ITmedia NEWS >

Googleは今やハッカーツール

» 2005年08月02日 15時22分 公開
[IDG Japan]
IDG

 インターネットのどこかで、Electric Bongが脅威にさらされているかもしれない。その脅威とは、Googleの莫大なデータベースを侵入の手段として利用できるよう細工されたGoogleクエリーだ。

 Electric Bongは、セキュリティ研究者のジョニー・ロング氏が他人の家庭の電気ネットワークにつながる無防備なWebインタフェースを発見した時に見つけた多数の家庭用デバイスの1つだ。このデバイスの右側には「オン」と「オフ」の2つのボタンがある。

 Computer Sciencesの研究者で、「Google Hacking for Penetration Testers」の執筆者でもあるロング氏がElectric Bongを見つけられたのは、単に、Webでの公開を意図していない情報がGoogleにたくさん含まれているからだ。問題はGoogleそのものではなく、Googleの強力な検索エンジンがこれまでに何を掘り出せたかをユーザーが認識していないという事実にあると、同氏は先週ラスベガスで開かれたBlack Hat USAカンファレンスで語った。

 電力システムに加え、ロング氏やほかの研究者らは、プリンタネットワーク、企業の電話システムのPBX(構内交換機)、ルータ、Webカメラ、そしてもちろんWebサイトそのものを含む広範なデバイスを掌握できる無防備なWebインタフェースを見つけることができた。すべてGoogleを使って発見できたとロング氏。

 しかしGoogleのハッキングツールとしての有効性はそこで終わらない。ハッカーにとってはある種のプロキシサービスとしても利用できるとロング氏。

 セキュリティソフトは攻撃者が企業ネットワークを調べているときにそれを識別できるが、攻撃者は狙ったネットワーク上にあるトポロジー情報を調べる代わりに、Googleでその情報を見つけられるという。これによりネットワーク管理者が攻撃を遮断するのは難しくなる。「標的には、われわれが彼らのサイトをクロールし、情報を入手していることが分からない」と同氏。

 この種の情報は無意味に見える情報――ロング氏はこれを、「Google Turds」(turdは「フン」の意味)と呼ぶ――の形をしていることが多い。例えば、「nasa」というURLのWebサイトはないため、Googleで「site:nasa」を検索すると返ってくる結果はゼロのはずだ。その代わりに、米航空宇宙局(NASA)の内部ネットワークの構造についての洞察を与えるサーバのリストが表示されるという。

 うまく構成したGoogleのクエリーをテキスト処理ツールと組み合わせれば、SQLパスワードや、SQLエラー情報まで引き出せる。これを利用すれば、SQLデータベース上で無許可のコマンドを実行するSQLインジェクション攻撃を仕掛けることができる。「ここでGoogleハッキングになるわけだ。SQLインジェクションを実行したり、Googleクエリーを実行して同じものを見つけることができる」とロング氏は言う。

 同氏によると、Googleは従来、自社の大規模なデータストアがセキュリティに及ぼす影響を問題にしてこなかったが、同社が幾つかのワーム攻撃に知らずに荷担していたという事実を受け、今はセキュリティ上の理由から一部のクエリーを拒んでいるという。「最近になって、同社はこの問題に踏み込んできた」

Copyright(C) IDG Japan, Inc. All Rights Reserved.