COCONCOCON

NEWSNEWS

2020.06.08 プレスリリース

IoT機器の情報を可視化するSaaS型の検索エンジン「Karma」の正式版を提供開始

国内のIoT機器情報を可視化することで組織内の適切な機器管理が可能に

 

株式会社ゼロゼロワン(本社:東京都渋谷区、代表取締役 CEO:萩原雄一、以下「ゼロゼロワン」)は、国内のIoT機器の情報を可視化するSaaS型の検索エンジン「Karma」の正式版サービスを2020年6月1日(月)より提供開始しました。

Karma: https://www.00one.jp/karma/

■ IoT検索エンジン「Karma」正式版について

本サービスは、インターネットに接続された国内のIoT機器情報を網羅的に検索するサービスです。独自開発したシグネチャ(※1)により、国内に流通するIoT機器のモデル名やファームウェアのバージョンなど、詳細な機器情報の判別が可能になります。各機器に紐づくOSINT情報(※2)の検索や、バナーに含まれる日本語検索を組み合わせることで、様々なユースケースに対応した柔軟な検索が可能です。
「Karma」を利用することにより、IoT機器メーカーは自社の製品がどこで使用されているかを確認できるようになり、また、ISPや企業のIT部門は利用者の設定不備等によってインターネット上に不適切に公開している機器がないかを管理者自身が調査できるようになるため、組織内において適切なIoT機器管理が可能となります。さらに、「Karma」は開発からサービスの提供までをすべて日本で行っているため、安心してご利用頂けます。
2020年3月から一部ユーザー向けにβ版の提供を開始し、そこで得たご意見やご要望を踏まえ、この度、正式版の提供を開始いたしました。「Karma」正式版は、検索速度の向上、シグネチャ・登録OSINT情報の充実、検索機能の改善など、β版の提供開始時と比べ多くの機能改善を実現しました。なお、サービスの特性を考慮し、ご提供は法人様に限定しております。
(※1) ゼロゼロワンが独自開発したIoT機器の判別パターンです。
(※2) OSINT(オシント)とは、オープン・ソース・インテリジェンスの略称です。新聞・雑誌・テレビ・インターネットなど一般に公開され利用可能な公開情報を情報源に有益な情報を収集する手法を指します。

■ 開発の背景

近年、IoT機器を狙ったサイバー攻撃は増加傾向にあり、国立研究開発法人情報通信研究機構(NICT)サイバーセキュリティ研究所がまとめた「NICTER観測レポート2019(※3)」によると、2019年に観測されたサイバー攻撃関連の通信は2018年と比較して約1.5倍に増加したと報告されました。その内およそ半数がウェブカメラやホームルーターなどIoT機器で動作するサービスや脆弱性を狙った攻撃でした(調査目的のスキャンパケットを除く)。さらに、IoTマルウェアの一種である「Mirai亜種」が機能を拡張し、攻撃活動を進化させていく様子がダークネット観測で確認されたと報告がありました。
ゼロゼロワンは設立当初より、総務省とNICTが取り組む「NOTICE(※4)」との連携、ファームウェア解析を通じたIoT機器のセキュリティ検証に取り組んできました。IoT機器の脆弱性やIoT機器を狙うマルウェアなどによって、利用者が知らないうちに被害者や加害者になることのないよう、安心してIoT機器を使える世の中にしたいという思いから「Karma」の開発に至りました。
(※3) NICTER観測レポート2019(URL:https://www.nict.go.jp/cyber/report/NICTER_report_2019.pdf)
(※4) NOTICE(National Operation Towards IoT Clean Environment)は、総務省、国立研究開発法人情報通信研究機構(NICT)及びインターネットプロバイダが連携し、IoT機器へのアクセスによる、サイバー攻撃に悪用されるおそれのある機器の調査及び当該機器の利用者への注意喚起を行う取組です。(平成31年2月20日(水)より実施)

■ IoT検索エンジン「Karma」の特徴

1. 膨大な情報量によるIoT機器の可視化の実現
サービスの提供開始にあたり、ゼロゼロワンではIoT機器に限らず国内で使われているグローバルIPアドレスについて2,500万以上のOSINT情報を収集(※5)しました。OSINT情報には、それぞれのグローバルIPアドレスで使用されているポート・プロトコル、所在地やWHOISで得られる登録者の情報、バナー情報が含まれます。
(※5) Karmaに登録されている情報はOSINTを情報源としており、ゼロゼロワンが直接それぞれのIPアドレスに対してポートスキャン等を行った結果ではありません。OSINT情報は日々収集しており、随時最新のものがKarmaに反映されます。

2. 独自開発した判別手法(シグネチャ)
IoT機器の特定を行うため、ゼロゼロワンではシグネチャ開発を進めています。OSINT情報と照らし合わせることでより詳細な情報(IoT機器の種別、開発ベンダー、シリーズ、モデル、ファームウェアバージョン)が得られます。これまでゼロゼロワンが解析を行ったIoT機器はルーターなどを中心に優に1,000を超え、今後も日々開発を進めています。
Karmaではこれらの情報を自由に検索できます。例えば外部に公開されている自組織のIoT機器の可視化や、サイバー攻撃に使われている機器を容易に検索することが可能です。

