なぜ「専門検索エンジン」が必要か?
GoogleやBingのような一般検索エンジンは便利ですが、セキュリティ分野では十分ではありません。
そこで登場するのが、特定のセキュリティ用途に特化した 専門検索エンジン です。
各サービスの概要
1. Shodan
- 対象: インターネットに接続されたデバイス(IoT、サーバー、カメラ、産業制御システム)
- 特徴: 全世界のポートスキャンデータ、バナー情報を検索可能
- 用途: 攻撃対象領域の可視化、脆弱なサービスの発見
- リンク: https://www.shodan.io
- 例:https://www.shodan.io/search?query=lighttpd
2. Censys
- 対象: インターネットホスト、TLS証明書、IP空間
- 特徴: 全IPv4スキャン、証明書検索
- 用途: 資産管理、脆弱性調査、コンプライアンス確認
- リンク: https://censys.io
- 例:https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=25&virtual_hosts=EXCLUDE&q=apache+2.4.1
3. VirusTotal
- 対象: ファイル、URL、ドメイン
- 特徴: 70以上のアンチウイルスエンジン&サンドボックスで解析
- 用途: マルウェア調査、インシデント対応、URL安全性確認
- リンク: https://www.virustotal.com
- 例:https://www.virustotal.com/gui/file/2de70ca737c1f4602517c555ddd54165432cf231ffc0e21fb2e23b9dd14e7fb4
4. Have I Been Pwned (HIBP)
- 対象: データ漏えい情報(メールアドレス、ユーザー名、電話番号)
- 特徴: 既知の漏えいデータベースを検索可能
- 用途: 個人の漏えい確認、企業でのアカウント監視
- リンク: https://haveibeenpwned.com
比較表
| ツール | 対象 | 主な用途 |
|---|---|---|
| Shodan | IoT機器、サーバー | 攻撃対象領域の可視化 |
| Censys | ホスト、証明書 | 資産管理・コンプライアンス |
| VirusTotal | ファイル、URL、ドメイン | マルウェア検知・解析 |
| HIBP | 漏えいアカウント情報 | パスワード漏えい確認 |
図解(Mermaid)
実際の利用シナリオ
シナリオ 1: SOCアナリストによる脆弱性調査
-
Shodan を使って、自社ネットワークに関連する公開サーバーを調査。
→ 想定外に公開されているRDPポートを発見。 -
Censys を利用し、そのIPのTLS証明書を確認。
→ 期限切れの証明書があり、運用管理の不備を把握。
効果: 攻撃者に狙われる前に、公開資産のリスクを早期検知。
シナリオ 2: マルウェア感染調査
- 社内PCから怪しい添付ファイルが発見された。
-
VirusTotal にファイルをアップロード。
→ 複数のAVエンジンで「トロイの木馬」と判定。 - 関連する通信先URLもVirusTotalで調査。
→ C2サーバーが判明し、ファイアウォールでブロック。
効果: 迅速なマルウェア感染対応。
シナリオ 3: アカウント漏えい監視
- Have I Been Pwned で自社ドメインのメールアドレスを検索。
- 一部社員のアドレスが過去の漏えい事件に含まれていることを確認。
- 強制パスワードリセットを実施し、多要素認証を導入。
効果: クレデンシャル・スタッフィング攻撃を未然に防止。
まとめ
- Shodan → IoTやサーバーを探す
- Censys → インフラ資産や証明書を調べる
- VirusTotal → ファイルやURLの安全性を確認する
- HIBP → 自分のアカウントが漏えいしていないか確認する
これらを使い分けることで、攻撃対象領域の可視化・マルウェア対策・漏えい監視など幅広いセキュリティ活動に活用できます。