• 更新日:

SHODAN

SHODAN(ショーダン)はインターネットに接続されたデバイスを検索することができる検索エンジンです。自組織のネットワークの監視や、外部の脅威(フィッシングやマルウェア配布のために使用されている公開サーバーなど)についての調査が可能です。

目次
  1. 製品概要
    1. 主な機能
  2. ライセンス一覧
    1. Enterpriseライセンスについて
  3. 検索フィルタについて
    1. tag フィルタ
    2. vuln フィルタ
  4. 価格
    1. Academic Upgradeの制度
  5. FAQ

製品概要

SHODAN(Sentient Hyper-Optimized Data Access Network)は、インターネットに接続されたデバイスを検索することができる検索エンジンで、ウェブ開発者 John Matherly が設計・開発し、 2009年にサービスを開始しました。システムのバナー(デバイスやサービスが提供するメタデータであり、通常は接続時に送信される短いテキスト情報。どういったデータがあるかについては、メーカーウェブサイトの Datapedia に掲載) には、サービスの種類、バージョン、ホスト名、使⽤しているソフトウェアの情報などが含まれることがあり、SHODAN は少なくとも週に1回インターネット全体をクロールし、これらバナー情報を収集・インデックスすることによって検索することを可能にしています。検索時さまざまなフィルタを⽤いることにより、効率的に検索することが可能です。

ウェブインターフェースCLI または APIで検索したり、検索結果をダウンロードしたりすることが可能です。

SHODANを活用することにより、自社が有するIT・OT資産に脆弱性が無いかなどを確認することが可能です。

詳細が気になる方は、以下よりご相談いただけます。

主な機能

    1. Shodan Search:主要なデータアクセス⽅法。様々なフィルタやパラメーターを使って30⽇以内のデータを検索可能。また、検索結果をJSON、CSV、XML形式でダウンロード可能。
    • データのダウンロード: 検索後に表⽰される「Download Data」ボタンからデータダウンロード可。クエリクレジットを使⽤。
    • レポート⽣成: 検索クエリに基づくレポート作成可能。レポートにはグラフやチャートが含まれており、検索結果がインターネット上でどのように分布しているかを全体像で⾒ることが可能。
    • コミュニティクエリ: 人気の検索クエリなど利⽤可能。
  2. Shodan Maps: 検索結果を地図上で視覚的に表⽰。さまざまな地図スタイルを選択可能。⼀度に最⼤1,000件の検索結果が表⽰され、拡⼤/縮⼩により結果を限定することが可能。
  3. Shodan Images: スクリーンショットのブラウズが可能。以下のソースから収集する。
    • VNC
    • リモートデスクトップ(RDP)
    • RTSP
    • ウェブカメラ
    • X Windows
  4. Shodan Monitor: インターネットに露出しているデバイスを監視し、セキュリティリスクを識別する。ネットワーク内のデバイスとサービスをリアルタイムで追跡し、変更があった際に通知する。
  5. Shodan Trends: Shodanのクローラーが収集した情報を利⽤して、インターネットの様相をデータ駆動型の観点から提供。例えば、どのFTPソフトウェアが最も⼈気があるか、ホスティングプロバイダーがサービスをどれくらい迅速にパッチしているか、VPNを最も多く運⽤している国はどこかなどを把握することが可能。

ライセンス一覧

全てのライセンスはウェブインターフェースでの利用に加えてAPI経由で利用することが可能です。さらにEnterpriseライセンスは、SHODANのデータベース全体を一括でダウンロードしたりしてそのデータを別の製品に組み込むことが可能です。また、特定のIPまたはネットワークのみに限定してスキャンするのではなく、インターネット全体を対象にスキャンするといったことも可能です(Internet Scanning API)。Enterpriseライセンスについては後述します

MembershipFreelancerSmall BusinessCorporateEnterprise
価格(年額)759ドル3,949ドル12,089ドル115,000ドル〜
詳細はお問合せ
商用利用可能(※1)可能(※1)可能(※1)可能(※1)ライセンスによる(※2)
クエリクレジット付与数/月(※3)10010,000200,000無制限無制限
スキャンクレジット付与数/月(※4)1005,12065,536327,680無制限
Shodan Monitor によるモニタリング可能IP上限数165,12065,536327,680無制限
利用可能な検索フィルタ(※5)vuln, tag以外全てvuln, tag以外全てtag以外全て全て全て
Shodan Search検索結果表示ページ数(1ページあたり10件を表示)20ページまで20ページまで200ページまで200ページまで200ページまで
Shodan Trends
Private firehose(※6)
IPアドレス検索
IPアドレス一括検索(※7)
データベースの一括DL(JSON形式)
InternetDB(※8)の商用利用
Full firehose(※9)
Internet Scanning API(※10)
6億以上のホスト名の検索
通常サポート
優先サポート

