製品概要
SHODAN(Sentient Hyper-Optimized Data Access Network)は、インターネットに接続されたデバイスを検索することができる検索エンジンで、ウェブ開発者 John Matherly が設計・開発し、 2009年にサービスを開始しました。システムのバナー(デバイスやサービスが提供するメタデータであり、通常は接続時に送信される短いテキスト情報。どういったデータがあるかについては、メーカーウェブサイトの Datapedia に掲載) には、サービスの種類、バージョン、ホスト名、使⽤しているソフトウェアの情報などが含まれることがあり、SHODAN は少なくとも週に1回インターネット全体をクロールし、これらバナー情報を収集・インデックスすることによって検索することを可能にしています。検索時さまざまなフィルタを⽤いることにより、効率的に検索することが可能です。
ウェブインターフェース、CLI または APIで検索したり、検索結果をダウンロードしたりすることが可能です。
SHODANを活用することにより、自社が有するIT・OT資産に脆弱性が無いかなどを確認することが可能です。
主な機能
- Shodan Search: 主要なデータアクセス⽅法。様々なフィルタやパラメーターを使って30⽇以内のデータを検索可能。また、検索結果をJSON、CSV、XML形式でダウンロード可能。
- データのダウンロード: 検索後に表⽰される「Download Data」ボタンからデータダウンロード可。クエリクレジットを使⽤。
- レポート⽣成: 検索クエリに基づくレポート作成可能。レポートにはグラフやチャートが含まれており、検索結果がインターネット上でどのように分布しているかを全体像で⾒ることが可能。
- コミュニティクエリ: 人気の検索クエリなど利⽤可能。
- データのダウンロード: 検索後に表⽰される「Download Data」ボタンからデータダウンロード可。クエリクレジットを使⽤。
- Shodan Maps: 検索結果を地図上で視覚的に表⽰。さまざまな地図スタイルを選択可能。⼀度に最⼤1,000件の検索結果が表⽰され、拡⼤/縮⼩により結果を限定することが可能。
- Shodan Images: スクリーンショットのブラウズが可能。以下のソースから収集する。
- VNC
- リモートデスクトップ(RDP)
- RTSP
- ウェブカメラ
- X Windows
- Shodan Monitor: インターネットに露出しているデバイスを監視し、セキュリティリスクを識別する。ネットワーク内のデバイスとサービスをリアルタイムで追跡し、変更があった際に通知する。
- Shodan Trends: Shodanのクローラーが収集した情報を利⽤して、インターネットの様相をデータ駆動型の観点から提供。例えば、どのFTPソフトウェアが最も⼈気があるか、ホスティングプロバイダーがサービスをどれくらい迅速にパッチしているか、VPNを最も多く運⽤している国はどこかなどを把握することが可能。
ライセンス一覧
全てのライセンスはウェブインターフェースでの利用に加えてAPI経由で利用することが可能です。さらにEnterpriseライセンスは、SHODANのデータベース全体を一括でダウンロードしたりしてそのデータを別の製品に組み込むことが可能です。また、特定のIPまたはネットワークのみに限定してスキャンするのではなく、
| Membership | Freelancer | Small Business | Corporate | Enterprise | |
|---|---|---|---|---|---|
| 価格(月契約) | 49ドル(買い切り)※Academic upgradeを利用すれば無料 | 69ドル | 359ドル | 1,099ドル | - |
| 価格(年契約) | 759ドル | 3,949ドル | 12,089ドル | 115,000ドル〜詳細はお問合せ | |
| 商用利用 | 可能(※1) | 可能(※1) | 可能(※1) | 可能(※1) | ライセンスによる(※2) |
| クエリクレジット付与数/月(※3) | 100 | 10,000 | 200,000 | 無制限 | 無制限 |
| スキャンクレジット付与数/月(※4) | 100 | 5,120 | 65,536 | 327,680 | 無制限 |
| Shodan Monitor によるモニタリング可能IP上限数 | 16 | 5,120 | 65,536 | 327,680 | 無制限 |
| 利用可能な検索フィルタ(※5) | vuln, tag以外全て | vuln, tag以外全て | tag以外全て | 全て | 全て |
| Shodan Search検索結果表示ページ数(1ページあたり10件を表示) | 20ページまで | 20ページまで | 200ページまで | 200ページまで | 200ページまで |
| Shodan Trends | |||||
| Private firehose(※6) | |||||
| IPアドレス検索 | |||||
| IPアドレス一括検索(※7) | |||||
| データベースの一括DL(JSON形式) | |||||
| InternetDB(※8) | |||||
| Full firehose(※9) | |||||
| Internet Scanning API(※10) | |||||
