セキュリティ専門家:「グーグルはハッカーにも人気」--欠陥サイト探しに利用

Robert Lemos(CNET News.com)2004年07月30日 14時55分

 ラスベガス発--あるセキュリティ専門家が米国時間29日、世界で最も人気の高い検索エンジンがハッカーにとって最も便利なツールの1つになっている、と述べた。

 Computer Security Corp.のセキュリティ研究者でコンピュータ科学者でもあるJohnny Longは、当地で開催中のBlack Hat Security Briefingsの参加者に対し、インターネットサイトのコンテンツを記録するGoogleの機能を使うと、セキュリティの弱いサイトをピンポイントで見つけ出すことができる、と語った。これは決して新しいテクニックではないが、同氏がカンファレンスの席上で手の込んだ検索を実行すると、脆弱性のあるサイトがあまりにたくさん見つかり、研究者たちの疲れた顔から笑みがこぼれた。

 「いつになっても新しい発見がある。脆弱性のあるサイトが、こんなに多いと知ったら誰でも驚くだろう」(Long)

 たとえば、デフォルトの設定のままになっているウェブアプリケーションは、ソフトウェアが生成したエラーページを見ても判別してしまう。また、具体的なファイル名を検索すると、インターネットに接続している無防備なサーバをピンポイントで見つけだせる。

 「これは、無防備なターゲットを見つけ出す最初のステップになる」(Long)

 MicrosoftのウェブサーバソフトウェアであるInternet Information Server(IIS)へのログインページを単純に検索しただけでも、このページを一般公開するサイトがインターネット上で1万1300カ所も見つかった。同様に、不適切な設定がされているデータベースのログイン情報を集めることも簡単だと同氏は述べる。

 Googleの詳細検索機能を悪用できるという例からも、悪意をもって作成されたわけではないソフトウェアが、オンライン侵入者の犯行を手助けしてしまっていることが分かる。Googleをはじめとする検索エンジンは、先ごろのMyDoom.oウイルスから、ウイルスを送信するメールアドレスを探すための検索要求を大量に投げつけられるという攻撃を受けている。またセキュリティ研究者らは、Googleなどの検索エンジンが悪質なコードの散布に利用される可能性がある、と指摘している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]