※1 「商用利用」は、サービスが有償であるかどうかを問わず、「Shodanを利用して得た情報を対外的に提供または公表する」こと全般を指します。無償でセキュリティレポートを公表することなども含まれます。また商用利用の条件として、資料にShodanの情報や資料が含まれる場合、その使用についてShodanへの帰属を明示する必要があります。詳細は、Terms of Service を参照するか弊社にお問い合わせください。

※2 商用利用の有無によって価格がライセンス種別・価格が変わります。詳細は「Enterpriseライセンスについて」の箇所をご確認いただくか、弊社にお問い合わせください。なおEntepriseライセンスの場合は、前述のようなShodanへの帰属の明示は不要です。

※3 クエリクレジット:ウェブインターフェース、CLI、APIを介してデータをダウンロードするために使用されます。1クレジットあたり100件のデータをjson形式でダウンロードすることができます。CLIまたはAPIを使用している場合は、「検索フィルタを使用して検索したとき」または「2ページ目以降のデータを要求したとき」に1クレジットが消費されます。あるいはShodan Trends を用いて、まだ誰も実行したことのない検索を行う際に1クレジット消費されます。

※4 スキャンクレジット:SHODANは少なくとも1週間に一度インターネット全体をクロールしていますが、最新の情報を取得するためにはオンデマンドスキャンを実施する必要があります。Shodan CLI と Shodan API ではこのオンデマンドスキャンを実行することができ、スキャン対象1IPにつき1クレジットが消費されます。ただしShodanにリクエストを送信した後、すぐに結果が返ってくるわけではありません。
また、Shodan Monitorにおいて「Rescan Network」を実行した場合も、同様の効果・クレジット消費があります。

※5 検索フィルタ:Shodan Trendsなどでは一部フィルタのみがサポートされています。参考:https://trends.shodan.io/search/filters

※6 Private firehose:ユーザーが特定のネットワークに関するリアルタイムなデータストリームを受け取るための機能です。これにより、指定されたネットワーク範囲内で発見された全てのバナーがプライベートなデータストリームに送信されます。ユーザーはこのデータストリームを利用して、ネットワーク上の異常なアクティビティやセキュリティリスクを即座に検出できます。
参考:https://help.shodan.io/guides/how-to-monitor-network

※7 IPアドレス⼀括検索⼀度のリクエストで最⼤100個のIPアドレスを調べることができる機能です。これにより、多数のIPアドレスに対する情報を⼀括して取得できます。

※8 InternetDB:対象のIPアドレスに関する情報を素早く取得するために利用することが可能です。通常の検索よりも限定的なデータ(オープンポート、脆弱性、CPE、ホスト名、タグのリスト)のみを返します。

※9 Full firehose:Private firehose によって受け取れるリアルタイムデータストリームは限定的であるのに対して、Full firehoseではインターネット全体のリアルタイムデータストリームを受け取ることが可能です。

※10 Internet Scanning API:通常のオンデマンドスキャンは特定のIPまたはネットワークを対象にスキャンしますが、Internet Scanningではインターネット全体を対象にスキャンします。インターネット全体における特定のポートに関するデータを収集するといった使用が可能です。

Enterpriseライセンスについては、メーカーウェブページも合わせてご参照ください。

ライセンス内容についてさらに知りたい方は、お気軽にご相談ください。

Enterpriseライセンスについて

Enterpriseライセンス(Enterprise Data License)には、さらに以下の3分類のライセンスがあります。

ライセンス概要
Entry License

  • セキュリティサービスのための利用は不可。法人内における調査のための利用のみ可能。

  • 1ライセンスにつき、1法人のみが利用可能。

  • 100ユーザーまで利用可能
Standard License

  • セキュリティサービスのための利用が可能

  • 1ライセンスにつき、1法人のみが利用可能。

  • 100ユーザーまで利用可能
Custom License

  • 資本関係のある法人(親会社、子会社、関連会社など)で、ライセンスを共有して利用可能

  • 価格は以下の要素によって決定します。

    • セキュリティサービスとしての利用かどうか

    • (セキュリティサービスとしての利用でない場合)観測対象IP数

    • ユーザー数

    • SLAの要否

※ここでの「セキュリティサービス」は、サービスが有償であるかどうかを問わず、「Shodanを利用して得た情報を対外的に提供または公表する」こと全般を指します。無償でセキュリティレポートを公表することなども含まれます。