| 6億以上のホスト名の検索 | |||||
| 通常サポート | |||||
| 優先サポート |
※1 「商用利用」は、サービスが有償であるかどうかを問わず、「Shodanを利用して得た情報を対外的に提供または公表する」こと全般を指します。無償でセキュリティレポートを公表することなども含まれます。また商用利用の条件として、資料にShodanの情報や資料が含まれる場合、その使用についてShodanへの帰属を明示する必要があります。詳細は、Terms of Service を参照するか弊社にお問い合わせください。
※2 商用利用の有無によって価格がライセンス種別・価格が変わります。詳細は「Enterpriseライセンスについて」の箇所をご確認いただくか、弊社にお問い合わせください。なおEntepriseライセンスの場合は、前述のようなShodanへの帰属の明示は不要です。
※3 クエリクレジット:ウェブインターフェース、CLI、APIを介してデータをダウンロードするために使用されます。1クレジットあたり100件のデータをjson形式でダウンロードすることができます。CLIまたはAPIを使用している場合は、「検索フィルタを使用して検索したとき」または「101件目以降のデータを要求したとき」に1クレジットが消費されます。検索フィルタを使用せずに100件分のデータのみをダウンロードする場合は、クエリは消費されません。あるいはShodan Trends を用いて、まだ誰も実行したことのない検索を行う際に1クレジット消費されます。
※4 スキャンクレジット:SHODANは少なくとも1週間に一度インターネット全体をクロールしていますが、最新の情報を取得するためにはオンデマンドスキャンを実施する必要があります。Shodan CLI と Shodan API ではこのオンデマンドスキャンを実行することができ、スキャン対象1IPにつき1クレジットが消費されます。ただしShodanにリクエストを送信した後、すぐに結果が返ってくるわけではありません。
※5 検索フィルタ:Shodan Trendsなどでは一部フィルタのみがサポートされています。参考:https://trends.shodan.io/search/filters
※6 Private firehose:ユーザーが特定のネットワークに関するリアルタイムなデータストリームを受け取るための機能です。これにより、指定されたネットワーク範囲内で発見された全てのバナーがプライベートなデータストリームに送信されます。ユーザーはこのデータストリームを利用して、ネットワーク上の異常なアクティビティやセキュリティリスクを即座に検出できます。
参考:https://help.shodan.io/guides/how-to-monitor-network
※7 IPアドレス⼀括検索:⼀度のリクエストで最⼤100個のIPアドレスを調べることができる機能です。これにより、多数のIPアドレスに対する情報を⼀括して取得できます。
※8 InternetDB:対象のIPアドレスに関する情報を素早く取得するために利用することが可能です。通常の検索よりも限定的なデータ(オープンポート、脆弱性、CPE、ホスト名、タグのリスト)のみを返します。
※9 Full firehose:Private firehose によって受け取れるリアルタイムデータストリームは限定的であるのに対して、Full firehoseではインターネット全体のリアルタイムデータストリームを受け取ることが可能です。
※10 Internet Scanning API:通常のオンデマンドスキャンは特定のIPまたはネットワークを対象にスキャンしますが、Internet Scanningではインターネット全体を対象にスキャンします。インターネット全体における特定のポートに関するデータを収集するといった使用が可能です。
Enterpriseライセンスについては、メーカーウェブページも合わせてご参照ください。
Enterpriseライセンスについて
Enterpriseライセンス(Enterprise Data License)には、さらに以下の3分類のライセンスがあります。
- Entry License
- セキュリティサービス※のための利用は不可。法人内における調査のための利用のみ可能。
- 1ライセンスにつき、1法人のみが利用可能。
- 100ユーザーまで利用可能
- Standard License
- セキュリティサービス※のための利用が可能。
- 1ライセンスにつき、1法人のみが利用可能。
- 100ユーザーまで利用可能
- Custom License
- 資本関係のある法人(親会社、子会社、関連会社など)で、ライセンスを共有して利用可能
- 以下のファクターによって価格が決定。
- セキュリティサービス※のための利用かどうか
- (セキュリティサービス※のための利用でない場合)観測対象 IP数
- ユーザー数
- SLAの要否
※ここでの「セキュリティサービス」は、サービスが有償であるかどうかを問わず、「Shodanを利用して得た情報を対外的に提供または公表する」こと全般を指します。無償でセキュリティレポートを公表することなども含まれます。
検索フィルタについて
SHODANでは、検索フィルタを用いてサービスやデバイスのメタデータに基づいて検索結果を絞り込むことが可能です。たとえば、東京にあるインターネット上のすべてのデバイスを検索するには、次のように検索します。
