無防備なデバイスをあぶりだす検索エンジン SHODAN

ALL
生活
スポンサーリンク

コピー機やFAXなど、ネットワークにつなげられるデバイスは増えていますが、気を付けないと問題が起こることがあります。

不用意にインターネットからデバイスへアクセス出来るようにしていると、これらのデバイスの脆弱性を足掛かりに、組織内部のネットワークへの侵入を許すこともあり得ます。

過去にはハードディスクレコーダやブロードバンドルータを踏み台にした事例もあるようです。

また昨年2013年には、次の報道もされています。

2013年11月6日  読売新聞
住民票・答案…複合機の蓄積データ、公開状態に
 東大など3大学で、ファクスやスキャナーなどの複合機で読み取った学生ら延べ264人の個人情報がインターネット上で誰でも閲覧できる状態になっていたことが6日、読売新聞の調査で分かった。

このようにデバイスの設定不備や脆弱性によりセキュリティ上問題が起こりますが、このようなデバイスを検索する SHODAN というサービスがあります。

以降では SHODAN の利用方法について説明しますので、デバイスが不用意に公開されていないかチェックに役立ててください。

SHODAN

SHODAN はネットワークデバイスを検索できるサーチエンジンです。
WEB/FTP/メール等のサーバにとどまらず、ウェブカメラ、ルータ、SIPサーバ等も検索対象となります。

SHODAN – Computer Search Engine

画像

SHODAN では、ホスト名やIPアドレス、Linux/WindowsといったOS種別、等で検索できます。

また、バナーも検索対象となります。
バナーとは、サーバや機器が返す情報で、ソフトウェアのバージョンやその他有用な情報が含まれています。

なお、後述のアカウント登録を行わないと、検索結果は10件しか参照出来ません。
アカウント登録によって、検索結果が50件まで表示出来ます。また、IPアドレス指定といった特定の検索オプションの指定も可能となります。

SHODAN の使い方

Yahoo、Google や Bing と同様に画面上部の入力箇所にキーワードを入れて検索します。

検索結果は次のようなものが並んで表示されます。

画像

左側に、以下のような情報が表示されます。該当する情報が無い場合は表示されない項目もあります。
・IPアドレス
・OS
・国名
・検索エンジン SHODAN に登録された日時
・ホスト名

右側には、バナーが表示されます。
バナーとは、サーバや機器が返す情報です。

例えば、上の画像の例では、「サーバは Apache のバージョン1.3.42、モジュール mod_ssl のバージョンは 2.8.31」といったことがわかります。

また、検索オプションを指定することも出来ます。
検索オプションの後に:を付けて指定します。

例えば、先の画像の例では、「hostname:co.jp port:80 apache」と指定して検索しました。

検索オプションには次のものがあります。
一部、後述のアカウント登録でしか使えないものもあります。

hostname
ドメインやホスト名を指定します。

なお、注意点です。
co.jp のように指定しますが、.(ピリオド)で区切られた文字を含むホスト名が検索されます。
つまり、co.jp を含むホストだけでなく、co と jp が含まれるホストも検索されます。
下のようなホストも検索で表示されます。
jpopcorn.xxx.com

net
netオプションを指定するには、後述のアカウント登録が必要です。
IPアドレスやネットワークアドレスを指定します。
ネットワークアドレスの指定は、216.219.143.0/24 のように CIDR形式で指定します。

port
ポート番号を指定します。
例えば、port:22 で SSHサーバを検索できます。

os
OS種別を指定します。
例えば、OS:XP と指定すると、Windows XP で動作する機器を検索出来ます。

country
countryオプションを指定するには、後述のアカウント登録が必要です。
国名を指定出来ます。
例えば、country:JP で日本を検索対象とします。

アカウント登録

登録すると、検索結果の表示が50件までとなります。(未登録では10件まで)
また、検索オプションで net、port が使用できるようになります。

http://www.shodanhq.com/account/register からアカウント登録します。

入力したメールアドレス宛てにメールが届くので、メール本文中の URL にアクセスすると、アカウント登録完了です。

届くメールは題名が「Subject: Activate Your SHODAN Account」、Fromが「”SHODAN” 」です。

なお、メールはHTMLメールで届くので、HTMLメールを表示しないようにしている場合は注意して下さい。
プレーンテキストパートの無い、HTMLパートのみのメールなので、HTMLメールを表示しないと空っぽのメールに見えます。

以上で簡単ですが、SHODAN の使い方を説明しました。

検索オプションの hostname や net を利用して、各自の利用しているデバイスが不用意に公開されていないか確認してみて下さい。

参考

CNN.co.jp : 最も危険な検索エンジン? 「Shodan」が浮き彫りにする無防備なネット環境 – (1/3)

SHODANで、何ができるのか?|Maruoのブログ

複合機や家電の不要な公開サーバーは「SHODAN」で発見を、IPAが利用法を指南 -INTERNET Watch

進化するサイバー攻撃 – [2]複合機が丸見えになる恐れ:ITpro

IPAテクニカルウォッチ 「増加するインターネット接続機器の不適切な情報公開とその対策」の公開:IPA 独立行政法人 情報処理推進機構

コメント