メタデータに残る微かなカオリ：セキュリティ・ダークナイト（7）（3/4 ページ）

» 2011年05月11日 00時00分公開

ドキュメント系ファイルにも含まれているメタ情報

　企業や組織のWebサイトのセキュリティに関しては基本的に、Webサーバの脆弱性やその上で動作しているWebアプリケーションの脆弱性が取りざたされる。特に、いまだに多くのサイトに存在しているSQLインジェクションなどは、データベース内の情報を盗まれたり、場合によっては管理者権限まで奪取される。さらには、訪問者に攻撃を仕掛けるように改ざんされることを考えると、そのインパクトは相当大きい。こう考えると、脆弱性が取りざたされるのは頷ける話であり、どうしてもそこに目がいきがちになる。

　しかし、前述のように個人がそれと意識することなく、自分の個人的な情報をSNSで公開してしまっているのと同じように、組織が自ら内部の情報を露呈させているにもかかわらず、そのことを把握していない場合もあるのではないだろうか。

　内部情報を露呈させているかもしれないもの、それは「ドキュメント系ファイル」である。

　例えば、企業がニュースリリースなどの情報を配信する際は、「pdf」や「doc」に代表されるドキュメント系のファイルをWebサイトからダウンロードできるようにしているだろう。このファイルに、メタデータとしてさまざまな情報が格納されている場合がある。

　読者の皆さんの中にもチェックしたことがある方もいると思うが、Microsoft Wordなどのファイルのプロパティを確認すると、作成者の名前や会社名などが確認できる。この他にも、作成したアプリケーション名やバージョン、保存したことのあるローカルパスなどが含まれている。このような情報は一般的に「メタデータ」と呼んでいる。

　実は、検索サイトを利用して、このメタデータを取得できそうなファイルを探し出し、容易に抽出できるツールが存在する。それが「FOCA」のFree版だ。

　このツールは、ターゲットドメインを指定すると（画面6）、検索サイト（Google、Bing、Exaleadから選択可能）から情報収集に役立つファイル（注1）を探し出してきてくれる。

画面6　「FOCA」のFree版のユーザーインターフェイス

　そして、検索結果からファイルをダウンロード（画面7）し、次にメタデータの抽出を行う（画面8）。なお、他にもFingerprintなどの強力な機能もあるのだが、今回はその説明は割愛する。

画面7　検索結果一覧からファイルをダウンロードできる

画面8　ダウンロードしたファイルのメタデータが抽出可能

　ダウンロードが完了すると「download」、メタデータの抽出が完了すると「Analized」の部分が、ファイル単位で「x」から「-」に変わる。取得できたファイル数については左ペインの「Documents」で、抽出できた情報については種別ごとに「Metadata Summary」にてツリー表示で確認できる（画面9）。