Googleハッキング【第2回】Googleハッキングに対する企業の防衛策とは!?

Googleハッキングは、必ずしも洗練されたテクニックを必要としない。あなたの会社がGoogleハッキングの餌食になれば、大きなリスクを背負うことになる。餌食になった企業の数を推測するのは不可能だが、潜在的には驚くような数に上るはずだ。

[Michael S. Mimoso，TechTarget]

嵐を越えて

　米Google検索で「weather」と入力すると、最初に表示される結果はウェザーチャンネルのサイトである。同社でネットワークアーキテクチャを担当するディレクター、ジョン・ペンロッド氏は、マーケティングという観点では、同社のサイト（www.weather.com）が最上位にランクされるのを喜ばしく思っている。しかしセキュリティという面では、同サイトに対する悪意のあるクエリーがもたらす危険性の大きさを同氏は認識している。

　ペンロッド氏によると、同氏が率いるグループはこれまで、ハッカーの攻撃をことごとくはねのけてきたという。これは、効率的なQA（品質保証）プロセスに加え、ウェザーチャンネルでのWeb開発に対して適用している厳格なセキュリティ／コード審査によるところが大きい。専門家によると、これらはGoogleハッキングに対する企業の防衛策として最善の手段だという。

「われわれにとって最も重要なことは、ブランドの保護である。起こり得る最悪の事態とは、われわれのサイトが攻撃されたり、ダウンさせられたりすることだ」とペンロッド氏は話す。

　リスク評価の内容としては、情報流出の責任とリスクを調査し、あなたの会社が一般に公開してもよいのはどんな情報であり、失っても構わないと考えているのは何であるのかを確認することなどがある。どの情報資産がWebとつながっており、それらがセキュアであるのかどうかを把握することは不可欠である。Web上でのプレゼンスが急速に拡大している企業にとって、これは容易に解決できない課題である。厳格な社内ポリシーによって、Web上でアプリケーションを運用する場合の要件を明確化しなければならず、また、マネジャー、管理者、開発者の全員がこれらの規定に署名しなければならない。プロセスを定期的にポリシー化する必要もある。

　The Weather Channelサイトの新バージョンがQA段階に入ると、確立したセキュリティプロセスに従っているかどうか社内チームによる審査を受けた上で、本番用として立ち上げられる。バックエンドの管理部門はインターネットから切り離されている。これは強固な戦略である。検索エンジンの検索対象は無差別であり、保護されていないファイルや多くの機密情報が含まれたファイルがWeb上で見つかる可能性があるからだ。

「QAチームは、一般の人々がアクセスできるあらゆるファイル、あらゆるディレクトリをチェックする。ブラウザで見えないからといって、発見されないと思い込んではならない」とペンロッド氏は話す。

「OSがセキュアであり、Webサーバアプリケーションがセキュアであり、ダイナミックコンテンツ作成プロセスが最初からセキュアであることを確認することが重要なのである」（同氏）

　防御メカニズムとしては、「robot.txt」（ロボットを排除するための標準的ファイル）などのテキストファイルをルートディレクトリに含めるといった単純な方法もある。robot.txtは、Googleのスパイダーがディレクトリをキャッシングするのを防止する。「NOARCHIVE」や「NOSNIPPET」といったメタタグを使用することによって、Googleが特定のページをキャッシングするのを防ぐという方法もある。また、アプリケーションをパスワードで保護することによってGoogleを排除することもできる。

　米コンサルティング会社、ビジラーでソリューション技術マネジャーを務めるデイブ・シャックルフォード氏は、「われわれがGoogleハッキングの結果を見せると、誰もが信じられないというような反応を示す」と話している。

「彼らは毎日、Googleを利用している。Googleは、悪意がないクエリーで利用する分には客観的なツールだ。だが、企業が公開したくない情報を見つけるのにも利用されるのだ。彼らはそのことを知ってびっくりする」（同氏）

　企業は、Googleハッキング対策にスタッフを投入する必要もある。自社に対してクエリーを実行することにより、ハッカーに先を越される前に、危険にさらされている貴重な情報を見つけ出さねばならない。センシティブなページがオンライン上で見つかった場合、それらのページをディレクトリから削除するか、パスワードで保護すべきである。また、オンラインフォームを通じて、これらのページを検索結果およびそのキャッシュから削除するようGoogleに要求することも忘れてはならない。

　Google検索で上位にランクされることを望むThe Weather Channelのようなサイトにとってのジレンマは、排除テクニックを使用すれば、検索エンジンでの自社サイトのランキングに悪影響が及ぶ恐れがあることだ。

「われわれはもちろん、Googleが当社のサイトを見つけることを望んでいる。ビジネスにとってプラスになるからだ。だがセキュリティという観点から言えば、当社のサイトがGoogleで見つからないことが望ましい。われわれはすべてをはかりに掛けて、リスクを比較評価しなければならない」とペンロッド氏は話す。

