現在地 HOME > 掲示板 > IT6 > 123.html ★阿修羅♪ |
|
Tweet |
Opinion:わが身を守るためのGoogleハッキング (1/2)【IT_Media記事】
http://www.itmedia.co.jp/anchordesk/articles/0408/10/news025.html?c
コラム
2004/08/10 11:06 更新
これはGoogleの責任ではないが、クラッカーにとってもGoogleは便利なツールとなっている。だから私たちは、時々、自分自身をググってみる必要がある。
わずか数年のうちに、Googleは多くのユーザーが選ぶ検索エンジンとなった。実際、英語では「Google」という単語は動詞として受け入れられつつある。ウィリアム・ギブソンの最新のベストセラー小説『パタ−ン・レコグニション』でも「Googleする」という表現が使われている。だから、Googleがオンライン犯罪にどのように使われているかという話が、立ち見が出るほどの関心を呼んだのも、当然のことだった。今年のBlack Hat Briefings USAと、その数日後に開催されたDefCon 12では、セキュリティ研究家のジョニー・ロング氏がGoogleハッキング、つまりGoogleを使って脆弱性のあるコンピュータシステムや盗んだクレジットカード番号など、攻撃対象を見つけ出す方法を実演してみせた(7月30日の記事参照)。
これはGoogleの落ち度ではない。むしろ、優れた検索エンジンの登場がもたらすプライバシー問題をいまだに理解していない企業や機関、さらには善良なる市民の責任ともいえる。まず第一に、ロング氏の紹介した検索TIPSは、Googleのヘルプ機能ページに載っているものばかりだ。つまり、悪意あるハッカー(クラッカー)も、Googleが持つ多くの検索機能を知っているということだ。
自分をハッキングする
インターネットがどれだけ自分のことを知っているのか把握するために、まずGoogleのサイトかGoogleのツールバーを使ってみよう。自分の名前をスペースに入力する。さらに高度な検索を望むなら、「intext:」と入力し、その後に自分の名前を続ける。次に、自分の住所か電話番号を入力する。すると、Googleは教会や社会団体のディレクトリを表示するだろう。検索結果に驚いたり、憤慨しなかった場合は、Googleに自分の社会保障番号やクレジットカード番号を入力してみることだ。
多くの学校や大学は今も、オンラインディレクトリ用のIDに生徒の社会保障番号を使っている。これにより、例えば学校の成績をインターネット経由で見るといったことができる。だが、学校がこの情報を適切に保護していない場合、悪人がGoogleを使ってあなたの名前とあなたの社会保障番号をリンクさせるのに成功するかもしれない。たとえ大学が社会保障番号の下4けただけを用いていたとしても、まだ危険だ。悪人があなたの出生地やどの都市で社会保障の登録を行ったのかも知っていれば、最初の5けたは推測がついてしまうからだ。だがこの点についての突っ込んだ話は別の機会に譲るとしよう。
市民の義務
場合によっては、法が機密情報のオンライン化を要求することもある。Black Hatのデモで、ロング氏はある地域の税金滞納者を識別するのに用いられている社会保障番号の一覧を表示してみせた。ほかの例では、ある都市のオンライン支出報告書で、その都市が予算のうちの特定品目の購入に用いたクレジットカード番号が明らかになっていた(Googleの検索用語欄に「filetype:xls」に続けて適当な言葉を入力すると、Web上にあるさまざまなExcelファイルを調べられる)。
クラッカーは、裁判所の書類からクレジットカード番号と社会保障番号を見つけ出すこともある。ロング氏がBlack Hatで示したのは、ほとんどが、クレジット詐欺の例だった。ロング氏は、商品を注文したり不良品の際に保障を受けようといった素朴な動機から、クレジットカード情報をネット上に公開してしまった各種の例を示してみせた。このような不注意を見せつけられ、セキュリティ専門家で満員となった会場には震撼が走った。電子メールとニュースグループは、自分のクレジットカード情報を掲示していいような安全な場所ではないということを、肝に銘じておこう。
企業にも義務がある
クラッカーは大企業を攻撃するのによく、コンピュータだけでなくソーシャルエンジニアリングの手法も用いる。時として、クレジットカード番号や社会保障番号を含んでいない一見無害に見える文書でも手掛かりになることがある。例えば、ある企業がダウンロード可能な投資家向け報告書を掲載したことにより、企業間の相互依存性が明らかになり、悪意あるハッカーがサードパーティの従業員を装って内部プロジェクトへのパスワードを求めてくることだって考えられる。
| 1 2 | 次のページ
[Robert Vamosi,ZDNet/USA]
コラム
2004/08/10 11:06 更新
Opinion:
わが身を守るためのGoogleハッキング (2/2)
http://www.itmedia.co.jp/anchordesk/articles/0408/10/news025_2.html
前のページ | 1 2 |
Googleで「intitle:」というクエリを使うと、サイトのエラーメッセージを表示できる。エラーメッセージはしばしば、プラットフォームとソフトウェアバージョン番号を知るための有用な情報となり得る。「site:」というクエリを使えば、その後に一般的なドメインを入力することにより、そのドメインに関連のある全サイトを表示してくれる。「inurl:」では、パスワードを明らかにできる。企業ネットワークへの地図を探しているクラッカーにとって、これらのクエリはかなりの作業を助けてくれることだろう。
さらに事態は深刻
ロング氏はさらに、デフォルトのセキュリティ設定を変えずに新しいIISサーバをWebに接続している例を示した。どうすればこのようなサーバの存在を知ることができるのか? Googleに「allintitle:"Welcome to Internet Information Server"」というクエリを入力すれば、最近インストールされたデフォルト設定のままのIISサーバが表示される。実際、ロング氏は幾つか不注意な組織の実例を示し、企業ファイアウォール内にあるサーバに侵入しようとする者は誰でも、既知のIISデフォルト設定を利用して、内部へのアクセス手段を手に入れられると述べた。
このGoogleハッキングは、便利な技術が私たちユーザーをしのいでしまった一例だ。私たちはGoogleを当たり前のように受け入れるだけでなく、犯罪者も、有能で迅速な検索エンジンによって私たちが情報を得られるのと同じぐらい簡単に、アクセス手段を手に入れられるのだということを認識しておく必要がある。
企業は自社のWebサイトを定期的にGoogle検索にかけて、公開すべきでない情報が出てこないか確認するべきだ。そして、履歴書に記された社会保障番号などの個人情報は、たとえ一時的であっても、インターネット上に一切公開しないこと。一度でも検索エンジンに引っかかると、その個人情報はあなたがデータを削除した後も、長い間オンライン上に残ってしまう。
ほかの人が管理するWebサイト上で自分の個人情報を見つけた場合は、そのサイトの持ち主に情報の削除を依頼することを薦める。教会の手作りパン即売会があなたの名前と電話番号を世界に公開するのを本当に望んでいるだろうか? それから、キャッシュされているWebページ(ライブのWebサイトからは削除されているが、Googleの中に残っているページ)上で個人情報を見つけた場合は、Googleの削除の案内を参考にしよう。
Googleハッキングについてのさらに詳しい情報は、ロング氏のサイトにある。
原文へのリンク
関連記事
グーグル検索で、盗難クレジットカード情報が見つかる
セキュリティ専門家:「グーグルはハッカーにも人気」――欠陥サイト探しに利用
セキュリティチャンネル
前のページ | 1 2 |
[Robert Vamosi,ZDNet/USA]