Shodan概要

Shodanは、インターネットに接続されたデバイス用の検索エンジンです。 従来のWebサーチエンジンとは異なり、Webサーバーだけでなく、インターネットに公開されている産業用制御システム、ネットワーク機器、Webカメラ、プリンターなど様々なIoTデバイスを検索できます。デバイスがインターネットに直接接続されている場合は、Shodan は公開されているさまざまな情報を照会することが可能です。

Shodanの主な機能

Shodan Search

Shodanが収集した情報をウェブサイトを通じて利用可能にするメイン検索エンジンです。 Shodanが収集したデータにアクセスするための主なインターフェイスは、下記URLです。
https://www.shodan.io

デフォルトでは、検索クエリは過去30日以内に収集されたデータを検索するため、現時点でのインターネットの正確な状況を提供することが可能です。 検索だけでなく、このウェブサイトは以下の機能も提供しています：

データダウンロード

検索を完了した後、上部にある「Download Data」というボタンをクリックすると、検索結果をJSON、CSV、XMLフォーマットでダウンロードすることが可能です。

• JSONフォーマット
  各行にShodanが収集した完全なバナーとすべての付随するメタデータが含まれるファイルを生成します。利用可能なすべての情報を保存するため、推奨されるフォーマット。
• CSVフォーマット
  IP、ポート、バナー、組織、ホスト名を含むファイルを返します。CSVファイル形式の制限により、Shodanが収集するすべての情報は含まれていません。結果の基本的な情報のみが重要で、Excelなどの外部ツールにすぐにロードしたい場合はこのフォーマットを使用します
• XMLフォーマット
  検索結果を保存する古い非推奨の方法。JSONよりも扱いにくく、容量を消費するため、非推奨となっています。

データをダウンロードするには、ウェブサイトで購入した1回限りのエクスポート権が消費されます。 これらはShodan APIとは何の関係もなく、月ごとに自動的に更新されることもありません。1つのエクスポート権で最大10,000件の結果をダウンロードできます。 ウェブサイトによって生成されたデータファイルは、ウェブサイトのダウンロードセクションから取得できます。

レポート生成

ウェブサイトでは、検索クエリに基づいてレポートを生成することができます。このレポートには、結果がインターネット上にどのように分布しているかの全体像を示すグラフ/チャートが含まれています。この機能は無料で、どなたでもご利用いただけます。

レポートには以下のような情報が含まれています。

• 検索結果の分布グラフ：
  ・国別、組織別、運用体制(OSやサービス)別などの集計グラフが表示される
  ・検索結果がインターネット上でどのように分布しているかを視覚的に把握できる
• トップリスト：
  ・最も多く検出された国、組織、OSなどのランキングリスト
• 時系列データ：
  ・検出された機器の増減の推移グラフ

共有検索クエリ（Shared Search Queries）

ShodanのShared Search Queriesは、Shodanユーザーが作成して共有した検索クエリのディレクトリです。 Shodan上の検索ディレクトリを利用することで、コミュニティの共有知識を活用できます。ユーザーは容易に自分の検索クエリを説明し、タグ付けして他者と共有できます。

【特徴】

• 検索クエリを説明し、タグ付けして保存できる
• 他のユーザーが作成した検索クエリを参照・活用できる
• 探したいデバイスの種類(ウェブカメラ、プリンターなど)や、特定のソフトウェア、脆弱性に関連した検索クエリがある
• 自分で検索クエリを組み立てるのが難しい初心者にとって有用

Shodan Maps

Shodan Mapsは、Shodanの検索結果を地図上で視覚的に表示するツールです。通常のShodanウェブサイトでは検索結果がテキストベースで表示されますが、Mapsではその結果を世界地図上にプロットできます。ズームイン、パン、GeoIP情報に基づく結果の絞り込みが可能です。 1回に最大1,000件の結果を表示し、ズームイン/アウトするとMapsが調整され、現在見ている領域の結果のみが表示されます。

Shodan Maps主な機能

• 地図上での結果の可視化
  検索結果がマップ上のポイントとして表示されるため、デバイスの分布状況を直感的に把握できます。
• 位置情報に基づく結果のフィルタリング
  地図を拡大/縮小すると、表示範囲内の結果に自動でフィルタリングされます。
• 様々なマップスタイルの選択可能
  デフォルトのスタイルに加え、ストリートマップなどのスタイルを選べます。
• メインウェブサイトと同じ検索条件が使用可能
  国、都市、OS、ポートなど、本サイトで使える検索条件がそのまま使えます。

Mapsは最大1,000件の結果を一度に表示できるので、大量の結果を視覚的に分析するのに適しています。セキュリティリスクの特定や、世界規模でのデバイス分布状況の把握などに活用できるツールです。

Shodan Images

Shodan Imagesは、さまざまなサービスのスクリーンショットを収集しています。メンバーになると、これらのスクリーンショットをより簡単に閲覧できる新しい検索インターフェイスを利用できるようになります。

上部の検索ボックスはメインのShodan検索エンジンと同じ構文を使用しています。組織やネットブロックでフィルタリングするのに最適ですが、表示される画像の種類をフィルタリングするのにも使用できます。

画像データは下記の5つの異なるソースから収集されています。

• VNC
• リモートデスクトップ(RDP)
• RTSP
• ウェブカメラ
• X Windows

各画像ソースは異なるポート/サービスに由来するため、異なるバナーを持っています。

Shodan Monitor

インターネットから直接アクセスできるすべてのデバイスを把握することができます。露出したすべてのサービスを包括的に表示し、安全な状態を維持できるようにします。

• ネットワーク監視を簡単に
  Shodan Monitor を使い始めて 5 分以内に、ネットワーク範囲内で現在インターネットに接続されているものが表示され、予期しない事態が発生したときにリアルタイム通知が送信されるように設定されます。
• スケールに合わせて構築
  1 つの IP を監視する場合でも、何百万もの顧客を抱える ISP の場合でも、Shodan プラットフォームはあらゆる規模のネットワークを簡単に処理できるように構築されています。

