PacSec.JP開催、Googleハッキングに対処するには自ら検査を

11月11日、12日にわたって開催されているセキュリティカンファレンス「PacSec.JP/core04」では、Googleハッキングの手法などが解説された。

[高橋睦美，ITmedia]

　11月11日、12日の2日間にわたって、都内のホテルにてセキュリティカンファレンス「PacSec.JP/core04」が開催されている。日本国内での開催は今年が2度目だ。会場では内外のセキュリティ専門家により、最新の攻撃手法やセキュリティ監視／維持していくためのアプローチなどが紹介された。

　カンファレンスのオーガナイザーとして動いているドラゴス・リュジュ氏によると、冷静に判断すれば、情報セキュリティをめぐる状況は「悪化したわけではないが、良くなっているわけでもない」という。「問題が発見され、それを修正する。するとまた新たな問題が生じ、それを修正する。この繰り返しだ」（同氏）。

　けれど、「サイバー犯罪はより深刻化している。特に目立つのは営利目的のハッキングが増加していることで、これらが現実の脅威として立ち上がってきた」（同氏）のも事実という。また、iPodなどのデバイスや、車や家電に搭載される組み込みシステムのセキュリティ問題も浮上してきた。

　このカンファレンスでは、いわゆる「住基ネット」の脆弱性に関する発表も行われる予定だ。「政治的な思惑はさておき、大事なことは問題を認識し、互いの意見を交換し合うことではないだろうか。セキュリティ問題を解決していくうえで、コミュニケーションは非常に重要だ」とリュジュ氏は述べている。

センシティブな情報が丸見えに

　カンファレンス初日には、先日McAfeeに買収されたセキュリティ企業、Foundstoneのジョージ・クルツ氏が、Googleハッキングに関するセッションを行った。

　Googleを用いて、本来公開されるべきでない機密情報や社内システムのさまざまな情報を探り出す「Googleハッキング」は、今年のセキュリティ業界で人気の高いトピックの1つだろう。この夏に開催された「Black Hat Briefings」でも、このテクニックの一部が紹介されている。

　クルツ氏は、アルカイダの文書に記された「違法な手段に頼らずとも、敵に関する情報の8割は取得できる」という言葉を引き合いに出し、「Googleを使っても同じことができる」と述べた。Googleが提供する「検索オプション（詳細検索機能）」や条件検索用の演算子を活用することで、「非常にセンシティブな情報や特定の脆弱性を持つWebサイトを容易に発見することができる」（同氏）。

　最も分かりやすい例は、対象サイトの下調べ作業である「フィンガープリンティング」に利用する場合だ。

　相手サイトのサーバOSやアプリケーションのバージョン、それらが持つ脆弱性といった情報は、専用ツールを用いても収集できる。ただ、当該サイトがきちんと監視を行っていた場合はその徴候が検出されてしまう可能性が高い。

　これに対しGoogleを活用してインベントリ情報を収集する場合は、「こちらからパケットを送り出すことなく、ノイズを生じさせずにこうした情報を得ることができる」（クルツ氏）。脆弱性検査ツール「Nessus」のレポートファイルを検索し、レポート内容をまるごと見てしまう、なんていうことまで可能という。仮に攻撃者がこうした情報を入手できれば、「その後の侵入は極めて容易だ」（同氏）。

　もっと直接的に、本来アクセスされるべきでない設定ファイルや機密情報、個人情報の類いを盗み見ることも可能という。例えば、「intile」や「filetype」といった演算子を組み合わせて検索をかければ、『社外秘』となっているはずのドキュメントが見えてしまうケースがある。バックアップファイルが盲点になることも多く、UNIXシステムのシャドーパスワードファイルのバックアップがそのまま見えてしまう、という危険性の高い例も紹介された。

　さらには、Microsoft AccessのデータベースやWindows Terminal Serverのインタフェースを探し出してログインする、などということまで可能という。

　「Googleの検索機能があまりにも効率的であるがゆえに、このような情報まで

見えてしまう」（クルツ氏）。

見つけられる前に見つけよ

　「GooScan」「Athena」のように、これらGoogleハッキングを手助けするツールもいくつかある。Foundstoneも、Google APIを用いて、重要な情報が露出していないかどうかを検査するためのツールとして「SiteDigger」をリリース済みだ。クルツ氏によると、ちょうど、XMLベースのシグネチャなどの機能を備えたバージョン2.0をリリースする直前という。

　さて、自社システムがGoogleハッキングによって不用意に情報をさらさないようにするにはどうしたらいいだろうか。「悪者に見つけられる前に、自社サイトがどうなっているかを自ら理解することが重要だ」（クルツ氏）。

　これらツールを活用して自らスキャンを行い、攻撃につながる情報やセンシティブな情報を公開していないか、チェックすべきという。検索エンジンの検索対象として登録されないよう指定する「robots.txt」の定期的な更新も一つの手段だ。

　とはいえ、クルツ氏の一言がすべてを物語っているかもしれない。「Webにはいろいろな情報が掲載される。けれど、基本的に、機密情報は公開Webサーバ上に置くべきではない」