩によって、テスラ工場、病院、学校、刑務所を含む約15万台のカメラへのアクセスを許しました。Verkadaを管理しやすくしていたアーキテクチャは、同時に悪用もしやすくしていたのです。Flockも、これと根本的に似た原理の上で動作しています。ただし、その規模はさらに巨大です。 ## **カメラ自体にも脆弱性が存在** Flockのセキュリティに関する議論の多くは、クラウドプラットフォームに集中しています。誰がアクセス権を持っているのか、どのデータが保存されるのか、データベースが侵害される可能性はあるのか。これらはいずれも重要な問いです。しかし2025年秋、セキュリティ研究者のJon Gaines氏が公開したホワイトペーパーによって、議論の焦点が変わりました。Gaines氏は2025年9月に脆弱性の大部分を公開し、MITREは10月にCVEを割り当て、その内容は11月、バイラル化した暴露動画をきっかけに一般メディアでも大きく報じられました。問題の攻撃対象領域は、実はポール上のハードウェアから始まっていたのです。 Gaines氏は、Flockのデバイスエコシステム全体にわたって51件の問題点を文書化しました。対象には、FalconおよびSparrowナンバープレートカメラ、さらにRaven銃声検知マイクが含まれます。そのうち22件にはMITREからCVEが割り当てられ、さらに8件が審査中です。脆弱性の深刻度は「重大」から「致命的」まで幅広く存在します。 最も警戒すべきなのは、CVE-2025-59403です。Flockカメラには、認証不要の管理用APIがポート8080上で動作しています。そのエンドポイントの一つが /adb/enable であり、これはTCP経由でAndroid Debug Bridge(ADB)を有効化します。このエンドポイントへ到達できる者は誰でも、パスワード不要でデバイス上のrootシェルを取得できます。 ホットスポットがすでに有効化されているデバイスへの攻撃チェーンは次の通りです。まず、デフォルトパスワード「security」を使ってホットスポットへ接続します。このパスワードは全デバイス共通と見られています。次に、認証不要APIエンドポイントへアクセスします。するとシェルを取得できます。Gaines氏は、900台以上のFlockデバイスがホットスポットを有効化した状態で、公開Wi-FiデータベースであるWigle.net上に表示されていることを確認しました。これらのデバイスに対する攻撃には、物理接触は不要で、近接するだけで十分です。 ホットスポットが無効であれば、攻撃者はデバイス上の物理ボタンを押して起動させる必要があります。これが、Flock側が述べた「物理アクセスが必要」という反論の背景であり、完全に間違っているわけではありません。しかしGaines氏の主張は、実際には大量のデバイスでホットスポットが有効のまま放置されていたという点です。おそらく工場テストや設定ミスが原因であり、その結果、接触不要の近接攻撃が大規模に成立していたのです。 他の脆弱性も問題をさらに深刻にしています。CVE-2025-59409では、本番用LPRファームウェア内に開発用Wi-Fi認証情報が平文で保存されていたことが記録されています。CVE-2025-47821では、Gunshot Detectionデバイス内にハードコードされたパスワードが存在していました。CVE-2025-59407では、FlockのAndroidアプリ内に、ハードコードされたパスワード付きJava Keystoreと秘密鍵が含まれていたことが確認されています。さらにCVE-2025-59406では、Android版Piscoアプリ内にAuth0クライアントシークレットが平文でハードコードされていました。少なくとも争いのない事実は、これらのCVEが実在し、正式に割り当てられているという点です。 自社施設にFlockハードウェアを設置している組織にとって、これは「誰がポータルの管理権限を持っているのか」という話とは別次元の問題です。建物上に設置されている物理デバイスそのものが、攻撃対象領域になっているかどうかという問題なのです。 ## **実際にデータベースには何が入っているのか** Flock侵害の重大性を理解するには、システムが保持している情報を把握する必要があります。 各カメラ記録には、ナンバープレート番号、タイムスタンプ、GPS座標、そして車両画像が含まれます。さらにFlockのAIは、その上に「vehicle fingerprint(車両フィンガープリント)」を追加します。これには、メーカー、モデル、色、損傷、バンパーステッカー、ルーフラックといった物理的特徴が含まれます。これらはすべて検索可能です。攻撃者は特定のナンバープレート番号を知らなくても、「青いHondaアコード、バイクラック付き、アトランタ、3月」といった条件で検索できます。 これが大規模に集約されると、データベースにはHOA住民の行動パターンが蓄積されます。住民がいつ出入りしたか、どの車両が常連訪問者か、どの車が深夜に現れるかといった情報です。また、法執行機関による検索ログも保存されています。