マカフィー、グーグル検索を利用するセキュリティツールの新版を発表

　McAfeeが、Googleを使ってウェブサイトのセキュリティホールを自動的に検索するツールのアップデートをリリースした。

　米国時間10日に発表された「SiteDigger 2.0」は、Googleのウェブデータベースに特定のクエリを送信することにより、企業のウェブサイトで誤って公開されてしまった情報などを探し出す。Googleハッキングとして知られるこのような検索を行うと、クレジットカード番号やユーザーアカウントなどの機密性の高い情報や、ウェブサイトの脆弱性を簡単に見つけ出すことができる。

　McAfeeのワールドワイドプロフェッショナルサービス担当バイスプレジデントを務めるChris Prosiseによると、この無償サービスはシステム管理者が自分のサイトに関する情報を常に把握しておくうえで役立つはずだという。

　Prosiseは「このツールは、管理者の意識を向上させるために開発された」と述べ、SiteDiggerはシステム管理者の知り得なかった問題を浮き彫りにする、と付け加えた。「被害者は、自分の情報が不正に使用されても気付かない」（Prosise）

　Prosiseは、同ツールがサイトを攻撃するための欠陥探しに利用される可能性があることを認めるが、このような自動検索サービスを利用するにはGoolgeが提供する「Google Web APIs」サービスのアカウントを取得する必要がある点を指摘する。

　最近ではSantyワームが、Google検索を悪用して攻撃対象となるコンピュータを見つけ出し、感染を広げた。Googleのデータベースを使ってシステムの脆弱性を探し出すツールは、ほかの調査グループでも開発されている。

　GoogleからSiteDiggerに関するコメントを得ることはできなかった。

　Computer Sciences Corporationのシニアエンジニアで、「Google Hacking for Penetration Testers」の著者であるJohnny Longは、ウェブのシステム管理者が自社サイトの安全を守るためには、このようなツールが必要不可欠だ、と語っている。

　「このような自動化ツールを利用せずに、企業のセキュリティ対策チームがGoogleにインデックス化された自社情報を完全に把握するなんて無理だ。彼らにGoogleをブラウズしている時間はない」（Long）

　Longの運営するサイトには、Googleで見つけ出すことが可能なセキュリティ問題のシグネチャが800種類以上掲載されている。SiteDiggerなどの各種ツールは、これらのシグネチャ情報を使って検索エンジンへの問い合わせを行う。