Enterpriseライセンスでは、Corporateプラン以下との主要な違いとして、最大100ユーザーまでのライセンス付与が可能であり、SOC・CSIRT・研究・監視といった複数チームでの同時利用や組織横断的な活用が可能になります。
また、Shodanが保有する各種データベースをローカルファイルとしてダウンロード可能なため、SIEMやデータレイク、独自分析基盤に取り込み、自組織の環境・ポリシーに合わせた自由度の高い分析や長期保管、相関分析を行うことができます。
さらに、インターネット全体を観測したリアルタイムの生データをストリーミング(Firehose)で受信可能であり、攻撃インフラの立ち上がりやスキャン活動の兆候を検索ではなく「検知」として即時に捉えることができます。
これらにより、Enterpriseライセンスは「調査のために検索するツール」から、「継続的にインターネットを監視・検知する基盤」へと役割が拡張され、高度な脅威ハンティング、早期警戒、独自インテリジェンスの構築を実現します。

▼Enterpriseライセンスにて、ローカルファイルとしてダウンロード可能な各種データベース

データベース内容
banners-daily / banners-hourly指定した日単位/時間単位にクローラーが収集した、すべてのバナー情報(サービス情報)を含むデータセットで、zstd形式で圧縮されて提供されます。直近30日分のデータがダウンロード可能です。このデータは /shodan/host 系 API エンドポイントの基盤データとして利用されています。
dnsdbOSINTによって収集されたDNSデータです。このデータはAPIの /dns/domain/ エンドポイントを支えています。
internetdbSQLite形式 のデータベースファイルで、最小限のサービス情報を収録しています。このデータは InternetDB API の基盤データとして利用されています。
cvedbNVD(National Vulnerability Database)に公開されているCVE情報を収録したSQLite形式のデータベースです。このデータは CVEDB API で使用されています。
internet-scanners過去 24時間以内 にインターネットをスキャンしていたことが観測された IPアドレスの一覧 を含むデータセットです。このデータはバナー情報に scanner タグを付与するために利用されます。
pingインターネット全体に対して実施したPingスイープの結果をまとめたCSVファイルです。
whoisdbインターネット上のすべてのIPアドレスに対応するWhois情報を含むMMDB形式のデータベースファイルです。
routesdbインターネット上のすべてのIPアドレスに対するインターネットルーティングレジストリ(IRR)情報を含むデータベースです。MMDB / SQLite / JSONL 形式で提供されます。

検索フィルタについて

SHODANでは、検索フィルタを用いてサービスやデバイスのメタデータに基づいて検索結果を絞り込むことが可能です。たとえば、東京にあるインターネット上のすべてのデバイスを検索するには、次のように検索します。

city:"tokyo"

いくつかのフィルタでは、カンマで区切られた複数の値を指定できます。例えば、ポート23と1023でTelnetを実行しているデバイスを検索するには、以下のように検索します。

port:23,1023

フィルタにマイナス記号”-“を付けることで、結果を除外することもできます。例えば、次のようにすると、東京にないすべてのデバイスを検索することができます。

-city:"tokyo"

主なフィルタは以下の通りです。

フィルタ 説明
city 都市名で絞り込む city:"tokyo"
country 国名で絞り込む。
国名の指定はISO 3166-1で定められている二文字の国コードよる。		 country:"JP"
net 提供されたIP範囲内の結果のみを表示 (CIDR形式) net:190.30.40.0/24
org IPを所有する組織に基づいて結果を絞り込む org:"Google LLC"

全てのフィルタはこちらで確認可能です。なお、tagフィルタとvulnフィルタは一部のライセンスでのみ使用することが可能です。以下で詳細を説明します。

tag フィルタ

SHODAN のtagフィルタは、インターネットに接続されたデバイスやサービスを特定の属性や状況に基づいて検索するためのフィルタです。CorporateEnterpriseのライセンスで利用可能です。このフィルタを用いることにより、特定のタイプのデバイスやサービスを効率的に検索・分析することができます。 以下のような使⽤メリットがあります。

