こんにちは、セキュリティ猫です。
今回は、調査で便利なツール「SHODAN」について使い方を紹介していこうと思います。
はじめに
【注意事項】
- 本記事内で、SHODANの使い方や調査方法について記載しています。本内容は脅威から守るために利用しているものであり、決して悪用することはしないでください。
- SHODANを利用することが外部組織の機器情報について情報が得ることができます。しかしながら、ここで得られた情報をもとにアクセスは行わないでください。アクセスを行う場合は自身が管理している、または、管理者の許可を得てから行ってください。
- 本記事を基に発生したいかなる被害や損害について、本ブログは何ら責任を負うものではありません。
SHODANとは?
SHODANとは、インターネットに接続されているデバイスについての機器・サービス情報を検索できる検索エンジンです。
ここでいうデバイスとは、Webサービスを提供しているWebサーバーのみならず、Webカメラ・ルーター・ファイルサーバー・メールサーバーなど多種多様な機器を指します。
いまや、IoT(Internet of Things)という言葉が浸透するぐらいにあらゆるものがインターネットを介して情報をやり取りする時代になっています。
そのため、個人/組織問わず、機器を適切に管理していないと重大な情報の漏洩などの被害にあったり、逆に機器を利用され加害者になってしまう可能性があります。
そこで、インターネット側からどのような情報が見られているかを確認することは適切に機器を管理する手助けになります。
SHODANは、インターネット側からアクセスした際に得られる情報を取得できるため、不要なポート・サービスが公開されていないか、レスポンスに不要な情報が記載されていないかなど防御側として管理しているシステムの設定について見直すために役立つとともに、攻撃側にとって脆弱性を有する機器を探すことができるツールになっています。
SHODANの利用は無料でかつユーザー登録不要で使うことができる*1ことは魅力的です。
メンバーシップ
SHODANはユーザー登録不要で利用できるが、ユーザー登録することで取得できる情報を増やすことができる。ユーザー登録は無料で作成することができる。
また、フリーのアカウント以外にメンバーシップというものがある。メンバーシップはフリーのアカウント登録後にアップグレードすることでなることができる。
価格は$49。ただし、月額課金ではなく買い切り価格となる。
アカウントによる差異は以下のようなものがある。
項目 | アカウントなし | フリーアカウント | メンバーシップ |
---|---|---|---|
価格 | 無料 | 無料 | $49 |
検索結果一覧(ページ) | 1 | 2 | 20 |
結果のダウンロード (1point=10,000件までダウンロード) |
× | 0 | 20 |
サーチ文制限 | 有(大) | 有 | 有 |
Map | × | × | 〇 |
Image | × | × | 〇 |
使い方
基本画面
下図はSHODANでホストを検索した際の画面になります*2。
画面からは以下の情報が得られます。
- マップ
画面上部のマップにはIP情報からホストの大まかな位置が表示*3。
- ホスト情報
SHODANが保有している当該機器の脆弱性情報。得られたバージョンやレスポンスなどから条件にマッチしたものを表示しているため、当該機器が本当にその脆弱性を有しているとは限らないので注意。
- ポート
インターネット側からアクセス可能なポート情報。ポートを閉じておらず、フィルタリングを行っていないことを示す。
- サービス
各ポート・サービスにアクセスした際のレスポンス情報を表示。
これらの情報を見ると、不要なポート・サービスが公開している、古いバージョンのアプリケーションの利用がわかるなど攻撃者・防御者ともに有益な情報を得ることができます。
サーチをして見る
検索窓で使えるオプションは次のページを参照にしてください。
SHODAN Filter Reference
その中でよく利用するものをいくつか紹介します。
- product:<サービス名>
サーバーで稼働しているサービスを検索。
ApacheやWeblogicを探す際に使用。
- http.html:<検索文字列>
SHODANが取得しているhtml内の文字列を検索。
- port:<番号>
指定したポート番号か公開されている機器を検索。
port:22,2222のように「,」でつなげることによりポート番号をORで検索できる。(例では22または2222のポートが開かれている機器を検索)
特徴的なポート番号を使用するサービスを調査するときに便利。
- os:<OS名>
特定のOSを検索する際に利用。
例題
検索の例として以下のものを検索してみましょう。
検索したいのは「日本にある7001番ポートが開いているWeblogicサーバー」です。
product:weblogic port:"7001" country:"JP"