どのナンバープレートを、どの警官が、いつ検索したのかという情報です。National LPR Networkを通じた機関間共有記録も含まれます。さらに、FlockのRaven製品を利用している顧客については、街頭レベルの銃声検知マイクによる音声データも含まれます。 Flockはさらに製品ラインを拡大しています。American Civil Liberties Unionは2025年8月、Flockが単なるナンバープレート読み取り装置だけでなく、パン・チルト・ズーム対応のフル動画監視カメラも販売し始めていると指摘しました。これはデータの性質を大きく変えます。ALPRデータは「車がどこにいたか」を示します。一方、動画カメラは「誰がその車に乗っていたか」を示します。 データ精度についても触れておく必要があります。2025年のACLU Iowaレポートは、ALPR読み取りの10件に1件が誤認識を含むという研究結果を引用しています。つまり、このデータベースには機密情報だけでなく、相当量の誤った紐付け情報も含まれているのです。侵害が発生した場合、それらの誤りは修正されません。そのまま公開されることになります。 ## **多すぎる鍵** リスクは侵害だけではありません。内部アクセスの問題は、むしろより現実的な脅威です。 Flockのアクセスモデルは、設計上きわめて広範です。HOA理事会メンバー、不動産管理会社、地元警察官、National LPR Network経由の近隣機関、そしてFlock社員までもが、何らかの形でデータへアクセスできます。非常に多くの関係者です。そして、「誰が」「何を」「なぜ」検索したのかについて、独立した監査義務は存在しません。 2020年にCalifornia State Auditorが行ったALPRプログラム調査では、多くの法執行機関において、利用ポリシー、監査管理、データセキュリティが不十分であることが判明しました。これは法的義務と公的説明責任を持つ機関ですらそうだったのです。Flockのアクセス権は、それすら持たない民間HOA理事会や不動産管理者にまで拡張されています。 内部脅威は抽象論ではありません。2022年後半、カンザス州ケチの警察官が、別居中の妻をストーキングするためにFlock SafetyのALPRデータベースを利用した疑いで逮捕されました。彼は、自身の役職によってアクセス権を持っていました。そして、その行動が明白になるまで、それを検知する制御は存在しませんでした。EFFは、この事例を「Flockのアクセスアーキテクチャが現実にはどのように失敗するか」を示す具体例として記録しています。 2025年11月のRon Wyden氏の書簡は、さらに別の側面を浮き彫りにしました。そこでは、二つのアクセス管理失敗事例が記録されています。一つは、DEAタスクフォースメンバーが地元刑事の共有Flock認証情報を利用し、本来自分たちでは実行権限のない麻薬関連検索を行っていた件です。もう一つは、ICEやDHSを含む移民執行機関によるFlockデータアクセスへの懸念です。これらは別個の問題ですが、根本原因は同じです。認証情報共有が検知されず、機関横断アクセスにも実質的な制御が存在しないプラットフォームであるという点です。 チーム向けソフトウェアアクセス管理を行っている人なら、この構図は見覚えがあるでしょう。50人がSaaSプラットフォームの管理者権限を持ち、誰もログイン履歴や利用理由を追跡していない状態。それは構造的失敗です。全員が脅威だからではありません。アーキテクチャ自体が、脅威となる一部ユーザーを検知・封じ込めることを不可能にしているからです。[詳細なアクティビティログやアクセス監査](https://teampassword.com/ja/blog/activity-log-security-compliance-ja)が存在するのは、「信頼だけではセキュリティ対策にならない」からです。 必要最小限の権限だけを、必要な期間だけ付与する「[最小権限の原則](https://teampassword.com/ja/blog/what-is-the-principle-of-least-privilege-ja)」は、セキュリティの基本原則です。しかしFlockのアーキテクチャは、その正反対の原則を国家規模で適用しているのです。 ## **Flockが掲げるコミットメントと確認すべきこと** Flockは、プライバシーに関していくつか実際のコミットメントを行っています。同社は、ナンバープレートデータをデフォルトで30日間保持すると述べており、第三者へのデータ販売は行わず、顔認識も使用していないとしています。一部競合他社と比較すれば、これらは意味のある立場です。しかし、「約束」と「検証可能な管理策」には重要な違いがあります。 以下は、Flockが公表しているコミットメントについて、それぞれがどのように強制・検証されているかを確認したものです。 | **Flockのコミットメント** | **検証可能か?** | | 30日間のデータ保持 | 自己申告ベースのデフォルト設定。