  1. 効率的な検索: タグを使⽤することで、数百万のデバイスやサービスから特定のカテゴリに絞り込んで検索ができます。例え ば、vpnタグを使⽤すれば、VPNサービスに関連するデバイスを簡単に⾒つけることができます。
  2. セキュリティ強化: セキュリティの観点から、特定の脆弱性やリスクのあるデバイスを迅速に発⾒できます。例えばmalwareタグはマルウェアに感染している可能性のあるデバイスを特定するのに役⽴ちます。
  3. 迅速な対応: 組織内や顧客のネットワークで使⽤されているデバイスを監視する際に、特定のタグを利⽤して早期に問題を検出し、対応することができます。

具体例

  • cdnタグ: コンテンツデリバリーネットワーク(CDN)に関連するデバイスを特定し、パフォーマンスやセキュリティの分析を⾏う。
  • honeypotタグ: ハニーポットとして設定されたデバイスを⾒つけ、攻撃者の⾏動を研究する。
  • eol-osタグ: サポートが終了したオペレーティングシステムを実⾏しているデバイスを特定し、アップグレードの必要性を評価する。

tagの一覧

※2026年1月現在の一覧です。最新の一覧はこちらを参照してください。

  1. ai
  2. c2
  3. cdn
  4. cloud
  5. compromised
  6. cryptocurrency
  7. database
  8. devops
  9. doublepulsar
  10. eol-os
  11. eol-product
  12. honeypot
  13. ics
  14. iot
  15. malware
  16. medical
  17. onion
  18. open-dir
  19. proxy
  20. self-signed
  21. scanner
  22. ssh-bad-key
  23. starttls
  24. tor
  25. videogame
  26. vpn

(例)C2関連のインフラとして稼働している可能性の高いホストを検索する場合、tag:c2のフィルタを用いて検索します。

【注記】ただし、ShodanのC2関連のインフラの判定精度は高くありません。tag:c2に紐づくのは、product:”Cobalt Strike C2″などのほか、product:"Metasploit"product:"BurpSuite"などが含まれ、さらにproductの判定においては、単にページ内文字列にMetasploitが含まれることをもって、そのように判定しているケースがあります。
従って、攻撃者のインフラ調査・追跡には、Censys Platfrom の Threat Hunting プランを利用することを推奨します。Censysにおいては主に通信挙動(JARM、JA4X、JA3S など)や証明書情報などから攻撃インフラの判定を行うため、精度が高く、またその判定根拠となるデータも詳細に確認することが可能です。こちらをご参考ください。

vuln フィルタ

SHODAN のvulnフィルタは、特定の脆弱性を持つデバイスを検索するためのフィルタです。Small BusinessCorporateEnterpriseのライセンスで利用可能です。

(例)オープンソースの暗号ソフトウェア「OpenSSL」の脆弱性 CVE-2014-0160 を持つホストを検索する場合、vuln:CVE-2014-0160のフィルタを用いて検索します。

価格

Shodanの価格は、ライセンス一覧の表の通りですが、年単位での契約の方が月単位での契約より安価です。年単位でのご契約の場合は、1ヶ月分のディスカウントが適用されます。

また、旧価格で購入したライセンスは、ライセンス期間内に更新し続ける限りは旧価格が適用されるといった措置もあります。現在お持ちのライセンスの更新価格についてはお問い合わせください。

Academic Upgradeの制度

教育機関のメールアドレス(.edu、.ac.jp、.ed.jp など)をお持ちの方は、Academic Upgradeの制度により、無料でMembership(Academic membership)のユーザーとして登録可能です。詳細はこちら
Academic membership で利用可能な機能は、Membership と概ね同一です。唯一の違いとして、ウェブインターフェースにおいてのみ vuln フィルタが使える点が挙げられます。

ユーザー登録は、フリーアカウント同様に以下ページにて行っていただけます。.ac.jp などのメールアドレスを用いて登録していただくだけで、自動的に Academic membership として登録が完了します。
ユーザー登録ページ:https://account.shodan.io/register

導入のご相談は、下記よりお気軽にお問い合わせください。

FAQ

納期と、ライセンス期間はどうなりますか。
複数人で使うことは可能ですか?
メールアドレスを変更できますか?
自身のアカウントのAPIキーはどこで確認できますか?
トライアルは可能ですか。
TOP