　ただしKarmaでは、ゼロゼロワンがダイレクトにスキャンを実施することはなく、また「Shodan」や「Censys」のようにスキャンから得られる情報を提供するだけではないそうです。これら検索エンジンはセキュリティ調査・研究のために作られたものですが、ともすれば攻撃者に手掛かりを与える恐れがあります。

　そこでKarmaではOSINTのようにオープンに入手できる情報に加え、機器の特定につながるシグネチャ情報を収集し、それを独自のデータベースの情報と突合することで、「このような機器がつながっているはず」と推測して情報を表示すると萩原氏は説明しました。独自開発するKarmaの情報であれば、海外製品のOEMを受けて日本国内の企業が独自の作り込みを加えた機器も検出できると期待しているそうです。

　何より「まず見えていない事柄が多いので、第一段階として可視化することに意味があると考えている。セキュリティ改善に向けた提案を経営層に向けて行う際の根拠としてもうまく使ってもらえれば」と萩原氏は述べました。日本の企業が開発し、国内にエンジンがあるため、海外の検索エンジンで検索する行為自体がリスクにつながるのではないかという懸念も解消できるといいます。

　ただ、Karmaは広く一般に公開するのではなく、機器ベンダーやISP、あるいは公的機関や大学などに限っての提供となる見込みです。「この情報が攻撃を誘発することがないよう、自組織に関する情報や統計情報以外はマスキングして提供する予定だ。年内にProof of Conceptを開始し、フイードバックを得ながら改善していく」（萩原氏）

　IoTの分野は大きなチャンスであると同時に、一歩間違えればユーザーをリスクにさらしかねません。こうした背景からPSIRTのような組織を設けて、セキュリティ品質の向上に取り組む企業が登場しています。ゼロゼロワンもそうですが、そんな取り組みを支援する企業が増えていくことに期待したいと感じました。

政府のIoT機器調査、無差別の「力業」に踏み切った背景は
政府が、サイバー攻撃に悪用される恐れのあるIoT機器を洗い出し、ユーザーに注意喚起を行う「NOTICE」を始める。なぜ、こうした力業に踏み切ったのか。
なぜ、セキュリティを意識したサイトでも「認証に不安が残る」のか
セキュアスカイ・テクノロジーが、Webサービスの認証を取り巻く「攻撃」と、それに付け入れられる隙となる「脆弱性」の実態を紹介するセミナーを開催。積極的に脆弱性診断を受けるほどセキュリティに気を配っているサイトでも、不備が多々見つかったという。
脆弱なIoT機器への「偵察行為」激化　正体不明のスキャンシステムが多数存在
安易なパスワードが設定されていたり、脆弱性が存在したりする状態のIoT機器を探し出す「偵察行為」が激化。横浜国立大学大学院の吉岡克成准教授によると、世の中には、実態が分からないスキャンシステムも存在するという。
史上最悪規模のDDoS攻撃　「Mirai」まん延、なぜ？
インターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件から得られた教訓を、IoTの世界で生かせないか――そんな対策のヒントを探る連載がスタート。