検索結果には13件出てきました。
つまり、日本では管理ポートが開かれているWeblogicサーバーは13件あることになります。
Weblogicは昨年に認証のバイパスやRCEの脆弱性が公開されています。不要なポートやサービスの公開はやめておいた方がいよいものの一つになります。
ちなみにですが、今回検索したWeblogicサーバーは以下の記事で過去に調査したものの対比として検索しました。
個人的には、件数が少し減っていてうれしかったですww*4。
Maps
SHODAN Mapsでは検索で得られた位置情報からマップ上に表示する機能です。
テキストベースよりも位置情報は直観的に理解しやすくなります。
おまけ
SHODANを使った調査事例記事
SHODANで調査を行った記事をいくつか紹介します。
念のために、記事の紹介の前に注意事項を再掲します。
【注意事項】
- 紹介した記事の内容は脅威から守るために利用しているものであり、決して悪用することはしないでください。
- SHODANを利用することが外部組織の機器情報について情報が得ることができます。しかしながら、ここで得られた情報をもとにアクセスは行わないでください。アクセスを行う場合は自身が管理している、または、管理者の許可を得てから行ってください。
- 紹介した記事を基に発生したいかなる被害や損害について、本ブログは何ら責任を負うものではありません。
脆弱性調査:FileZen
[OSINT]Shodanを使ってFileZenを探せ その1|__aloha__|note
[OSINT]Shodanを使ってFileZenを探せ その2(データ収集テクニック)|__aloha__|note
メンバーシップのディスカウントセール
SHODANのメンバーシップは$49で購入することができます。
$49はなかなかのお値段ですが(これだけの内容を利用できるのに月額課金ではなく買い切り価格と考えれば安いです)、1年に1回ほどこのメンバーシップの価格がディスカウントされることがあります。
お値段は$49のところを$1~$5と約1/10にまで値下がりします。
セールが行われる時期は定まってはおらず*5、不定期に開催されます。
- Black Friday($5)
Black Friday Sale: Shodan Membership and the Complete Guide to Shodan for just $5 - https://t.co/peSNtE6S14
— Shodan (@shodanhq) November 25, 2016
Black Friday Sale: Shodan Membership for $5 instead of $49 - https://t.co/e6mRc8Cry1
— Shodan (@shodanhq) November 27, 2015
- 10周年アニバーサリー($1)
10 years ago @achillean launched the Shodan website! To celebrate a decade of discovery and growth we're going to offer the membership for $1 (marked down from $49) for the next 24 hours (0:00 UTC to 24:00 UTC): https://t.co/e6mRc8kQGt pic.twitter.com/HkeahErbHd
— Shodan (@shodanhq) November 23, 2019
- 400万ユーザー達成記念($4)
Shodan now has more than 4 million users! To celebrate we are offering the membership at a discounted price of $4 for the next 24 hours: https://t.co/e6mRc8kQGt
— Shodan (@shodanhq) March 29, 2021
1コインほどのお値段でこれらの機能が使えるため、まだSHODANのメンバーシップになっていない場合は、セールの時に是非とも購入してみましょう*6。
参考URL
まとめ
今回は、インターネットから接続できる機器について調査ができるOSINTツールである「SHODAN」について紹介しました。
これらのツールは、インターネットに公開されている情報を客観的に見ることができるという利点もありますが、公開されている情報を基に悪用することもできてしまいます。
くれぐれも公開されている情報を悪用することがないようにお願いいたします。
また、今回紹介した使い方はあくまで一例となります。
もっと面白い使い方、便利な使い方があると思いますので、そういった情報を紹介していただけると助かります。
それでは、ここまで拙い文章を読んでいただきありがとうございました。
【更新履歴】
2021/04/04 PM 公開