SHODAN検索エンジンとは何か?

米国の国土安全保障省 (DHS) が12/10に産業用制御システム向けの文書 (ICS-ALERT-11-343-01) を公開し、インターネットに接続している制御システムに対する攻撃の可能性について注意喚起を行いました。この文書では、インターネットに接続している機器の特定に SHODAN という検索エンジンが利用されていると指摘しています。この SHODAN とは一体なんでしょうか?

SHODAN[1]http://www.shodanhq.com/ は約2年前に John Matherly 氏によって開発された検索エンジンです。SHODAN が一般的な検索エンジンと違ってユニークな点は、Web サーバだけでなくインターネットに接続している様々なコンピュータを検索対象としていることと、バナー情報をインデックス化していることでしょう。つまり SHODAN は Web サーバのコンテンツを検索するのではなく、FTP サーバ、メールサーバ、ルータ、スイッチなど様々な機器をバナー情報から検索することができるのです。

バナー情報というのは、サーバに接続した際にサーバからの応答メッセージに含まれる識別情報のことです。それぞれプロトコルによって異なりますが、OS やソフトウェアの名前やバージョンなどの情報を含んでいる場合があります。

例えば Web サーバの場合、Apache や IIS などのキーワードを使い、特定のバージョンのソフトウェアが稼動するサーバを発見することが容易にできます。攻撃者の視点で考えると、これは脆弱性のあるサーバを見つけることが比較的簡単にできることを意味しています。
下の図は SHODAN を利用して "IIS/4.0" というキーワードで検索した例です。IIS/4.0 は Windows NT 4.0 からサポートされた非常に古いバージョンですが、まだかなりの数のサーバが稼動していることがわかります[2]ただしバナー情報は必ずしも実際のサーバソフトウェアと一致しているとは限りません。

SHODAN 検索例

冒頭の DHS の文書によると、産業用制御システムの機器が不用意にインターネットに接続されているケースが最近多く見られ、SHODAN や他の検索ツールを利用して悪意のある攻撃者にこのような機器が狙われる可能性を示唆しています。実は DHS は約1年前の2010年10月にも今回と同様の文書 (ICS-ALERT-10-301-01) を出しています。しかし状況に改善が見られないことから、今回の警告につながったのだと思われます。

ところでこの問題は制御システムに限定した話でしょうか? SHODAN はインターネットに接続している機器であれば(なおかつインデックスに登録されていれば)、どんなものでも検索できます。従って、ネットワーク機器や情報家電など他の多くの機器も同様の脅威に晒されていると言えます。インターネットに接続する機器が爆発的に増加した結果、このような外部からの脅威に関する意識がやや薄れているかもしれません。自分の所有する、あるいは管理する機器の設定やセキュリティ対策の状況について、今一度見直していただきたいと思います。

脚注

脚注
1 http://www.shodanhq.com/
2 ただしバナー情報は必ずしも実際のサーバソフトウェアと一致しているとは限りません。

シェアする