Shodan Monitorを利用することで、組織のサイバーセキュリティ態勢を強化することが可能となります。IT管理者やセキュリティ専門家が、組織の外部から見えるデジタルフットプリントを理解し、潜在的な脆弱性を特定するのに役立ちます。

Shodan Trends

Shodan Trendsは、収集した過去のデータを検索しインターネットの変化を追跡して、トレンドを発見するためのツールです。

Shodan Trends主な機能

• 歴史的な洞察：
  2017年から現在までのデータを検索し、インターネットがどのように変化しているかを月ごとに分析します。
• データエクスポート：
  データをさらに掘り下げたい場合は、CSV形式でトレンドデータをエクスポートして他のツールにインポートすることができます。
• テクノロジートレンド：
  新しい技術がどの程度普及しているか、古い技術がどの程度廃れているかを調査します。
• ネットワーク評価：
  IP範囲の履歴を調査して、サービスのパッチ速度、マルウェアのホスト状況、セキュリティポスチャなどを理解します。
• 脅威情報：
  脅威アクターのインフラを長期にわたって追跡し、過去に何をしていたかを詳しく知ることができます。

Shodan Trendsは、Shodanの有料アカウントを持つすべてのユーザーが利用できます。また、検索結果ページには「エクスポート」ボタンがあり、CSV形式でデータをダウンロードすることができます。ただし、現時点ではAPIメソッドでデータを取得する機能はありません。これらの機能を使用するためには、Shodanのクエリクレジットが必要で、1つの検索につき1つのクエリクレジットが消費されます。

Shodan Expolits

Shodan Exploitsは、共通脆弱性識別子CVE、Exploit DB、Metasploit から脆弱性とエクスプロイトを収集し、脆弱性を検索できるツールです。
Shodan Exploitsの目的は、ネットワーク管理者がShodanで特定したデバイスに存在する脆弱性を認識し、適切な対策を講じることを支援することにあります。

Shodan Exploitsでは、以下のようなフィルタを利用して脆弱性を検索できます：

• author：脆弱性やエクスプロイトの作成者
• description：説明
• platform：標的のプラットフォーム（OS、プログラミング言語、等）
• type：脆弱性攻撃のタイプ（遠隔操作、DoS、等）

Shodan ExploitsはShodanの他の機能と同様に、詳細な検索を行うことが可能なため、特定の脆弱性やエクスプロイトに関連する情報を効率的に探すことができます。

Shodanライセンス比較

Shodan Enterpriseについて

Shodan Enterpriseは、インターネットインテリジェンスのためのエンタープライズプラットフォームです。データとインフラへのフルアクセスが可能です。インターネット全体に関するリアルタイムの情報を組織に提供します。これにより、Shodanのウェブサイト、検索API、IP検索、バルクデータ、ファイアホース(firehorse)、オンデマンドスキャン、およびプラットフォームのすべてに組織全体がアクセスできます。

Shodan Enterprise主な機能：

• バルクデータフィード：
  Shodanが収集するすべてのデータをダウンロードし、インターネットに接続されたデバイスの自分のデータベースを構築できます。
• オンデマンドスキャン：
  Shodanは週に1回インターネット全体をクロールしますが、ネットワークを即座にスキャンするようShodanに要求したい場合は、APIのオンデマンドスキャン機能を使用して行うことができます。個別のIPアドレスからインターネット全体まで、あらゆる範囲のスキャンを要求することが可能です。
• 無制限のアクセス：
  エンタープライズデータライセンスは、組織のすべての従業員にShodanへの無制限のアクセスを提供します。

Shodan Q&A

• Q：Shodanで脆弱性を報告するのはどのような場合ですか?
• Q：新たな脆弱性が公表され、CVEが採番された後、どのくらいのタイミングでShodanに新たなCVEが反映されますか?
• Q：Shodanで調査するのが国外の場合、他国のデバイスにアクセスしないといけないのでしょうか。
• Q：ShodanのWebとAPIのサービスを同時に利用することは可能ですか?
• Q：ShodanのSmall Business/Corporateライセンスが複数必要な場合とはどのような時ですか?
• Q：Shodanのアセット検索結果をダウンロードする際のクレジット消費量はどれくらいですか?
• Q：Shodan Monitorで監視されているアセットはどれくらいのペースで自動更新されますか?
• Q：Shodanの使用期間が切れた後にライセンスを更新することは出来ますか?
• Q：ShodanでVulnタグを使った検索は出来ますか?
• Q：Shodanを更新をしたいのですが10か月だけ更新することは出来ますか?
• Q：ShodanのScan upクレジットとは何ですか?
• Q：Shodan Small Businessには使用する人数制限はありますか?
• Q：Shodanの使用期間が一度切れてしまい、再開する場合、アカウント（アカウント名、メールアドレス）は引き継がれますか?
• Q：Shodan 検索方法を教えて下さい。
• Q：Shodan とはどのようなサービスですか？
• Q：ワールドソフトはShodan 代理店ですか？
• Q：Shodanでの脆弱性の検査方法を教えて下さい。
• Q：Shodanの使い方を教えて下さい。
• Q：Shodanは会社でどのように活用できますか。
• Q：Shodanは会社のセキュリティ強化のためにどのように役立つのでしょうか。

worldsoft Shodanブログのご紹介

woldsoft のブログにもShodanに関するＱ＆Ａ等を掲載しています。ぜひ一度ご覧ください。↓↓

メーカーの製品サイト
https://developer.shodan.io/