公開Webサーバから機密情報を引き出す「Googleハッキング」の脅威と、その対策
用心! 隠した“つもり”のファイルが情報漏洩の原因に企業や組織が公開したつもりのない情報が、「Google」に代表される強力なインターネット検索エンジンを用いて外部からアクセスされる危険性があることをご存知だろうか。このような手口は「Googleハッキング(Google Hacking)」あるいは「検索エンジン・ハッキング(Search Engine Hacking)」と呼ばれており、セキュリティ専門家の間では以前からその危険性が指摘されてきたが、そのリスクについて一般の認知度はあまり高くない。そこで本稿では、このGoogleハッキングの手口やリスク、およびその対処法を紹介、解説する。
ターゲットはWebサーバに置かれた情報
Googleハッキングとは、Googleの強力なインターネット検索機能を利用して、情報発信者が意図しない情報や、不正アクセスなどの手がかりになる情報を探し当てる行為を指す。検索の方法を工夫するだけで、クレジットカード番号、銀行口座の番号、ログイン・パスワードなどの個人情報や、業務の情報、システムに関する設定情報などが検索結果として表示されてしまうおそれがあるのだ。
例えば、「名簿」という単語を含み、拡張子が「xls」のファイルという条件で検索を行った場合、うっかりWebサーバ上に置かれた個人情報を含むExcelファイルや、そのキャッシュ・データなどがひっかかってくる、といった具合だ。
現在では、グーグル側で表示しないように制限をかけているが、かつてはクレジットカードで使用される特定の範囲の16けたの数字を条件に検索することで、Webサーバ上の公開ディレクトリに置かれたクレジットカード番号を含んだファイルが発見されることがあった。また、クラッカーがセキュリティ・ホールが残っているWebサーバやCGIプログラムなどを探すのにもGoogleがよく利用される。
Googleハッキングで得られる情報は、企業・組織、ユーザーの意図にかかわらず、すでにインターネットに公開されており、だれにでもアクセスできる状態となっているものである。つまり、その情報にアクセスしただけでは、不正を働いたことにならない。そのため罪の意識を持つこともなく、気軽に行われる可能性が高いのだ。
高性能検索エンジンゆえの「危険性」
あらためて紹介するまでもないが、Googleは、すぐれた検索性能と操作性のよさから世界中で支持を得ている代表的なインターネット検索エンジンである。Googleの最も単純な利用方法は、知りたい情報に関するキーワードを検索ボックスに入力するというものだが、このような単純なキーワード検索のほか、条件検索や特定の形式のファイルだけを検索するなど、クエリを用いた柔軟な検索が可能である。Googleハッキングは、このようなGoogleが持つ高度な検索機能をフルに活用することで可能になる手法である。実際には、図1に示したようなクエリや検索語を組み合わせて公開情報などのハッキングを行う。
Googleを使ったハッキング・テクニックは、『Google Hacking For Penetration Testers』(ジョニー・ロング著)で紹介されているほか、同氏のサイトでも最新の情報が公開されている。
さて、Googleハッキングに大きく、ターゲットのWebサーバから直接、情報自体やディレクトリ情報、設定ファイルなどを取得するための手法と、身元を隠してアクセスを行うための手法という2通りの使われ方がある。以下で、その手口の詳細を説明する。