Flock自身のLPRポリシー(2025年11月更新)では、「顧客の法律またはポリシーで異なるスケジュールが必要な場合、ケースごとに延長または短縮される可能性がある」と記載されている。普遍的に強制されているわけではない。 | | 顔認識なし | 自己申告。独立監査は公開されていない。 | | 暗号化 | 議論がある。Flockは「エンドツーエンド暗号化」を主張しているが、Flock社員が顧客データへアクセス可能であるため、技術的定義としての真のエンドツーエンド暗号化ではなく、通信中および保存時の暗号化である。 | | 第三者へのデータ販売なし | 自己申告。執筆時点で公開SOC 2レポートや独立監査は存在しない。 | | 顧客管理型アクセス | 部分的には正確。顧客は自分たちのユーザー一覧を管理するが、Flock社員はプラットフォームレベルのアクセス権を保持している。Wyden氏の書簡では、連邦機関がローカル認証情報を使用して検索を実行していたことが記録されており、実際にはアクセスモデルが完全に顧客管理型ではないことを示唆している。 | 買収の問題も重要です。Flockには、Andreessen Horowitz、Tiger Global、Meritech Capitalなどが出資しています。投資家はいずれ流動性を求めます。では、Flockが買収された場合、データ保持ポリシーはどうなるのでしょうか。30日保持というコミットメントは、Flockの現行利用規約内に存在するものであり、法律に定められているわけではありません。また、特別に交渉していない限り、顧客契約にも明記されていません。 さらに、多くの州では、民間ALPR企業に適用される強制的な情報漏えい通知法も存在しません。もしFlockが侵害された場合、データが漏えいした都市、HOA、個人へ通知する法的義務が存在しない可能性があります。これはFlockだけでなく、この業界全体に共通する問題ですが、契約前に理解しておくべき点です。 ## **これは組織にとって何を意味するのか** もし組織が、Flockが導入されている5,000以上のコミュニティのいずれかで事業を行っている場合、従業員の車両はすでにデータベースへ記録されている可能性があります。それは自ら選択した結果ではありません。単にオフィス所在地の結果です。 しかし、もしご自身の組織がFlockアカウントを保有しているなら、たとえば小売、不動産管理、医療、物流などの業界では、国家規模の監視データベースへアクセス可能な認証情報を管理していることになります。すると、機密データへアクセスできるSaaSツールについて本来行うべき質問の重要性が一段と増します。 まず、以下の5つの内部監査質問から始めるべきです。 1. **Flockポータルへの管理者アクセス権を持つのは誰か?**記憶ではなく、完全なユーザー一覧を取得すること。 2. **その認証情報は**[**パスワードマネージャー**](https://teampassword.com/ja/blog/top-5-dangerous-ways-to-store-your-passwords-ja)**内に保存されているか?それとも共有スプレッドシートやメールスレッド内を漂っているか?** 3. **MFA(多要素認証)は全ユーザーに強制されているか?**2025年に盗まれたFlock認証情報が犯罪フォーラムへ流出していたことを考えると、これは任意事項ではない。Wyden氏の書簡では、Flockがこれを必須化していなかったことが明らかになっている。 4. **Flockアクセス権を持つ人物が退職した際のオフボーディング手順は何か?**一般的な退職チェックリストではなく、Flock専用の手順が存在するか? 5. **アクセス権保有者一覧を最後に確認したのはいつか?**答えが「一度もない」または「誰かに確認しないと分からない」なら、それ自体が答えである。 もしFlock契約を検討しているなら、以下のような質問を行うことも考慮すべきです。 1. データ保持期間は、単なるポリシーではなく契約上強制可能か? 2. Flock内部で誰が自社カメラデータへアクセス可能で、どのような状況でアクセスするのか? 3. Flockが買収された場合、自社データはどう扱われるのか? 4. 情報漏えい通知条項は存在するか?通知期限はどれくらいか? 5. MFAは全ユーザーに必須か?それとも推奨のみか? 6. 自社カメラデータに対する全検索の監査ログは存在するか? 7. National LPR Network経由の機関横断アクセスを、自社アカウントで制限できるか? 8. Flockは過去12か月以内に第三者ペネトレーションテストを完了しているか?結果を確認可能か? 9. 2025年後半に公開されたGainSec CVE群で文書化されたハードウェア脆弱性に対して、Flockはどのように対応しているか? 10. 自社施設に設置されたカメラに対するパッチおよびファームウェア更新プロセスはどうなっているか? より広い視点では、Flockは「ベンダーアクセス監査」を考えるきっかけでもあります。従業員、顧客、業務に関する機密データを保持している第三者プラットフォームは何か?