IoT検索エンジン「Karma」、セキュリティリスクを可視化する新機能を追加

〜脆弱性情報やバージョン情報などからリスクを評価し、セキュリティリスクのある機器を一目で把握可能に〜

株式会社ゼロゼロワン

株式会社ゼロゼロワン(本社:東京都渋谷区、代表取締役 CEO:萩原雄一、以下「ゼロゼロワン」)は、IoT機器検索エンジン「Karma」の新機能としてIoT機器のセキュリティリスクを可視化する機能を2020年10月19日より提供開始します。
本機能追加では、Karmaが検索したインターネット接続されているIoT機器について、既存の脆弱性情報やファームウェアバージョンなどからセキュリティリスクを評価し、「高リスク」、「注意」の分類をすることで、リスクのある機器を一目で把握することが可能になります。

Karma:https://www.00one.jp/karma


■ 機能追加の背景
Karmaは、既存のIoT検索エンジンでは困難だった国内のIoT機器の機種特定について、独自開発した判別方式(シグネチャ)により国内に流通するIoT機器のモデル名やファームウェアバージョンなど詳細な機器情報の判別を可能にしました。今年6月から「Karma」を提供開始し、導入・体験いただいたお客様からの『セキュリティリスクを視覚的に把握したい』というニーズを受け、この度セキュリティリスクを可視化する機能を追加しました。

■ 「セキュリティリスクレベル」とリスクレベル判定の根拠となる「タグ」
今回の機能追加により、直ぐに使用を中止した方が良い機器や対処が必要な機器を「高リスク」、設定や運用方法によってはセキュリティリスクが生じ得る機器を「注意」とする2種類のリスクレベルを用意しました。また、セキュリティリスクレベルの判定の根拠となる情報を、以下のタグ情報として可視化しました。

・セキュリティリスクレベルとタグ一覧

(高リスク)

タグの名称 内容
end_of_life(サポート終了) サポートが終了している機器です。
脆弱性が新しく発見されたとしても修正されることはないため、直ちに対処が必要です。
initial_state(初期状態) 初期設定がされていない機器です。
アクセスされた時点で任意の設定に変更させられる可能性が高いため、直ちに対処が必要です。
leaked_credential(認証情報が漏洩)  管理者権限で利用できるID及びパスワードが流出している機器です。
アクセスされた時点で設定情報の窃取・改ざんが可能んため、直ちに対処が必要です。
vuln_known(既知の脆弱性) バナー情報から、脆弱なプロトコルやチップセットを使用していると判断された機器です。
利用におけるセキュリティの緩和策がないため、直ちに対処が必要です。
vuln_001(ゼロデイ) ゼロゼロワンが解析した結果、リモートからのShellの乗っ取りや、管理画面への侵入が可能等、重大な重要性があると判明した機器です。
脆弱性情報を得さえすれば容易に攻撃できるため、直ちに対処が必要です。


(注意)

タグの名称 内容
no_updates(1年以上更新なし) ファームウェアが最後に更新されてから1年以上経過している機器です。
機器メーカーが明言していないものの、サポート期間が終了している可能性があり、注意が必要になります。
not_latest(最新状態にしていない) 使用しているファームウェアが最新ではない機器です。
更新されたファームウェアにおいて脆弱性が修正されている場合、注意が必要になります
known_credential(認証情報が既出)    デフォルトID及びパスワードが既知である機器です。
設定を変更していない場合、容易に不正にアクセスされるため注意が必要になります。
no_auth(認証機構無し) 使用にあたり認証を必要としない機器です。
機密性が求められる業務に使用するには注意が必要になります。
known_id(IDが既出) デフォルトIDが既知である機器です。
デフォルトIDが変更できない場合もありますが、安易なパスワードを使用している場合、不正にアクセスされるリスクが高まるため注意が必要になります。

 

これらのセキュリティリスクレベル及びタグ情報については、「Karma」の検索結果の一覧及び詳細画面においても確認できるよう以下のようにラベル付けしております。(参照:図1・2)

・画面イメージ

検索結果一覧画面検索結果一覧画面

詳細ページ画面詳細ページ画面


ゼロゼロワンは、今後「Karma」のユーザーからもタグ情報について要望を募り、継続的に機能の拡充を図ってまいります。


■ 株式会社ゼロゼロワン 会社概要
ゼロゼロワンは、IoT機器開発事業者向けに設計段階におけるセキュリティ面での不安解消や想定外の脅威を作らないための支援を行うとともに、IoT機器を安全・安心に利用してもらうための啓蒙活動を行う会社です。IoT機器の普及に伴いインターネットに繋がることが当たり前になった時代の不安を取り除くために生まれました。
事業の柱は、OSINTを含む様々な情報を可視化する検索エンジンであるKarmaと、より安全な製品開発のためのコンサルティングサービスです。

会社名  株式会社ゼロゼロワン
代表者  代表取締役 CEO 萩原 雄一、代表取締役 CTO 佐藤 勝彦
設 立  2019年8月23日
資本金  5,000万円
所在地  東京都渋谷区本町3丁目12番1号 住友不動産西新宿ビル6号館7階
事業内容 IoT機器のシステム解析・コンサルティングサービス・調査研究・啓蒙活動等
URL  https://www.00one.jp/

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


会社概要

株式会社ゼロゼロワン

4フォロワー

RSS
URL
https://www.00one.jp/
業種
サービス業
本社所在地
東京都渋谷区本町4-22-10 パークハビオ渋谷本町レジデンス219号
電話番号
-
代表者名
萩原 雄一
上場
未上場
資本金
5000万円
設立
2019年08月