検索
連載

メタデータに残る微かなカオリセキュリティ・ダークナイト(7)(3/4 ページ)

「位置情報へのアクセスを許可しない」設定にしていたはずなのに、アップロードした写真のメタデータに情報が残るなんてこと、あるんです。本人が意図せず、把握しないうちにアップロードされる情報とは……(編集部)

Share
Tweet
LINE
Hatena

ドキュメント系ファイルにも含まれているメタ情報

 企業や組織のWebサイトのセキュリティに関しては基本的に、Webサーバの脆弱性やその上で動作しているWebアプリケーションの脆弱性が取りざたされる。特に、いまだに多くのサイトに存在しているSQLインジェクションなどは、データベース内の情報を盗まれたり、場合によっては管理者権限まで奪取される。さらには、訪問者に攻撃を仕掛けるように改ざんされることを考えると、そのインパクトは相当大きい。こう考えると、脆弱性が取りざたされるのは頷ける話であり、どうしてもそこに目がいきがちになる。

 しかし、前述のように個人がそれと意識することなく、自分の個人的な情報をSNSで公開してしまっているのと同じように、組織が自ら内部の情報を露呈させているにもかかわらず、そのことを把握していない場合もあるのではないだろうか。

 内部情報を露呈させているかもしれないもの、それは「ドキュメント系ファイル」である。

 例えば、企業がニュースリリースなどの情報を配信する際は、「pdf」や「doc」に代表されるドキュメント系のファイルをWebサイトからダウンロードできるようにしているだろう。このファイルに、メタデータとしてさまざまな情報が格納されている場合がある。

 読者の皆さんの中にもチェックしたことがある方もいると思うが、Microsoft Wordなどのファイルのプロパティを確認すると、作成者の名前や会社名などが確認できる。この他にも、作成したアプリケーション名やバージョン、保存したことのあるローカルパスなどが含まれている。このような情報は一般的に「メタデータ」と呼んでいる。

 実は、検索サイトを利用して、このメタデータを取得できそうなファイルを探し出し、容易に抽出できるツールが存在する。それが「FOCA」のFree版だ。

 このツールは、ターゲットドメインを指定すると(画面6)、検索サイト(Google、Bing、Exaleadから選択可能)から情報収集に役立つファイル(注1)を探し出してきてくれる。

画面6 「FOCA」のFree版のユーザーインターフェイス
画面6 「FOCA」のFree版のユーザーインターフェイス

 そして、検索結果からファイルをダウンロード(画面7)し、次にメタデータの抽出を行う(画面8)。なお、他にもFingerprintなどの強力な機能もあるのだが、今回はその説明は割愛する。

画面7 検索結果一覧からファイルをダウンロードできる
画面7 検索結果一覧からファイルをダウンロードできる
画面8 ダウンロードしたファイルのメタデータが抽出可能
画面8 ダウンロードしたファイルのメタデータが抽出可能

 ダウンロードが完了すると「download」、メタデータの抽出が完了すると「Analized」の部分が、ファイル単位で「x」から「-」に変わる。取得できたファイル数については左ペインの「Documents」で、抽出できた情報については種別ごとに「Metadata Summary」にてツリー表示で確認できる(画面9)。

画面9 抽出できた情報がツリー表示される
画面9 抽出できた情報がツリー表示される

 では、抽出された情報を確認してみよう。

ユーザー名

 ここではメタデータに含まれるユーザー名と思われるものが抽出され、表示される。Microsoft Officeなどではユーザー登録の際に入力した文字列が表示される(画面10画面11)。

画面10 抽出できたメタデータに含まれるユーザー名の例。日本語も表示される
画面10 抽出できたメタデータに含まれるユーザー名の例。日本語も表示される
画面11 抽出できたメタデータに含まれるユーザー名の例、その2
画面11 抽出できたメタデータに含まれるユーザー名の例、その2

フォルダ名

 メタデータ中のファイルパスやURLを抽出して表示してくれる。ファイルパスの場合は「C:\Documents and Settings\ユーザー名」という文字列が抽出されれば、システムのユーザー名を知ることが可能となる場合もあるだろう(画面12)。

 組織によっては、ユーザー名がそのままメールアドレスのユーザー名となっていることもあり、存在するメールアドレスの確認やユーザー名の命名規則を知ることにもつながるだろう。

画面12 メタデータに含まれるファイルパスやURLの例
画面12 メタデータに含まれるファイルパスやURLの例

ソフトウェア

 ドキュメントの作成に使用されたソフトウェアの名前やバージョンが表示される(画面13)。

画面13 ドキュメント作成に使用されたソフトウェア名、バージョンが一目瞭然
画面13 ドキュメント作成に使用されたソフトウェア名、バージョンが一目瞭然

 また、抽出された個別の情報がどのファイルに含まれていたのかを検索したり、個別のファイルの情報を参照することも可能となっている(画面14画面15

画面14 個別の情報がどのファイルに含まれていたのかを検索
画面14 個別の情報がどのファイルに含まれていたのかを検索
画面15 個別のファイル情報も
画面15 個別のファイル情報も

 ツールを使えば、ほんの少しの手間で、これだけ多くの情報を得ることが可能であることがお分かりいただけだろうか。運がよければ、攻撃をする際に非常に有用な情報を手に入れることも可能かもしれない。

【注1】
FOCA Freeで収集できるファイルタイプは次のとおり。doc、xls、ppsx、sxc、pdf、svgz、ppt、docx、xlsx、sxi、odg、wpd、indd、pps、pptx、sxw、odt、odp、svg。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  3. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  4. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  8. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  9. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  10. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
ページトップに戻る