前回、Google検索を使って複合機の管理画面を見つけられると説明した。実はGoogle検索で発見できるのはこれだけではない。誤って公開セグメントに置いてしまったサーバーから、企業や組織の機密情報などにもアクセスできてしまう。こうした検索を駆使したハッキング手法は「Googleハッキング」と呼ばれ、ハッキング手法の1ジャンルとして成立している。

 Googleハッキングは特段新しい手法ではない。ハッカー界隈では毎年のように話題に上っている。使い古されていながら、対策が不十分なハッキング手法といえる。

写真1●お手軽な「Googleハッキング」で個人情報や機密情報が見えてしまう
写真1●お手軽な「Googleハッキング」で個人情報や機密情報が見えてしまう
テロリストが標的の情報を調べるためにも利用していると言われる。
[画像のクリックで拡大表示]

 Googleハッキングの一例を示そう。国会議員のメールアドレスを入手しようとした場合、Googleで「名簿 衆議院 .xls 渋谷区」といった文字列を検索すれば、国会議員のメールアドレスを含む名簿が入手できる(写真1)。

 Googleハッキングの特徴は、一般には検索キーワードとして使用しない「.xls」(Excelファイルの拡張子)のような特殊な文字列を入力して、目的の情報を検索する点にある。「すべての国会議員のメールアドレスを攻撃者が不正入手した」というと高度なサイバー攻撃が行われた印象を持つが、実際には我々が日常使っている検索サービスで簡単に入手できる。

 Googleハッキングで得られる情報は、Googleが検索ロボットで検索した結果、すなわち検索エンジンのデータベース上のコピー情報で、アクセス先はGoogleだ。したがって、攻撃者は本来の標的となる企業や組織のサーバーにアクセスする必要がない。したがって、標的に気付かれることなく、必要な情報を収集する手段となる。こうした特徴から、セキュリティ専門家の間ではテロリストが多用していると見られている。

Googleハッキングは年々進化

写真2●GHDB(Google Hacking Database)のページ
写真2●GHDB(Google Hacking Database)のページ
[画像のクリックで拡大表示]

 Googleハッキングは単純な手法だが、年々進化を遂げている。例えば、先に紹介した特殊な検索文字列に関するノウハウが年々充実している。ジョニー・ロング氏やハロルド・デイビス氏といった研究者が著名だ。Defconなどで毎年、新しい検索文字列を披露している。

 ノウハウは公開されてハッカーの間で蓄積されている。ジョニー・ロング氏は「Google Hacking」という分厚いノウハウ本のシリーズを出版。さらに「GHDB」(http://www.hackersforcharity.org/ghdb/、Google Hacking Database)というWebサイトも運営している(写真2)。Googleによって情報が公開されてしまっている“愚か者”(googledorksと呼ぶ)を一覧にしたWebサイトである。

 これとは別に、Googleハッキングを自動化するようカスタマイズしたツールも開発されている。例えば「Gooscan」というツールは、複数のGoogle検索を同時に実行するソフトで、膨大な検索を短時間で実行できる。

 こうしたノウハウとツールの開発によって、Googleハッキングは年々進化を遂げている。ところが、日本国内では話題になることが少なく、その危険性は理解されていないように見える。自社の情報を守るためにも、Googleハッキングをシステム部門自身が学ぶ必要があると筆者は考えている。

 もう一つ肝に銘じておきたいのが、Googleハッキングの舞台はGoogle検索だけとは限らないことだ。むしろ、新興検索エンジンのほうがより悪質な状況になる可能性がある。

 ロボット型検索エンジンによるクロールは、Webサイトのルートにrobot.txtというファイルを置くことで拒否できるというルールになっている。Googleはこのルールを守っているが、所詮は紳士協定にすぎない。無視されればすべての情報を持っていかれる可能性がある。どの検索エンジンも紳士協定を守っているとは思い込まないほうがいい。

山崎 文明(やまさき ふみあき)
ネットワンシステムズ フェロー
大手外資系会計監査法人でシステム監査に永年従事。システム監査、情報セキュリティ、個人情報保護に関する専門家として情報セキュリティに関する政府関連委員会委員を歴任。主な著書に「PCIデータセキュリティ基準完全対策」(日経BP社監修)、「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティと個人情報保護完全対策」(日経BP社)、「情報セキュリティハンドブック」(オーム社共著)、「システム監査の方法」(中央経済社共著)、「コンティンジェンシー・プランニング」(日経BP社共著)、セキュリティマネジメント・ハンドブック(日刊工業新聞社共著)などがある。ブログも随時更新中。