ITセキュリティのコンファレンス＆展示会「RSA Conference Europe 2008」のWebサイト

　現在英国で開催されているITセキュリティのコンファレンス「RSA Conference Europe 2008」においてセキュリティ専門家は、ハッカーらがGoogleなどの検索エンジンを利用し、重要なデータが保存されているWebアプリケーションに侵入するケースが急増していると警告した。

　米国のセキュリティ・ベンダーImpervaの共同設立者で、同社CTOを務めるアミチャイ・シュルマン（Amichai Shulman）氏によると、ハッカーらは検索キーワードを利用し、Webサイトから社会保障番号などを盗み取っているという。

　「もちろん、社会保障番号がWeb上に保存されていること自体が人為的なミスなのだが、ハッカーらはGoogleを駆使し、Webサイトに対する攻撃を自動化してこれらの情報を収集しているのだ」（Shulman氏）

　Impervaでは最近、GoogleのIPアドレスを使ってSQLインジェクション攻撃を実行する方法を発見したという。Shulman氏は同コンファレンスでこの攻撃に関するプレゼンテーションを行ったが、攻撃の仕組みについては詳細を伏せた。

　ただし、同氏はこの攻撃にGoogleの広告システムが関係していることを認め、Googleに通知したことを明らかにした。同氏は「（同攻撃は）攻撃者が匿名性を保てるうえに、Googleを自動化した攻撃エンジンとして利用できる」と語った。

　実際「Goolag」「Gooscan」といったツールを利用すれば、インターネット上を広範囲に検索して特定の脆弱性をスキャンし、こうした問題を抱えるWebサイトのリストを作成することが可能だ。

　また同氏は、いわゆる「Googleワーム」と呼ばれる攻撃方法についても触れた。この攻撃では検索エンジンを利用して特定の脆弱性を探し当て、追加コードを含めることで、脆弱性を突くことが可能だという。

　もちろんGoogleを初めとする検索エンジン側も、こうした攻撃に対する策を講じ始めた。

　例えば、Googleは一挙に（社会保障番号のような）データを収集できる検索を阻止している。また、同社は1分間に送信できる検索リクエスト数を制限した。これにより脆弱性のあるWebサイトに対する大量の検索には、相当な時間がかかるようになった。

　しかしこれらの対策は、ハッカーらに多少の忍耐を強いるだけのようだ。Shulman氏は「検索に制限を設けることは、Webサイトの問題／脆弱性を発見するために検索を行っているセキュリティ専門家の作業も遅らせることになる」と指摘する。

　さらにShulman氏は、正規のWebサイトを検索結果から消し去ってしまう「サイト・マスキング」と呼ばれる攻撃方法も紹介した。

　Googleの検索エンジンは、コンテンツの重複したWebサイトにはペナルティを科し、一方がGoogleのリストから外れるようになっている。ハッカーはこれを利用し、プロキシ・サーバを通して新たなサイトを作り、正規Webサイトへのリンクを張る。

　Googleでは、プロキシのドメインにあるコンテンツをインデックス化してしまう。さらにほかのプロキシ・サーバを利用してこの作業が数回行われた場合、Googleは正規ページを「複製」だと判断し、インデックスから消去してしまうというものだ。

　シュルマン氏はサイト・マスキングを「企業にとってかなりやっかいな問題」と指摘したうえで、「Webサイト管理者がこのような攻撃を防ぐ手段としては、検索エンジンの正規IPアドレス以外からはインデックス処理ができないようにしてしまうことだ」と語った。