Hello, we are fossBytes.

fossBytesに8月1日(米国時間)に掲載された記事「How To Use Google For Hacking?」が、Google検索で探し出すことが可能であるものの、本来は公開することを目的としていないデータを探し出す方法を「Googleハッキング」として取り上げた。掲載されているテクニックはNSAによって公開された「Untangling the Web: A Guide to Internet Research」から抜粋したものだと説明がある。

このドキュメントは2013年に電子書籍の形式で公開されたもので、643ページにわたりIntenet Archiveや検索エンジン、Webサイトなどから有益な情報を得る方法が説明されており、中でも「Google Hacking」とタイトルがついたパートが興味深いとコメントしている。

記事に掲載されているテクニックは「Googleハッキング」の一部。簡単にまとめると次のようなテクニックが紹介されている。

  • 「極秘」「社外秘」「プロプライエタリ」「持ち出し禁止」「予算」「ログイン」といったキーワードを用いて検索する。
  • ファイル種類とキーワードを指定して検索する。
  • ディレクトリ表示を許可しているページをキーワードとともに検索する。
  • Numrang指定を行う。
  • 登録閲覧を回避する機能を使う。
  • 英語以外の言語を指定して検索する。

企業で厳密なセキュリティルールを設けて業務を運用していたとしても、従業員や協力関係にある業者経由でデータがパブリックにアクセス可能なサーバにアップロードされてしまうことは、故意にしろ事故にしろ起こりうる。公開されている検索方法はこうした社内の情報が漏洩していないかどうかを調べる方法として役に立つ。IT関連のセキュリティ確保はますます難しい状況になってきており、今回紹介されている方法は積極的なセキュリティ対策として有効活用できる。