サマリー
Shodan は世界初のインターネット接続デバイス検索エンジンであり、「IoTのGoogle」とも呼ばれます。ルーターやWebカメラから産業制御システムまで、公開状態にあるデバイスを継続的にスキャンし、サービスのバナー(ソフトウェア種別やバージョンなどのメタデータ)を収集してインデックス化します。これにより、組織は自社の外部デジタルフットプリントをリアルタイムで可視化できます。Shodanの最大の価値は、インターネット上に露出した資産について類を見ない可視性とインテリジェンスを提供する点にあり、サイバーセキュリティおよびIT資産管理に不可欠です。世界で300万人超、Fortune 100企業の89%以上がShodanを利用しています。
ShodanはWebベースの検索エンジンに加え、Shodan Monitor、Shodan Maps、Shodan Images、強力なAPIなどのツールを提供します。これらを組み合わせることで、従来のWeb検索では見つけにくいデバイス(発電所の制御端末、IoTカメラ、スマート家電など)を発見できます。導入メリットとしては、資産インベントリの精度向上、脆弱または無許可システムの早期発見、継続的な外部露出の監視とアラート、技術トレンドに関するデータドリブンな洞察などが挙げられます。
Shodanをセキュリティワークフローに統合することで、ミスコンフィグレーション(例:オープンなデータベース、保護されていないエンドポイント)を迅速に検知し、攻撃者より先に対処できます。実際にShodanは数千件のオープンMongoDBデータベースの情報漏えいを発見し、AT&Tなどの企業はShodanを用いてマルウェア感染したIoTデバイスを特定しました。
典型的なユースケースには、ペネトレーションテスターによる攻撃面のマッピング、SOCチームがIPレンジで新規に露出したデバイスを即時アラートで受け取るケースなどがあります。さらに、水処理施設、電力網、交通システムなどの重要インフラの追跡、パートナーの露出状況を確認するサードパーティリスク評価にも役立ちます。Shodanは従来の脆弱性スキャナーを補完し、外部視点から見落とされがちなインターネット露出を明らかにします。
要するに、Shodanは現代のサイバーセキュリティとネットワークインテリジェンスに不可欠なツールです。CensysやZoomEyeといった競合と比較しても、Shodanは膨大なデバイスカバレッジ、スクリーンショット・マップ・エクスプロイト検索といった豊富な機能、使いやすさで差別化されています。
Shodan-製品概要と価値提案
Shodanは「Internet of Everything の検索エンジン」として知られており、インターネット上でアクセス可能なデバイスやサービスを発見するユニークな方法を提供します。従来の検索エンジンがWebサイトのコンテンツをインデックス化するのに対し、ShodanはネットワークレベルでIPアドレスとポートをスキャンしてサーバーやエンドポイント、ガジェットを見つけます。Shodanの核心的価値はインターネット全体を対象とした可視性にあり、組織は外部に露出した資産を把握し、その情報をリアルタイムで活用できます。
価値提案の要点:Shodanは公開デバイスのメタデータを継続的にインデックス化し、ネットワーク外周の“X線写真”として機能します。「インターネット上で公開されている自社デバイスはいくつあり、どのソフトウェアが動いているのか?」 あるいは 「外部向けシステムに既知の脆弱性はあるか?」 といった疑問に答え、ミスコンフィグレーションの修正、旧式ソフトウェアのパッチ適用、不要な公開ポートの閉鎖を攻撃者より先に実施できます。
世界で300万人超、Fortune 100の89%が利用するという事実がShodanの有効性を裏付けます。
Shodan の仕組み
Shodanはインターネット接続デバイスとそのバナーをインデックス化します。バナーとは、サービスが返すテキストやメタデータ(ソフトウェア名・バージョンなど)です。Shodanの分散スキャナーはHTTP/HTTPS、FTP、SSH、Telnet、SMTP、SNMP、データベース、産業用プロトコルなど複数ポートで数百万のデバイスに接続し、IPアドレス、ホスト名、組織、地理情報、開放ポート、ソフトウェアなどを収集します。ソフトウェアバージョンと既知のCVEを照合し、非侵入的に確認できた場合はverifiedラベルを付与します。
ShodanはIPv4全域(および一部IPv6)を週1回程度スキャンし、データベースを更新します。Web UIやAPIで apache country:JP port:443
