Googleを脆弱性スキャナに。ハッカー集団が新ツール

[Ryan Naraine，eWEEK]

　検閲反対のスタンスで知られるハッカー集団Cult of the Dead Cow（cDc）が、Google検索エンジンを使い勝手のいい脆弱性スキャナに変える新ツールをリリースした。

　ジョニー・ロング氏の「Google Dorks」――機密情報を見つけるための検索クエリー――にヒントを得たcDcの「Goolag Scan」は、さらに限界に挑み、Windows GUIベースのスタンドアロン検索アプリケーションを提供している。

　オープンソースのGoolag Scanには、脆弱なWebアプリケーション、設定ミスでバックドアが開いているWebサーバ、ユーザー名とパスワードなど、インターネット上で誤ってさらされてしまっている文書を検索するための約1500種のカスタムGoogleクエリーがデフォルトで組み込まれている。

　「Webがプラットフォームであることは明白だ」とcDcの広報担当オクスブラッド・ラフィン氏は言う。「このプラットフォームは、セキュリティの観点から見るとかなりひどい。Goolag ScanはWebサイトオーナーが自分のサイトを修正する新たなツールを提供する」

　「北米、欧州、中東でこのツールを使ってランダムにテストしてみたところ、恐ろしい欠陥が見つかった。もしもわたしが政府機関や大企業、あるいは大規模なWebサイトのオーナーだったら、このツールをダウンロードして自分のサイトで試しているだろう。見つかった脆弱性はそれほど深刻なものだった」（ラフィン氏）

　このツールは.NETプログラムとして提供され、特定のサーバあるいはドメイン全体をGoogle検索できるように手動で設定できる。

　例えば、企業はGoolag Scanを使って、自社のWebサイトの脆弱なサーバあるいは「機密情報を含むファイル」を検索でき、このツールを便利な監査ツールにすることができる。

原文へのリンク