残り物に福あり

　あなたの会社がGoogleハッキングの餌食になれば、大きなリスクを背負うことになる。餌食になった企業の数を推測するのは不可能だが、潜在的には驚くような数に上ると思われる。

　ハッカーたちは、ネットワークのマッピングや、実際の攻撃の最終フェーズの実行など、さまざまなことを可能にするクエリーを引っ下げて各種の検索エンジンを渡り歩く。ロング氏によると、最近、GHDBに新たに提出されたクエリーでは、VoIP機器のWebインタフェースにログイン／パスワード防御が施されていないことが分かったという。別のクエリーでは、企業の照明を消すためのインタフェースも見つかった。リンクシスのルータやCisco VPN Concentratorの管理インタフェースが丸見えになっているのが見つかることも珍しくない。Googleハッキングは特殊なトリックを必要としないのだ。

　ハッカーたちがGoogleを好むのは、匿名性があるからだ。誰にも知られずに、ターゲットを偵察することができるのだ。Googleは、巡回したすべてのページをキャッシュに入れる。これは、元のページがサイトから削除されても、そのコピーをどこかに保存しておくためである。困ったことに、残り物や忘れ物を狙うハッカーがキャッシュページをスキャンしても、あなたの会社のサーバのログにはハッカーの足跡が一切残らないのである。センシティブなデータが第三者の手に渡っても、全く気づかないのだ。

　ロング氏は、「あなたの会社のデータが検索エンジンを通じてアクセスされないようにするには、キャッシュページおよび元のページリンクが参照されないようにするだけでは不十分だ」と注意を促す。セキュリティマネジャーは、メインの検索ページ上の各検索結果と共に表示されるページ要約も削除されていることを確認する必要があるという。ハッカーたちがこの要約情報を利用して、企業が彼らに見せたくないWeb情報の一部を再構成する可能性があるからだ。

「キャッシングに関しては多くの技術が存在するが、基本的にはどれも同じだ。何を削除したいのかを認識し、削除に関してはプロアクティブ（事前予防的）な姿勢で臨む必要がある」とロング氏は話す。

「Googleに削除フォームを提出するだけでなく、その後のフォローアップも必要だ。悪党どもが使うのと同じテクニックを利用して、実際に消えたかどうか確認すればいいのだ」（同氏）

　Googleハッキングを防御するには、プロセスの変更だけでなく、セキュリティに対する考え方を変える必要がある。センシティブな情報が隙間から漏れ出ることが多いのは、コードのレビューや、Webインフラに対する侵入テストを行うことなしに、Webアプリケーションが急いで市場に投入されているからだ。

公開の是非

　米コンピュータサイエンシーズの侵入テスト担当者であるロング氏は、GHDBのような情報をサイトに掲載することについては、倫理面でジレンマを感じていることを認めている。しかし結局は、全面的な開示こそが問題解決に向けた正しい方向だという。

「この情報によって人々に悪影響が及ぶかもしれないが、オープンなコミュニケーションはあらゆる方面で人々を教育する。確かに悪党たちの役にも立つが、脆弱性を開示すべきかどうかをめぐる議論に耳を傾けた結果、この情報を伏せることによって誰かを守ることができると思うのは、ばかげた考えであることが分かった」とロング氏は話している。

　GHDBは短いツールリストに含まれており、これらのツールを修正すれば、あなたの会社のドメインに対してクエリーを実行することができる。ロング氏は、多数のGoogle検索を一斉に実行する「Gooscan」というオープンソースツールを作成した。これとよく似た「Athena」と呼ばれるツールもGooscanと同様、Google APIをベースとしておらず、Googleのサービス規約に違反している。Googleには、違反者のIPレンジが同社の検索エンジンを使用するのを禁止するというオプションもある。「Witko」や米ファウンドストーンの「SiteDigger」といったツールは、Google APIをベースとしており、Googleからライセンスキーを取得する必要がある。

「GHDBをどの程度まで広く公開するかというのは、われわれにとって悩ましい問題の1つだ。この問題が十分認識されるようになったというのが現在の段階だ。そろそろGHDBをリリースして、できるだけオープンにすべき時期だ。これを公表して、人々の意識を喚起するというのは、われわれの当初からの目標だった」とロング氏は話す。

　一方、企業からの削除要求に従うだけでなく、企業を危険にさらす恐れのある情報が開示されないようにする責任がGoogleにあるのではないかという議論もある。Googleの担当者によると、同社の仕事はインターネットをユーザーに提供することだという。それ以上のコメントは得られなかった。

　ロング氏も、スキャンされている企業に警告することはGoogleにとってビジネスチャンスになるかもしれないが、同社にはその義務はないとしている。

「彼らのデータではない。Googleがデータを所有しているのではないのだ。自社のデータ保管庫の安全を守るのは、セキュリティ担当者の責任だ」（ロング氏）