Googleハッキング【第1回】あなたの会社もGoogleハッキングの餌食になるのか!?

Googleハッキングは、必ずしも洗練されたテクニックを必要としない。簡単な検索によってセキュリティ上の秘密を暴けることがある。悪党たちはそのことを知っている。ITマネジャーであるあなたは知っていただろうか。

[Michael S. Mimoso，TechTarget]

「Googledork」という言葉をご存知だろうか。これは、センシティブな情報をうっかりとWeb上で公開してしまう人のことをいう（訳注：dorkとは「間抜け」の意）。その結果、一般に公開するつもりのない情報が、検索エンジンによってインデックス化されてしまうのだ。

　ひょっとして、あなたはGoogledorkになっていないだろうか。あなたの同僚はどうだろうか。よく考えていただきたい。それから、あなたとあなたの会社がこの問題と無縁であることを確認するため侵入テストを実施するといいだろう。その結果を見て驚くことになるかもしれないが……。

　Googleハッキングとは、検索エンジンの特殊なクエリーを利用して、ターゲットに関する情報を収集することを意味し、今ではほとんどあらゆる悪党たちの常套手段の1つとなっている。彼らは、Googleなどの検索エンジンの単純なクエリーを通じて収集した真の情報を利用して侵入を成し遂げ、無防備な企業を攻撃するのである。しかも、彼らは形跡を残さないようにそれを実行するのだ。

　CISO（情報セキュリティ最高責任者）は何を心配すべきなのだろうか。まず、自社のセンシティブな情報がインターネット上で簡単に手に入る状態になっていても、それに気づかない可能性があるという困った事実が存在する。しかしそれと同様に物騒なのが、こういったハッキングをいとも簡単に実行できてしまうということだ。Googleハッキングを実行するのに必要なツールはすべて、インターネット上で簡単に手に入るのである。

　企業のセキュリティ担当者たちも、これは単なるWeb上の悪ふざけのようなものではないことに気づき始めた。情報のセキュリティを守る立場にある人がGoogledorkになろうものなら、その人は失業者の仲間入りをすることになるだろう。Googleハッキングの現状、そしてその犠牲になるのを防ぐ方法について、あなたは無知であってはならないのだ。

簡単だから怖い

　ジョニー・ロング氏は、文字通りこの問題をテーマにした「Google Hacking for Penetration Testers」（侵入テスト担当者のためのGoogleハッキング）という本を著した。正義の味方であるロング氏は、Google Hacking Database（GHDB）を公開するサイトを設立した。このデータベースは、ハッカーにとっても侵入テスト担当者にとっても価値あるクエリー手法を集めたものだ。同氏によると、マーク・“シンプルノマド”・ラブレス氏やライアン・ラッセル氏といった有名なハッカーたちも、早い時期から検索エンジンを利用し始めたという。ロング氏の著書、そして業界カンファレンスでの同氏のダイナミックなプレゼンテーションがきっかけで、Googleハッキングという言葉がセキュリティ用語集に収録されることになった。

「どんなデータであれ、その上に検索可能なインタフェースを置けば、いずれ悪党たちがそのデータを利用して、よからぬことをする方法を見つけるだろう。これは単純な事実だ」とロング氏は語る。

　ある意味では、Googleハッキングという表現は正しくない。これは基本的に情報収集であり、企業の脆弱なサーバやファイル、パスワードログ、公開ディレクトリ、Webベースのデバイス管理パネル、リモートデスクトッププロトコルクライアント、ルータ／スイッチの管理インタフェースに対してGoogleの強力な検索能力を解き放っているにすぎないのだ。侵入テスト担当者と悪党たちの違いはその意図だけである。

　Googleハッキングは、必ずしも洗練されたテクニックを必要としない。高度な演算子（複雑な検索を実行するための特殊な表現）と検索語を組み合わせれば、企業のセキュリティの秘密がインターネット上で丸見えだという信じられないような状況を、あなたも目の当たりにできるかもしれない。Googleハッキングを侵入テストの一部として含め、どのデータやインフラ管理機能にインターネット上でアクセスできるかを見直したセキュリティポリシー／手続きを作成・導入するのは、セキュリティマネジャーの責任である。

「ネットワークへのアクセスを手に入れ、何かに侵入することが検索の目的であれば、セキュリティに関する知識がその成否を左右する。Googleを利用して相手のファイアウォールを通過するという訳ではないからだ」とロング氏は話す。

「セキュリティについてある程度の知識がある人にとっては、Googleは素晴らしいツールであり、（善人であれ悪人であれ）その目的を達成するのを容易にするだろう。Googleがこれほど普及した理由もそこにある。技術オタクたちは、Googleの到達範囲の広さを知っているのだ。技術オタクでない人にとっては、簡便な検索エンジンという認識しかない」（同氏）

　ロング氏のサイトもその簡便性に貢献している。GHDBでは、数百人の協力者コミュニティーから提供された1200項目以上のクエリーが14のカテゴリに分類されている。これらのクエリーを使えば、検索できないものはない。ログインの失敗を示すエラーメッセージが見つかることもあれば、プリンタやWebCamなどのオンラインデバイスに関する情報を収集できることもある。また、脆弱なWebサーバのバージョンに関する情報や、IDSやファイアウォールのログに残された脆弱性データなど、非常に危険な結果がGoogle検索によって得られる可能性もある。

　あるセキュリティ専門家は、Googleハッキングがいかに簡単であるかを示した。電話での短い会話の中で、彼はGoogleを使ってリモートデスクトッププロトコルのエクステンションを検索する方法をわれわれに教えてくれた。特定の高度な演算子と検索語を組み合わせることにより、われわれは193件の結果を得た。検索結果の1つを任意に選んでクリックするとダイアログボックスが現れ、リモートデスクトップをオープンまたは保存するかどうか尋ねてきた。専門家は、そこでやめるよう注意した。彼によると、それ以上やると、ほかのユーザーのデスクトップ操作をわれわれが盗み見ることになる恐れがあるという。