のようなリッチフィルター検索が可能です。
重要: Shodanが収集するのはデバイスが公開する情報のみで、システムに侵入するわけではありません。ファイアウォール背後のデバイスは見えませんが、公開状態のデバイスはShodanが検知します。
主な製品機能
- Shodan Search:
Shodan.io 上のブラウザからアクセス可能なメインの検索エンジンです。フィルターを用いて Shodan のデバイスデータベースを検索できます。検索結果には、IPアドレス、所在地、ISP、開いているポート、ソフトウェア、潜在的な脆弱性などの詳細情報が表示されます。ウェブインターフェースでは結果のダウンロード、簡易的な分析ツール、共有レポート作成も可能です。
- Shodan Monitor:
自社資産の継続的なネットワーク監視を行うための専用機能です。監視したい IPレンジやドメインを入力すると、Shodan が新しいデバイスやサービスの出現や変更をリアルタイムで通知してくれます。設定後数分で、範囲内の公開中デバイスのダッシュボードが表示され、変更に対するアラート設定も可能です。Shodan Monitor は、ネットワーク境界に対する自動監視塔のような存在です。通知はメールのほか、Slack、Microsoft Teams、Discordなどにも連携できます。
- Shodan Maps:
発見されたデバイスを世界地図上に表示するビジュアルインターフェースです。インターネット資産の地理的な分析に役立ちます。例えば、特定のIoT機器のグローバルな分布や、自社のサーバーの地域別分布を確認できます。マップは「我々のデバイスは世界のどこに存在するのか?」といった問いに答える手段になり、特に大規模企業や研究者にとって有益です。
- Shodan Images:
Shodan が取得したスクリーンショットを検索・閲覧できる機能です。Shodan はテキストバナーだけでなく、VNCリモートデスクトップ、RDPログイン画面、Webカメラなど、可能な限りのサービスのスクリーンショットも取得します。Shodan Images ではこれらをギャラリー形式で閲覧できます。例えば、ライブのカメラ映像や公開中のサーバーダッシュボードなどを視認でき、非常に衝撃的な情報源となり得ます。セキュリティチームにとっては、攻撃者の視点からどのように見えるかを即座に確認できる有効な手段です。
- Shodan Exploits:
Shodan は ExploitDB や Metasploit によるエクスプロイトデータベース検索も統合しており、キーワードやCVE(脆弱性識別番号)で既知の脆弱性を検索できます。デバイスの詳細画面では、そのソフトウェアに対応する脆弱性とエクスプロイトが表示される場合もあり、サービス発見と攻撃可能性の理解の橋渡しになります。これはペネトレーションテスターやディフェンダー双方にとって有用です。
- Shodan APIと統合機能:
Shodan の全機能は強力なAPIを通じて利用可能です。実際、Shodanの公式ウェブサイトもこのパブリックAPI上に構築されています。つまり、ウェブ上でできること(検索、IP情報の取得、データストリームの取得など)はすべて自動化やシステム統合が可能です。APIはSIEM、ダッシュボード、自動化スクリプトとの統合に対応しています。Metasploit、Maltego、Nmap、Splunk などとの事前統合も用意されており、既存のセキュリティツールにShodanの情報を簡単に追加できます。
- バルクデータとShodan Enterprise:
高度なニーズに対応するため、Shodan はバルクデータのダウンロードとエンタープライズ向けサービスを提供しています。Shodan Enterpriseでは、Shodanの検索結果に無制限でアクセスでき、APIの使用制限もなく、さらに「Firehose(ファイアホース)」と呼ばれるインターネット全体のスキャンデータのライブ配信も利用可能です。エンタープライズユーザーは、インターネット全体に対する検索、数年分の過去データへのアクセス、オンデマンドスキャンやカスタム調査の依頼も可能です。これは、大規模企業、セキュリティ企業、研究機関などでの包括的かつ大規模なモニタリングに最適です。
Shodanライセンス比較
|
Membership |
Freelancer |
Small Business |
Corporate API |
Enterprise License |
クエリクレジット/月 |
100 |
10,000 |
200,000 |
無制限 |
無制限 |
スキャンクレジット/月 |
100 |
