本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
IoTセキュリティ診断(組み込み機器診断)は悪意を持った攻撃者の観点で疑似攻撃を行うアセスメントです。サーバ等と異なり、組み込み機器は攻撃者の手元に存在するため、ソフトウェア面だけではなく、ハードウェア面からも攻撃を受ける可能性があります。
IoT機器の場合、市場に出回る前のセキュリティ対策が重要です。IoTセキュリティ診断(組み込み機器診断)では、実際に攻撃を受けた場合の被害を事前に調査することでリリース前の対策の計画や製品のロードマップに活用することが可能です。
サービス内容
MBSDの組み込み機器セキュリティ診断(IoTセキュリティ診断)では悪意を持った攻撃者の観点で疑似攻撃を行います。機器管理用のコンソールなどで用いられるWebアプリケーションに対する診断やサービスを提供するポートに対するネットワーク脆弱性診断/ペネトレーションテストのアプローチだけではなく、独自仕様が盛り込まれることがある組み込み機器の通信やハードウェアに対して、経験豊富なセキュリティエンジニアが対象機器の脆弱性有無を手動で調査を行います。
組み込み機器では用途や特性に応じて様々な脅威が発生します。 MBSDの組み込み機器セキュリティ診断(IoTセキュリティ診断)では、現実に即した驚異シナリオに沿って、ハードウェア面、ソフトウェア面など様々な観点から評価、分析を行います。
一般的に組み込み機器は、市場に出回ってからセキュリティ対策を行う場合、莫大なコストが発生します。市場に出回る前のセキュリティ対策はもちろん、既に市場に出回っている場合には、後続機種への修正反映することを目的として実施することが有効です。
サービスの特徴
機種の機能、特性等を考慮して実際の脅威や攻撃のシナリオ等を評価
組み込み機器は、機器ごと様々なサービスが提供されます。例えばIPカメラであれば、管理コンソールが乗っ取られないかと言う観点だけではなく、カメラの映像を盗み出すことはできないか、というように、機種の機能、特性等を考慮して実際の脅威や攻撃のシナリオを組み立て評価します。
IoT機器に対する深い知見と、高い解析技術
IoT機器では、独自のプロトコル(通信規格)によって制御されているケースが多く見受けられます。こういった独自仕様の通信に対して、解析を行い、問題点を見つけることができる高い解析技術を有しています。
多数の脆弱性発見実績
JPCERT/CCとIPAが共同で運営するJVN(Japan Vulnerability Notes)への脆弱性報告の公表において、新たな脆弱性(0day)を累計200件以上も報告しています。特に組み込み機器に関する報告も多数行っており、未知の脆弱性を発見する高いスキルを持つセキュリティエンジニアが弊社に多数在籍しています。
| CVE番号 | 問題概要 | CVSSv3基本値 |
|---|---|---|
| CVE-2019-5985 | クロスサイトスクリプティング | 6.1 |
| CVE-2019-5986 | クロスサイトリクエストフォージェリ | 6.5 |
| CVE-2018-16197 | アクセス制限不備 | 6.3 |
| CVE-2018-16198 | 隠れた機能 | 8.8 |
| CVE-2018-16199 | クロスサイトスクリプティング | 6.1 |
| CVE-2018-16200 | OS コマンドインジェクション | 8.8 |
| CVE-2018-16201 | 認証情報がハードコードされている問題 | 8.8 |
| CVE-2018-0688 | オープンリダイレクトの脆弱性 | 4.7 |
| CVE-2018-0689 | HTTP ヘッダインジェクションの脆弱性 | 4.7 |
| CVE-2018-0661 | 認可・権限・アクセス制御 | 6.3 |
| CVE-2018-0662 | データの信頼性についての不十分な検証 | 4.3 |
| CVE-2018-0663 | 認証情報がハードコードされている問題 | 4.7 |
| CVE-2018-0676 | 認証不備 | 8.8 |
| CVE-2018-0677 | OS コマンドインジェクション | 6.8 |
| CVE-2018-0678 | バッファオーバーフロー | 6.8 |
| CVE-2018-0634 CVE-2018-0635 CVE-2018-0636 CVE-2018-0637 CVE-2018-0638 CVE-2018-0639 |
OS コマンドインジェクション | 6.8 |
| CVE-2018-0640 CVE-2018-0641 |
バッファオーバーフロー | 6.8 |
| CVE-2018-0629 CVE-2018-0630 CVE-2018-0631 |
OS コマンドインジェクション | 6.8 |
| CVE-2018-0632 CVE-2018-0633 |
バッファオーバーフロー | 6.8 |
| CVE-2018-0625 CVE-2018-0626 CVE-2018-0627 CVE-2018-0628 |
OS コマンドインジェクション | 6.8 |
| CVE-2018-0554 | 認証欠如の問題 | 8.8 |
| CVE-2018-0555 | バッファオーバーフロー | 5.0 |
| CVE-2018-0556 | OS コマンドインジェクション | 6.3 |
| CVE-2018-0521 | 認証欠如の問題 | 8.8 |
| CVE-2018-0522 | バッファオーバーフロー | 5.0 |
| CVE-2018-0523 | OS コマンドインジェクション | 6.3 |
| CVE-2018-0512 | OS コマンドインジェクション | 6.3 |
サービス提供フロー
1. 事前準備
- IoT機器に関するヒアリング及び事前の情報提供
- IoT機器の貸し出し手続きの実施
- 対象機器の理解
- シナリオ作成と診断スコープの決定
※お預かりするIoT機器は業務従事者のみに入退出が制限された作業部屋に保管し、作業を実施致します。
※貸し出しが行えない場合にはご相談ください。
2. 診断作業
完全手動による診断作業を実施。
3. 分析・評価
検出された問題の分析・評価を行います。
4. 報告
評価の結果を報告書にてご報告いたします。
本サービスに関するお問い合わせはこちら
