IoT検索エンジン「Karma」がセキュリティリスクを可視化する新機能を追加

ゼロゼロワンは10月19日、SaaS型IoT機器検索エンジン「Karma」（カルマ）の新機能として、IoT機器のセキュリティリスクを可視化する機能の提供を開始した。

Karmaは、インターネットに接続された国内のIoT機器情報を網羅的に検索するサービス。「SHODAN」（ショーダン）や「Censys」（センシス）など既存IoT検索エンジンでは困難な国内で流通するIoT機器の機種特定について、独自開発の判別方式（シグネチャ）によりモデル名やファームウェアバージョンなど詳細な機器情報の判別を可能としている。

2020年6月からKarmaを提供開始したところ、「セキュリティリスクを視覚的に把握したい」というニーズを受け、可視化する機能を追加したという。

今回の新機能では、Karmaが検索したIoT機器について、既存の脆弱性情報やファームウェアバージョンなどからセキュリティリスクを評価・分類。すぐに使用を中止した方が良い機器や対処が必要な機器を「高リスク」、設定や運用方法によってはセキュリティリスクが生じ得る機器を「注意」とする2種類のリスクレベルを用意。さらに、セキュリティリスクレベルの判定の根拠となる情報をタグ情報として可視化した。

セキュリティリスクレベルとタグ一覧（抜粋）

• • end_of_life（サポート終了）: サポートが終了している機器。脆弱性が新しく発見されたとしても修正されることはないため、ただちに対処が必要
  • leaked_credential（認証情報が漏洩）: 管理者権限で利用できるIDおよびパスワードが流出している機器。アクセスされた時点で設定情報の窃取・改ざんが可能なため、ただちに対処が必要
  • vuln_001（ゼロデイ）: ゼロゼロワンが解析した結果、リモートからのShellの乗っ取りや、管理画面への侵入が可能など、重大な重要性があると判明した機器
  • no_updates（1年以上更新なし）: ファームウェアが最後に更新されてから1年以上経過している機器。機器メーカーが明言していないものの、サポート期間が終了している可能性があり、注意が必要
  • known_credential（認証情報が既出）： デフォルトIDおよびパスワードが既知である機器。設定を変更していない場合、容易に不正にアクセスされるため注意が必要
  • no_auth（認証機構なし）： 使用にあたり認証を必要としない機器。機密性が求められる業務に使用するには注意が必要

これらのセキュリティリスクレベルおよびタグ情報については、Karma検索結果の一覧・詳細画面でも確認できるようラベル付けしている。

2019年8月設立のゼロゼロワンは、IoT機器開発事業者向けに、設計段階におけるセキュリティ面での不安解消や想定外の脅威を作らないための支援を行うとともに、IoT機器を安全・安心に利用してもらうための啓蒙活動を行うスタートアップ企業。IoT機器の普及にともない、インターネットに繋がることが当たり前になった時代の不安を取り除くとしている。

事業の柱として、公開情報を情報源とするOSINT（オシント。Open Source INTelligence）を含め様々な情報を可視化する検索エンジンであるKarmaと、より安全な製品開発のためのコンサルティングサービスを推進している。

関連記事
・匿名制「ヘンタイ」ポルノサイトのユーザー情報110万件が流出
・デフォルトのパスワードを使えば、何千台もの業務用冷凍庫を遠隔解凍できる
・人気の接続ストレージに脆弱性、パスワードなしでアクセス可能に

カテゴリー: セキュリティ

タグ: IoT、OSINT、ゼロゼロワン、Karma、日本

• Original:https://jp.techcrunch.com/2020/10/19/00one-karma/
• Source:TechCrunch Japan
• Author:Takashi Higa