5,120 |
65,536 |
327,680 |
無制限 |
監視対象IP |
16 |
5,120 |
65,536 |
327,680 |
無制限 |
利用可能な検索フィルター |
[Vuln][tag]を除くすべて |
[Vuln][tag]を除くすべて |
[tag]を除くすべて |
すべて |
すべて |
ユーザー数 |
1 |
1 |
1 |
1 |
カスタム |
Shodan Searchページ |
20 |
20 |
200 |
200 |
200 |
Shodan Monitor |
|
|
|
|
|
Shodan Trends |
|
|
|
|
|
Private firehose |
|
|
|
|
|
IP検索 |
|
|
|
|
|
IP一括検索 |
|
|
|
|
|
バルクデータ |
|
|
|
|
|
InternetDB |
|
|
|
|
|
Full firehose |
|
|
|
|
|
Internet scanning API |
|
|
|
|
|
6億以上のホスト名をスキャン |
|
|
|
|
|
競合製品との差別化
- パイオニア & カバレッジ: 2009 年開始、業界最大級のポート/サービス範囲。
- 機能の充実: verified CVE、スクリーンショット、Maps、
tag:ics
など独自フィルター。
- エコシステム: Splunk、Metasploit、Maltego など多数ツールと公式/OSS 連携。
導入メリット
- 資産可視化の徹底とインベントリ精度向上:
Shodan は外部から確認できる IP・ポート・サービスを自動的に列挙し、組織が把握しきれていないシャドー IT や旧環境を浮き彫りにします。たとえば、退役済みと思われていたテストサーバーや、施設管理部門が設置した IoT センサーが公網に晒されているケースを即座に特定可能です。Shodan Monitor に IP レンジやドメインを登録しておけば、新規デバイスが公開された瞬間にアラートが飛ぶため、「知らない資産ゼロ」を実現できます。収集したメタデータは CMDB へ連携し、構成管理の精度を高めることも可能です。
- 脆弱性・設定ミスの早期発見:
Shodan は検出したバナーと NVD(National Vulnerability Database) の CVE 情報を突合し、既知脆弱性を自動タグ付けします。さらに一部の CVE については non intrusive な検証を行い、verified フラグを付与します。これにより、緊急パッチが公開された直後でも、vuln:CVE-XXXX-YYYY net:自社IP範囲 と検索するだけで影響サーバーを瞬時に特定し、優先度を付けて対処できます。設定ミス(パスワードなしの DB、世界に公開された S3 バケットなど)も同様に検索クエリで洗い出せるため、攻撃者より先にリスクを低減できます。
- 24×7 監視とリアルタイムアラート:
Shodan Monitor は 5 分以内に最新スキャン結果を反映し、メール/Slack/Teams/Webhook へ通知します。たとえば CI/CD パイプラインで誤って 0.0.0.0 バインドのテスト環境をデプロイしてしまった場合でも、社内チャットに即時警告が届くため、数分で修正が可能です。監視対象は数 IP から数百万 IP までスケールし、設定は IP レンジ投入だけと極めて簡単です。
- 脅威インテリジェンスとインシデント対応強化:
インシデント対応時に不審 IP を Shodan で逆引きすれば、その IP がマルウェア配布サイトなのか、侵害済み IoT ルーターなのかを即座に把握できます。また、Shodan を用いてボットネットの感染拡大を可視化した研究も複数存在し、自社資産や同業他社の感染有無を横串で確認することが可能です。過去バナーのタイムラインはフォレンジック調査にも役立ち、攻撃者がいつからアクセス可能だったかを推定できます。
- データドリブンな意思決定とトレンド分析:
Shodan Trends API を使えば、特定サービスの公開台数変化や旧 OS 利用率を月次で可視化できます。例として、2020 年のリモートワーク拡大に伴い RDP 開放台数が急増し、ランサムウェアリスクが高まった事実が Shodan 統計で裏付けられました。こうした定量データは、経営層へのレポートや投資判断(VPN 更新・ゼロトラスト導入など)の根拠資料として説得力を発揮します。
- セキュリティ運用の高速化とワークフロー統合:
