［米国］
グーグルのバイナリ検索機能をマルウェアの検知に活用

（2006年07月10日）

　セキュリティ・ベンダーの米国ウェブセンスは7月7日、グーグルの検索エンジンのほとんど知られていない機能を利用して、数千の悪意のあるWebサイトと、いくつかのクラッキングされたサイトを発見したことを明らかにした。

　ウェブセンスはグーグルのバイナリ検索機能と同社の検索エンジンを組み合わせてマルウェアを検知できる新しいソフトウェア・ツールを開発した。

　ウェブセンスのセキュリティ／リサーチ担当シニア・ディレクター、ダン・ハバード氏によると、グーグルの検索エンジンで、BagelやMytobといったワームなど既知のマルウェアで使われている文字列を検索することにより、この1カ月で約2,000の悪意のあるWebサイトを発見したという。

　グーグルの検索エンジンは、インターネット上でのWebページやオフィス文書の検索に広く使われているが、通常は検索対象にならないWindows用の実行可能ファイル（.exe）に保存されているバイナリ情報も探索できる。「実行可能ファイルの中身を見て、その情報にインデックスを付けることができる」（ハバード氏）

　ハバード氏とそのチームは、グーグルのバイナリ検索機能を利用したウェブセンスの新ツールを、一部のセキュリティ研究者と共有する計画だが、一般公開する予定はない。悪用されるおそれがあるからだ。

　例えば、ウイルス作者がウェブセンスのツールを使って、攻撃用のワームやウイルスを検索する可能性があると、ハバード氏は指摘する。「そうすれば、攻撃者はそれらを闇市場から調達しなくても、自分で検索して入手できる」

　また、一部のブロガーは、クラッカーがバイナリ検索機能を利用して、グーグル・ユーザーをだまして不正なソフトウェアをダウンロードさせるおそれもあると指摘している。クラッカーが検索結果に不正なコードを紛れ込ませようとして、一般的な検索語を不正なコードに追加する危険があるという。

　グーグルはそうしたケースが「時々」発生していることを認識しており、ユーザーをそうした悪意あるソフトウェアから守るための対策を実施していると、同社の広報担当者は述べている。

　この種の攻撃は、システム上で実行可能コードが実行されようとしていることを通知するWindowsの標準プロンプトで、ユーザーが実行を指示しなければ機能しない。

　また、『Google Hacking for Penetration Testers』の著者でコンピュータ・サイエンシズのセキュリティ研究者のジョニー・ロング氏は、グーグルのバイナリ検索機能で最も興味深いのは、セキュリティ上の意義ではなく、グーグルがこうしたファイル検索サービスの提供を考えていることを示唆していることだと強調する。

　「グーグルがまだ扱っていないファイルは多々ある。だがこの機能からは、彼らがより広い分野に進出し、おそらく現在よりも多様なコンテンツをクロールしようとしていることがうかがえる」（ロング氏）

(ロバート・マクミラン／IDG News Service サンフランシスコ支局)