それらへの認証情報を持っているのは誰か?最後に見直したのはいつか?[ロールベースアクセス制御](https://teampassword.com/ja/blog/role-based-access-control-rbac-guide-ja)と定期的なアクセスレビューは、単なる良いセキュリティ慣行ではありません。ベンダー利用範囲が拡大していく中で、この種のリスクへ先回りするための、唯一現実的な方法なのです。 最も危険な認証情報とは、多くの場合「危険そうに見えない」ものです。銀行ログインではありません。2年間静かに機密データを蓄積し、30人が管理者アクセス権を持ち、監査ログもなく、曖昧なオフボーディング手順しか存在しない第三者SaaSツールです。Flockは、クラウドソフトウェアを利用するあらゆる組織に存在する問題の、非常に目立つ例にすぎません。 ## **よくある質問** ### **Flockは30日後にデータを削除するのか?** 30日という期間は、Flockが公表しているデフォルト設定ですが、絶対的なルールではありません。Flock自身のLPRポリシー(2025年11月更新)には、「顧客の法律またはポリシーで異なるスケジュールが必要な場合、ケースごとに保持期間を延長または短縮する可能性がある(may be increased or decreased on a case-by-case basis if a customer's law or policy requires a different schedule.)」と記載されています。30日という期間が重要であるなら、それを契約へ明示的に盛り込むべきです。 ### **Flock社員はカメラデータへアクセスできるのか?** はい。Flockは自社システムが暗号化を使用していると説明していますが、Flock社員はプラットフォームレベルのアクセス権を保持しています。これは通信中および保存時の暗号化であり、送信者と受信者以外がデータへアクセスできない、技術的定義としての真のエンドツーエンド暗号化ではありません。Wyden氏の書簡では、連邦機関がローカル認証情報を利用して無許可の検索を実行していたことが記録されており、アクセスアーキテクチャが見た目以上に広範であることを示唆しています。 ### **Flockが買収された場合、データはどうなるのか?** 30日間保持ポリシーやその他のコミットメントは、法律ではなく、Flockの現行利用規約に基づいています。新しい所有者は、そのポリシーを変更できる可能性があります。これを懸念する場合は、契約締結前に契約条項として明記するよう求めるべきです。 ### **どの都市がFlockカメラを撤去しているのか?** 2026年初頭時点で、移民執行や連邦機関とのデータ共有に対する懸念を主な理由として、Flockカメラの撤去または新規導入停止を始めた都市が増加しています。また、AmazonのRingも、2026年2月にFlockとの提携を解消しました。状況は現在も変化しています。NPRやThe Guardianが、各都市の判断について詳しく報道しています。 ## **TeamPasswordで第三者アクセスを管理** Flockの事例は、クラウドソフトウェアを利用するあらゆる組織に存在するリスクを具体的に示しています。それは、機密性の高いプラットフォームへの認証情報がチーム間で蓄積され、「誰がアクセス権を持ち」「何をしているのか」が中央で把握されていない状態です。TeamPasswordは、まさにその問題に対応するために構築されています。 - **詳細なアクティビティログ:**誰がどの認証情報へアクセスし、いつ利用したかを確認できます。定期的なアクセスレビューや、前述したFlock事例のような内部不正調査後の分析に不可欠です。 - **強制可能な2FA:**組織全体へ二要素認証を義務付けできます。2025年には盗まれたFlock認証情報が犯罪フォーラムへ流出していたため、パスワードのみに依存するのは十分ではありません。 - **複数ユーザーロール:**各チームメンバーへ適切なレベルのアクセス権を付与できるため、管理者認証情報が共有スプレッドシート上を漂うことを防げます。 - **ワンタイム共有:**外部委託業者やパートナーへ、一時的な認証情報アクセスを付与できます。後で削除し忘れるような恒久アクセスを与える必要はありません。 料金プランは、1ユーザーあたり月額400円からです。ぜひ[14日間の無料トライアル](https://app.teampassword.com/signup?locale=ja)でTeamPasswordをご体験ください。

最新情報をお見逃しなく!

このような投稿をもっと読みたい方は、ブログを購読してください。

The Password Manager for Teams

TeamPassword is the fastest, easiest and most secure way to store and share team logins and passwords.

Get Started!