Shodan の API は Python CLI、Splunk・Elastic 用アプリ、Metasploit/Maltego トランスフォームなど多彩な連携手段を備えています。たとえば、CI/CD でデプロイ完了後 shodan host を自動呼び出し、許可されていないポートが公開されていないかを検証・ロールバックする仕組みを簡単に実装できます。手動スキャンや情報収集に要する工数を劇的に削減し、アナリストは解析・対応に集中できます。
主要ユースケース
ユースケース 1: 攻撃面の可視化と縮小
シナリオ: 大規模企業が Web サーバーや VPN ゲートウェイ、クラウドリソースなど多岐にわたる公開資産を継続的に監査し、不要な露出を削減したい。
Shodanの活用: 企業の IP レンジを Shodan Monitor に登録し、全公開ホストとサービスを即時把握。想定外の FTP サーバーや旧開発システムを発見し、ファイアウォールで遮断。さらに SSL 証明書や企業名で外部クラウド上の「迷子」サーバーも検出。
成果: 数か月で公開サービスを 30 % 削減し、経営層へ定量的リスク低減指標を提示。
ユースケース 2: 脆弱性評価とパッチ検証
シナリオ: ゼロデイ脆弱性が公表された VPN 製品を使用しており、外部公開インスタンスを即時特定・修正したい。
Shodanの活用: product:VPNName vuln:CVE-XXXX-YYYY net:IP範囲 クエリで旧バージョンを実行中の 2 台を即発見。パッチ適用後、オンデマンドスキャンでバナー更新を確認し、修正完了を外部視点で証明。
成果: 数時間以内に全影響ホストを修正し、取締役会報告で対応スピードをアピール。
ユースケース 3: ペネトレーションテスト/レッドチーム
シナリオ: 内部レッドチームが外部リコンを迅速化し、実践的な侵入シナリオを計画したい。
Shodanの活用: 会社名や SSL フィンガープリントで未申告ホストを洗い出し、Shodan Images で VNC 画面を確認。デフォルト認証の NAS を足掛かりに内部侵入を実証。
成果: 経営層へ重大ギャップを提示し、ネットワーク分離とアクセス制御強化の予算獲得に成功。
ユースケース 4: ICS/OT システム露出監視
シナリオ: 電力会社が変電所の PLC や SCADA HMI が誤って公網に晒されていないか継続監視したい。
Shodanの活用: Enterprise フィルター tag:ics
と組織名で検索し、セルラーモデム経由で公開された HMI を特定。即時オフライン化し、ネットワークセグメンテーションを徹底。
成果: 重大インフラの誤露出ゼロを維持し、規制当局監査にも合格。
ユースケース 5: サードパーティリスク評価
シナリオ: 金融機関がクラウドサービス事業者など主要取引先の外部セキュリティ状況を評価したい。
Shodanの活用: ベンダーの ASN やブランド名で検索し、EOL OS やパスワードなし DB を公開している事例をリスト化。リスク評価レポートを提出し、是正計画を要求。
成果: サプライチェーン由来の侵害リスクを事前に低減し、社内コンプライアンス基準を満たす。
ユースケース 6: サイバーセキュリティ研究・インテリジェンス
シナリオ: 大学研究チームが Mirai ボットネットに感染しやすい IoT デバイスの世界分布を調査したい。
Shodanの活用: デフォルト認証バナーや Telnet バナーで検索し、国別感染ポテンシャルを統計化。Trends API で推移も分析。
成果: 国際会議で研究成果を発表し、メーカーへ改善提言。自組織の IoT 資産も同条件でチェックして安全性を担保。
FAQ
- Shodan は合法か?
- 公開バナーのみを収集するため合法です。責任ある利用が前提となります。
- 内部スキャナーの代替になるか?
- いいえ。Shodan は外部視点を補完するツールで、内部スキャンや認証スキャンの置き換えではありません。
- データ鮮度は?
- 大半のバナーは週次更新。オンデマンドスキャンや Firehose ストリームでリアルタイム取得も可能です。
結論
Shodan は組織のインターネット向け攻撃面を理解し、防御を強化するための強力なツールです。リアルタイムアラートから戦略的インサイトまで、Shodan が提供する外部インテリジェンスを活用し、セキュリティを一歩先へ進めましょう。
worldsoft Shodanブログのご紹介
woldsoft のブログにもShodanに関するQ&A等を掲載しています。ぜひ一度ご覧ください。↓↓
メーカーの製品サイト
https://developer.shodan.io/
【言語】英語
【問い合わせ先】support@shodan.io