2008年10月28日(火) 16時18分

Googleを駆使したWeb攻撃が急増——セキュリティ専門家が指摘（Computerworld.jp）

　現在英国で開催されているITセキュリティのコンファレンス「RSA Conference Europe 2008」においてセキュリティ専門家は、ハッカーらがGoogleなどの検索エンジンを利用し、重要なデータが保存されているWebアプリケーションに侵入するケースが急増していると警告した。

【関連画像を含む詳細記事】

　米国のセキュリティ・ベンダーImpervaの共同設立者で、同社CTOを務めるアミチャイ・シュルマン（Amichai Shulman）氏によると、ハッカーらは検索キーワードを利用し、Webサイトから社会保障番号などを盗み取っているという。

　「もちろん、社会保障番号がWeb上に保存されていること自体が人為的なミスなのだが、ハッカーらはGoogleを駆使し、Webサイトに対する攻撃を自動化してこれらの情報を収集しているのだ」（Shulman氏）

　Impervaでは最近、GoogleのIPアドレスを使ってSQLインジェクション攻撃を実行する方法を発見したという。Shulman氏は同コンファレンスでこの攻撃に関するプレゼンテーションを行ったが、攻撃の仕組みについては詳細を伏せた。

　ただし、同氏はこの攻撃にGoogleの広告システムが関係していることを認め、Googleに通知したことを明らかにした。同氏は「（同攻撃は）攻撃者が匿名性を保てるうえに、Googleを自動化した攻撃エンジンとして利用できる」と語った。

　実際「Goolag」「Gooscan」といったツールを利用すれば、インターネット上を広範囲に検索して特定の脆弱性をスキャンし、こうした問題を抱えるWebサイトのリストを作成することが可能だ。

　また同氏は、いわゆる「Googleワーム」と呼ばれる攻撃方法についても触れた。この攻撃では検索エンジンを利用して特定の脆弱性を探し当て、追加コードを含めることで、脆弱性を突くことが可能だという。

　もちろんGoogleを初めとする検索エンジン側も、こうした攻撃に対する策を講じ始めた。

　例えば、Googleは一挙に（社会保障番号のような）データを収集できる検索を阻止している。また、同社は1分間に送信できる検索リクエスト数を制限した。これにより脆弱性のあるWebサイトに対する大量の検索には、相当な時間がかかるようになった。

　しかしこれらの対策は、ハッカーらに多少の忍耐を強いるだけのようだ。Shulman氏は「検索に制限を設けることは、Webサイトの問題/脆弱性を発見するために検索を行っているセキュリティ専門家の作業も遅らせることになる」と指摘している。

(Jeremy Kirk/IDG News Serviceロンドン支局)

【関連記事】
［特集］セキュリティ・マネジメント、実践と戦略
［解説］SQLインジェクション攻撃の「最新傾向と対策」
業界のビッグネームたちが語る、情報セキュリティ対策の“勘所”
DNS脆弱性問題、発見者が欠陥の詳細をついに公表——攻撃法も多数紹介
Google Chromeに早くもセキュリティ不安——研究者が複数の脆弱性を指摘

http://headlines.yahoo.co.jp/hl?a=20081028-00000001-cwj-secu