こんにちは。ゼロゼロワンの萩原です。
弊社が開発・提供しているIoT検索エンジンであるKarmaが2020年6月のリリースから5年を待たずに10,000以上のIoT機器が検索できるようになりました。

Karmaでは他のIoT検索エンジンと異なり、極めて高い精度でIoT機器を判別するための「シグネチャ」を用意しています。多くのIoT検索エンジンではバナー（レスポンス）から特定の文字列を抽出してIoT機器の判別を行います。この方式の精度は決して高いとは言えず、また機器名までは抽出できてもバージョン情報を判別できないことが多くあります。

Karmaではバナーの文字列のみに頼るのではなく、それ以外の特徴的なものを組み合わせるシグネチャを開発することによってIoT機器をバージョン情報までを含めて判別可能にしました。勿論、組み合わせに使用する情報をIoT機器に影響を与えうる攻撃パケットによって引き出すことや、IoT機器の管理画面にアクセスすることは一切行っていません。

IoT機器名を用いた具体例を出すことは残念ながらできませんが、過去に総務省が主催する「情報通信ネットワークにおけるサイバーセキュリティ対策分科会（第3回）」においてKarmaを用いて取得可能なデータを活用して発表を行っています。また、Karmaで観測されている日本のIoT機器の利用状況についてはこちらのX（旧Twitter）のアカウントで公開しています。

シグネチャが充実することによって、Karmaを利用しているユーザはどの様なIoT機器が利用されいてるのかをより明確に可視化することが可能になります。自宅のルータの安全性をチェックする横浜国立大学の「am i infected?」はKarmaのシグネチャをベースとしていますのでより詳細なチェックが可能になります。

ゼロゼロワンは今後もKarmaのシグネチャを増やしていき日本のIoT機器の現状を可視化することにより、現実に沿った改善を提案していきます。

具体例が出せないため、文字だらけの報告となりましたがご容赦ください！