広報の馬場です。
今回のブログでは、本日発表したセキュリティリスクを判定する「タグ」について、どの様な情報が可視化できるようになったのかを、新機能を使った検索例を交えて紹介します。

Karmaの特徴

Karmaを知らない方もいらっしゃるかと思うので、簡単に特徴を紹介します。
Karmaは、インターネット接続された国内のIoT機器を網羅的に検索するサービスです。
SHODANやCensysなど既存のIoT検索エンジンとの大きな違いとして、独自開発した判別手法（シグネチャ）により、国内に流通するIoT機器のモデル名やファームウェアバージョンなど、機器情報が詳細まで判別できるという特徴が挙げられます。
Karma以外のIoT検索エンジンでは、バナー情報から推測するしかないためIoT機器のモデルの特定できないことが多くあります。

それでは、実際にKarmaで国内のグローバルIPに繋がっているルータを検索してみます。
Karmaの検索窓に「type:router」と入力します。

検索結果一覧ページ右側の統計情報を展開すると、さらに開発メーカー（ベンダー）やモデル名、さらにはファームウェアバージョンまで簡単に調べることが可能です（下図参照）。

このように特定のベンダーやモデルをクリックすることによって絞り込み検索も可能です。

今回の機能追加で何が可視化できるのか

ここからは、今回発表したセキュリティリスクの評価と、その根拠となる「タグ」について紹介します。
これまでは、Karmaで検索されたIoT機器にセキュリティリスクがあるか調べたい場合、ユーザー自身で「サポート期間内か」「最新のファームウェアバージョンか」「脆弱性情報は無いか」などの情報を調べる手間がありました。
今回の機能追加により、直ぐに使用を中止した方が良い機器や対処が必要な機器を「高リスク」、設定や運用方法によってはセキュリティリスクが生じ得る機器を「注意」とする、２種類のリスクレベル評価を検索結果一覧画面に表示しました。

例えば、国内のルータ（グローバルIPアドレスが付与されているもの）で、最新のファームウェアバージョンが使われていないものがどれくらいあるのか調べてみます。
Karmaの検索窓に「type:router※1」と「tag:not_latest※2」と入力すると、下の図のような検索結果が得られます。
※1 type:router　シグネチャがルータと判別している機器
※2 tag:not_latest　最新状態にしていない

Karmaでは、検索対象のヒット数が10,000件以上の場合、ヒット数は「総数：10,000件以上」と表示されますが、先ほどの検索した「type:router」検索結果の詳細結果「VENDORS」を見ると、Karmaを使ってルータと判明している機器のIPアドレスは、およそ44,000件ほどあると考えられます。その内、「not_latest（最新状態にしていない）」状態のルータが11,004件確認できたため、この結果からおよそ25%のルータでは最新のファームウェアが適用されていないことが分かります。

タグの紹介

ほかにも代表的なタグを紹介します。

・end_of_life（サポート終了）【高リスク】
メーカーによってはIoT機器のサポート期間を明確にしていたり、機器のサポートが終了したとWebサイトにおいて明記しております。「tag:end_of_life」と検索をすることでサポート期間が終了した機器を検索することが可能です。

・initial_state（初期状態）【高リスク】
初期設定がされずに利用されている機器に付与されるタグです。当該IPアドレス/ポートにアクセスされた際に任意の設定が可能ですので直ぐに対処が必要となります。

・vuln_001（ゼロデイ）【高リスク】
弊社が独自に機器を解析した結果、リモートからのShellの乗っ取りや管理画面に侵入ができる等の重大な脆弱性があると判断したモデル/ファームウェアバージョンに付与されるタグです。

・no_updates（1年以上更新なし）【注意】
サポート期間が曖昧なメーカーもあります。それらについては、機器のファームウェアが最後に更新されてから1年以上経過している場合にこのタグが付与されます。このタグによって、セキュリティのバグ（脆弱性）が検出された際に、メーカーが対応してくれるかをある程度判断することが可能です。

・not_latest（最新状態にしていない）【注意】
使用しているファームウェアが最新ではない機器です。更新されたファームウェアにおいて脆弱性が修正されている場合、注意が必要になります。

・known_credential（認証情報が流出）【注意】
デフォルトのID/パスワードがマニュアル等に記載されている機器に付与されるタグです。IoT機器の利用者がパスワードを変更せずに使用している場合は簡単にログインすることが可能ですので運用上の注意が必要です。

これらのタグを使って、より詳細に機器の検索することが可能になりました

まとめ

今回のKarmaの新機能によってメーカーは市場に投入された後の製品がどの様に使用されているのかを把握することが可能になり、それぞれの機器の利用者に対してより効果的な注意喚起ができるのではないかと期待しています。

また、ISP/情報システム部門のネットワークセキュリティ管理者に対して、リスクのある機器が一目で分かるようになるため、より効果的なアクションが取れると期待しています。

ゼロゼロワンでは、今後もシグネチャやタグの開発を進めていきます。その他にも、お客様からのご要望にによっては、特定の機器に対するシグネチャやタグの開発を行うことも可能です。