city:”tokyo”
いくつかのフィルタでは、カンマで区切られた複数の値を指定できます。例えば、ポート23と1023でTelnetを実行しているデバイスを検索するには、以下のように検索します。
port:23,1023
フィルタにマイナス記号”-“を付けることで、結果を除外することもできます。例えば、次のようにすると、東京にないすべてのデバイスを検索することができます。
-city:”tokyo”
主なフィルタは以下の通りです。
| フィルタ | 説明 | 例 |
|---|---|---|
| city | 都市名で絞り込む | city:”tokyo” |
| country | 国名で絞り込む。 国名の指定はISO 3166-1で定められている二文字の国コードよる。 |
country:”JP” |
| net | 提供されたIP範囲内の結果のみを表示 (CIDR形式) | net:190.30.40.0/24 |
| org | IPを所有する組織に基づいて結果を絞り込む | org:”Google LLC” |
全てのフィルタはこちらで確認可能です。なお、tagフィルタとvulnフィルタは一部のライセンスでのみ使用することが可能です。以下で詳細を説明します。
tag フィルタ
SHODAN のtagフィルタは、インターネットに接続されたデバイスやサービスを特定の属性や状況に基づいて検索するためのフィルタです。Corporate と Enterpriseのライセンスで利用可能です。このフィルタを用いることにより、特定のタイプのデバイスやサービスを効率的に検索・分析することができます。 以下のような使⽤メリットがあります。
- 効率的な検索: タグを使⽤することで、数百万のデバイスやサービスから特定のカテゴリに絞り込んで検索ができます。例え ば、「vpn」タグを使⽤すれば、VPNサービスに関連するデバイスを簡単に⾒つけることができます。
- セキュリティ強化: セキュリティの観点から、特定の脆弱性やリスクのあるデバイスを迅速に発⾒できます。例えば「malware」 タグはマルウェアに感染している可能性のあるデバイスを特定するのに役⽴ちます。
- 迅速な対応: 組織内や顧客のネットワークで使⽤されているデバイスを監視する際に、特定のタグを利⽤して早期に問題を検出し、対応することができます。
具体例
- 「cdn」タグ: コンテンツデリバリーネットワーク(CDN)に関連するデバイスを特定し、パフォーマンスやセキュリティの分析を⾏う。
- 「honeypot」タグ: ハニーポットとして設定されたデバイスを⾒つけ、攻撃者の⾏動を研究する。
- 「eol-os」タグ: サポートが終了したオペレーティングシステムを実⾏しているデバイスを特定し、アップグレードの必要性を評価する。
tagの一覧
- c2
- cdn
- cloud
- compromised
- cryptocurrency
- database
- devops
- doublepulsar
- eol-os
- eol-product
- honeypot
- ics
- iot
- malware
- medical
- onion
- proxy
- self-signed
- scanner
- ssh-bad-key
- starttls
- tor
- videogame
- vpn
vuln フィルタ
SHODAN のvulnフィルタは、特定の脆弱性を持つデバイスを検索するためのフィルタです。Small Business、Corporate、Enterpriseのライセンスで利用可能です。
(例)オープンソースの暗号ソフトウェア「OpenSSL」の脆弱性 CVE-2014-0160 を持つデバイスを検索する場合、「vuln:CVE-2014-0160」のフィルタを用いて検索します。
価格
Shodanの価格は、ライセンス一覧の表の通りですが、年単位での契約の方が月単位での契約より安価です。年単位でのご契約の場合は、1ヶ月分のディスカウントが適用されます。
また、旧価格で購入したライセンスは、ライセンス期間内に更新し続ける限りは旧価格が適用されるといった措置もあります。現在お持ちのライセンスの更新価格についてはお問い合わせください。
Academic Upgradeの制度
教育機関のメールアドレス(.edu、.ac.jp、.ed.jp など)をお持ちの方は、Academic Upgradeの制度により、無料でMembership(Academic membership)のユーザーとして登録可能です。詳細はこちら。
Academic membership で利用可能な機能は、Membership と概ね同一です。唯一の違いとして、ウェブインターフェースにおいてのみ vuln フィルタが使える点が挙げられます。
ユーザー登録は、フリーアカウント同様に以下ページにて行っていただけます。.ac.jp などのメールアドレスを用いて登録していただくだけで、自動的に Academic membership として登録が完了します。
ユーザー登録ページ:https://account.shodan.io/register
FAQ
- 納期と、ライセンス期間はどうなりますか。
- 複数人で使うことは可能ですか?
- メールアドレスを変更できますか?
- 自身のアカウントのAPIキーはどこで確認できますか?
- トライアルは可能ですか。