設定ミスの社外秘情報はググれます――サイバー攻撃者はどうやってクラウドを墜とすのか？：ITmedia Security Week 2024 冬

2024年2月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「クラウドセキュリティ」ゾーンで、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「攻撃者はいかにしてクラウドを堕（お）とすのか　今知るべき攻撃のトレンド」と題した講演に登壇した。以前はランサムウェアをテーマとして、世界情勢に合わせて講演したが、今回は“クラウド”の現状を、西尾氏の視点で語るセッションとなった。

[宮田健，＠IT]

クラウドの事故は設定ミスが多い、しかしそれだけではない

多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏

　クラウドに関するインシデントの多くは、設定ミスによって公開してはならない情報が、インターネットから見えてしまう事故に起因している。これはパブリッククラウド特有の問題だが、西尾氏は「よく『特殊な方法やツールで調べているんでしょう？』と誤解される。まずはここから紹介したい」と述べ、「Google Dorks」という手法を紹介する。

　Google Dorksは特別なツールではなく、多くの人が利用する検索エンジンとしての「Google」に、検索演算子を追加して検索結果を絞り込む手法だ。例えば特定のドメインを指定する「site:」に加え、拡張子を指定する「ext:」を組み合わせることで、日本政府を表す「*.go.jp」で公開されている、「PDFファイル」を検索することが可能だ。これを活用することで、日本の企業が公開サーバ上で公開している、データベースをダンプしたものとおぼしき「sqlファイル」の一覧を取り出したり、「Amazon S3」上で公開されている「社外秘」を含むファイルの一覧を取り出したりすることができてしまう。

　想像を超える量の、おそらくは見えてはいけないものが、誰もが使うGoogle検索エンジンで到達できてしまうことについて「雑な検索条件でも、開いてはならないような問題のある情報が転がっていることが分かる。一応、付け加えておくが、検索した結果をGoogleドメインにある一覧で確認する分には問題ないが、リンク先の情報を確認するのは法律的に問題があるので注意してほしい」と西尾氏は指摘する。

　これは一般的なテキストだけでなく、GitHubなどに対しても応用が利く。GitHubにホスティングされているファイルに対してRSA鍵を検索することもでき、秘密にしていると思っていたトークンや鍵が外部から見えている状態にある。

GitHub上にあるクレデンシャル情報を探索することも可能（西尾氏の講演資料から引用）