ラスベガス発--あるセキュリティ専門家が米国時間29日、世界で最も人気の高い検索エンジンがハッカーにとって最も便利なツールの1つになっている、と述べた。
Computer Security Corp.のセキュリティ研究者でコンピュータ科学者でもあるJohnny Longは、当地で開催中のBlack Hat Security Briefingsの参加者に対し、インターネットサイトのコンテンツを記録するGoogleの機能を使うと、セキュリティの弱いサイトをピンポイントで見つけ出すことができる、と語った。これは決して新しいテクニックではないが、同氏がカンファレンスの席上で手の込んだ検索を実行すると、脆弱性のあるサイトがあまりにたくさん見つかり、研究者たちの疲れた顔から笑みがこぼれた。
「いつになっても新しい発見がある。脆弱性のあるサイトが、こんなに多いと知ったら誰でも驚くだろう」(Long)
たとえば、デフォルトの設定のままになっているウェブアプリケーションは、ソフトウェアが生成したエラーページを見ても判別してしまう。また、具体的なファイル名を検索すると、インターネットに接続している無防備なサーバをピンポイントで見つけだせる。
「これは、無防備なターゲットを見つけ出す最初のステップになる」(Long)
MicrosoftのウェブサーバソフトウェアであるInternet Information Server(IIS)へのログインページを単純に検索しただけでも、このページを一般公開するサイトがインターネット上で1万1300カ所も見つかった。同様に、不適切な設定がされているデータベースのログイン情報を集めることも簡単だと同氏は述べる。
Googleの詳細検索機能を悪用できるという例からも、悪意をもって作成されたわけではないソフトウェアが、オンライン侵入者の犯行を手助けしてしまっていることが分かる。Googleをはじめとする検索エンジンは、先ごろのMyDoom.oウイルスから、ウイルスを送信するメールアドレスを探すための検索要求を大量に投げつけられるという攻撃を受けている。またセキュリティ研究者らは、Googleなどの検索エンジンが悪質なコードの散布に利用される可能性がある、と指摘している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力