セキュリティ専門家が時事ネタを語る本連載。第25回は用語解説シリーズです。「Google Hacking(グーグル ハッキング)」を取り上げます。
セキュリティ専門家が時事ネタを解説する「セキュリティのアレ」。第25回は用語解説シリーズとして、「Google Hacking」を紹介します。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏です。また、本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」にて受け付けています。皆さまの声をお聞かせください!
宮田 第25回は用語解説ということで、「Google Hacking」という言葉を取り上げます。これは、どういう意味なんでしょうか?
辻氏 検索エンジンのGoogleが高い検索能力を持っていることは皆さんもご存じかと思いますが、Googleでは通常のキーワード検索に加えて、いろいろな「オプション」が用意されています。例えば、「ファイルの種類」や「ドメイン」などを指定して検索することが可能です。これは便利な機能ですが、一方で攻撃者が攻撃対象を“リストアップ”する目的でも使えます。
根岸氏 昔から「『検索オペレータ』などを使いこなして目的の情報を素早く入手する」ということは行われていましたが、2002年に米国のセキュリティ専門家ジョニー・ロング(Johnny Long)氏が、「Google検索は悪用することもできる」ということを具体例とともに発表しました。これをきっかけにして、「攻撃者に悪用される前に情報を共有する」目的で、「Google Hacking Database」というサイトが作成されました。ここでは、Googleのさまざまな検索クエリが共有されています。
宮田 検索すると、実際にはどういう情報が見えるんですか?
根岸氏 見た目は通常のGoogle検索の結果と同じですが、意図せず公開されてしまっているサイトや、脆弱(ぜいじゃく)性の残っているサイトなどを見つけることができます。
辻氏 前回取り上げたような、特定のCMSプラグインを使っていると思われるサイトを探すことも可能ですね。これに「.co.jp」を条件として付け加えれば、国内でそのプラグインを使っているであろう企業サイトを検索できます。
セキュリティが専門でない人には、あまりなじみがないかもしれない「Google Hacking」という用語ですが、動画内ではさらにその「悪用例」や「攻撃者側から見たメリット」、そして「対策方法」などについて分かりやすく解説していきます。自社サイトが知らないうちに攻撃対象となってしまわないために、ぜひご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.