図1:Karmaの仕組み

3. 多彩な検索方法に対応
「Karma」は様々なパターンでの検索が可能です。任意のキーワードから検索できる「フリーワード検索」をはじめ、「IPアドレス検索」、「ポート検索」、「プロトコル検索」などの検索ができるほか、検索結果の統計情報を取得し、トップ10のポート、プロトコル、都市、組織を調べることができます。(Karmaで検索可能な情報、検索例については、下記【ご参考】をご覧ください。)

■ 「Karma」正式版のご提供価格

標準ご契約プラン:基本パッケージ(6ユーザーまで)750万円/年間(税抜き)
詳細については下記へお問い合わせください。
https://www.00one.jp/karma/

■ 今後の取り組み

「Karma」は、今後さらなるOSINT情報の充実を予定しています。シグネチャについては、ルーター以外にもウェブカメラや複合機などを対象に開発を進めており、より多くの情報へ容易なアクセスの実現を目指します。
また、ゼロゼロワンのコンサルタントが、お客様に代わって組織内におけるIoT機器状況についてリスクアセスメントを行う「IoTモニタリングサービス」の提供も予定しています。

 

【ご参考】

・Karmaで検索可能な情報

表:Karmaで検索可能な情報

検索対象 補足
フリーワード
検索範囲を指定せずに任意のキーワードで検索が可能です。
IPアドレス検索
特定のIPアドレス/IPアドレス帯域を指定して検索が可能です。
FQDN検索
特定の文字列が含まれるFQDNの検索が可能です。
ポート検索
特定のポートを指定して検索が可能です。
プロトコル検索
特定のプロトコルを指定して検索が可能です。
CITY検索
特定の都市を指定して検索が可能です。
ORG検索
特定の組織名を指定して検索が可能です。なお、当該組織はIPアドレスの登録者である必要があります。
バナー(※6)検索
特定の文字列が含まれるバナーの検索が可能です。
タイトル検索
特定の文字列がHTMLのタイトルに含まれるバナーの検索が可能です。
タイプ検索(※)(※7)
特定のIoT機器の種別の検索が可能です。
ベンダー検索(※)
特定のIoT機器ベンダーが開発した製品の検索が可能です。
シリーズ検索(※)
特定のIoT機器ベンダーが開発した製品のシリーズの検索が可能です。
モデル検索(※)
特定のIoT機器ベンダーが開発した製品のモデルの検索が可能です。

(※6) サーバからのレスポンスを指します。
(※7) ※がついているものはシグネチャが開発されているIoT機器のみの対応となります。

 

・Karmaの検索例

検索例①:自組織のIPアドレス帯域から意図しない設定で公開されているIoT機器/IT機器を確認したい場合

1) Karmaの検索フォームに自組織のグローバルIPアドレス帯域を入力し検索する。
入力書式 ip:XX.XX.XX.XX/Y
自組織のIPアドレス帯域をCIDR形式で指定

2) 得られた結果から特定のポートに絞って検索を行うことも可能(例えばIoT機器を狙うサイバー攻撃が最も多い23番ポートなど)。
入力書式 ip:XX.XX.XX>XX/Y port:23
23番ポートのみを指定して検索

3) 以下の検索結果が表示される。

 
図2:検索例①の検索結果の一部

4) 検索結果の情報を確認する。
実際のIPアドレスにアクセスして存在を確認し、公開を意図していないIoT機器の場合には適切な設定に変更する。(検索結果より、IoT機器の管理において脆弱なサービスであるTelnetを利用しているものが1,023件確認できたことが判明した例)

 

検索例②:自組織内で初期設定のままパスワード等の設定がされていない可能性のあるIoT機器を検索したい場合

1) Karmaの検索フォームに自組織のグローバルIPアドレス帯域を入力し検索する。
入力書式 ip:XX.XX.XX.XX/Y
自社のIPアドレス帯域をCIDR形式で指定

2) HTMLのタイトル検索を使用して絞り込みを行う。
入力書式 ip:XX.XX.XX.XX/Y intitle:初期設定&パスワード
HTMLのタイトルに初期設定のほか、パスワードが含まれているもので絞り込み

3) 以下の検索結果が表示される。

 
図3:検索例②の検索結果の一部

4) 検索結果を確認する。
バナー情報に「管理者パスワードの初期設定」が表示されていることから、初期設定がされていないと判断できる。
さらに「CITY検索」を追加し都市ごとの傾向の確認や、異なるIPアドレス帯域または特定の組織名を指定することにより他社との比較も可能。

 

検索例③:自社製品(IoT機器)の利用状況およびファームウェアの更新状況を検索したい場合(※8)

1) Karmaの検索フォームに自社製品のモデル名を入力し検索する。
入力書式 model:WiFiRouter5Ghz
自社製品のモデル例として「WiFiRouter5Ghz」で検索

2) 以下の検索結果が表示される。

 
図4:検索例③の検索結果の一部

3) さらに統計情報を取得してファームウェアの分布状況を確認

 
図5:検索例③の検索結果から得た統計情報

4) 検索結果を確認する。
このように、ゼロゼロワンが開発したシグネチャが対応している機器についてはより正確な情報を取得することが可能。ファームウェアの分布状況を確認することにより、利用者にとってファームウェアの更新のきっかけとなったきっかけ(強制アップデートの導入等)を確認して、より効果的な方法を検討することが可能です。

(※8) シグネチャが開発されているIoT機器のみの対応となります。