2003年08月11日(月) 12時50分
『グーグル』検索を利用してデータベースを簡単にハッキング(WIRED)
本記事は「ウェブセキュリティー」特集として再編集されたものです。初出は2003年3月5日です。
ウェブサイトの表玄関から楽々と侵入できるのに、どこにあるのかわからないセキュリティーホールを探してあれこれ骨を折る必要があるだろうか。
ハッカーたちはこのところ、ねらう相手を絞り込む作業を簡易化するツールとして『グーグル』に注目し、あっさりとターゲットに侵入を果たしているのだ。
ハッカーのエイドリアン・ラーモー氏は、「グーグルをうまく活用すれば、他のどんなハッキングツールを使うより侵入成功率が高くなる」と話し、最近になってグーグルに関する危険を警告している。
このハッキング行為を可能にするのがウェブ対応型データベースの存在だ。データをウェブ上で公開する際、データベース管理ツールはあらかじめ準備されたテンプレートを使う。そのため、ある特定のフレーズでインターネットを検索すると、テンプレートを使ったページに直接行くことが可能となる。たとえば先日、データベース・ソフトウェア『
http://www.filemaker.com/products/fm_home.html ファイルメーカー・プロ』のインターフェースでよく使われる「
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=Select+a+database+to+view Select a database to view」(閲覧するデータベースを選択)というフレーズを使ってグーグルで検索をかけてみたところ、約200件ものリンクが表示され、そのほとんどがファイルメーカーのオンライン公開型データベースのものだった。
その中には非公開になっているはずの情報が入っているデータベースもいくつかあった。たとえば、米アップルコンピュータ社の認定トレーナー数百人分の情報を収録するデータベースには、トレーナーの住所、電話番号、詳細な経歴のほか、各人のユーザー名やパスワードまで入っていた。このデータベースには、いかなる形のセキュリティー対策も講じられていなかった。
もう1つは、ドレクセル大学医学部が提供するページで、そこから同医学部神経外科の患者5500人分の記録を管理するデータベースにリンクされていた。患者の記録には、住所、電話番号、疾患や治療の詳細な内容が含まれていた。グーグルの検索結果からこのデータベースを見つけたハッカーは、同一のユーザー名とパスワード(データベース名)をタイプするだけで簡単に情報にアクセスできてしまった。
2つのサイトはいずれも『ファイルメーカー・プロ・ウェブ・コンパニオン』を使ってウェブ対応型データベースを構築していた。これはファイルメーカー・プロのコンポーネントの1つで、主として初心者向けに提供されているものだ。米ファイルメーカー社によると、ウェブ・コンパニオンは「シングルユーザーのデータベースを、1回の簡単な手順で、マルチユーザー対応のネットワーク型ソリューションに変換します……。権限を与えられたユーザーは一般的なウェブブラウザーからデータの検索、編集、削除、更新が行なえます」とのことだ。
アップル社はこの件に関してコメントを出していない。しかし問題のトレーナーのデータベースは、どうやら2月28日(米国時間)午後にオフラインにされたようだ。
ドレクセル大学は、脆弱性について通知を受けた直後、このデータベースを遮断した。同大学によると、大学公認のサイトではなかったため、職員はこのデータベースがオンラインでアクセスできることに気づいていなかったという。また、医学部長が全職員に通知を送り、非公式のデータベースに対する大学の方針を再確認させた。同学部は現在、ほかにオンラインで公開されているデータベースがないかどうか、ネットワークを念入りに調べているところだという。
ファイルメーカー社は、セキュリティー問題に対するユーザーの意識を高めることに尽力していると述べた。「当社はセキュリティーの重要性と必要性を深く認識している。当社ウェブサイトには白書と
http://www.filemaker.com/support/security.html ソフトウェアのアップデート版を公開しており、登録ユーザーにはセキュリティーの必要性に関する最新情報を送付している」
しかし同社は、アクセス権限の設定や適切なパスワードの選択は、最終的にはユーザーの責任であることも示唆した。「ウェブ公開データベースに関して当社がつねに強調しているのは、どこまでを公開したいのか——というより、どの部分を公開したくないのか——を、ユーザーがはっきり認識するという点だ」
ドレクセル大学のデータベースの脆弱性について、セキュリティーサービス企業
http://www.guardent.com/ 米ガーデント社の上級首席コンサルタント、フレッド・ラングストン氏は、こういった機関が一般に知識の共有を奨励していることが問題の一因になっていると話す。
「われわれは多くの大学や大学付属病院で業務に携わってきたが、こういった機関は基本的にオープンな情報共有モデルを構築する傾向にあるため、セキュリティー強化という面では最も難しい環境にある」とラングストン氏。「オープンな共有モデルでデータに制限を設けるのは非常に困難だ。教育の現場では、情報を共有することによって人は学び、知識を広げてゆくのだから。……たとえ(脆弱性が)グーグルの検索結果から表面化しなかったとしても、いずれは暴かれただろう」
グーグル社は、この状況について認識しており、不注意でインデックスに追加されてしまった情報をウェブ管理者が24時間以内に削除できるツールを提供しているという。もっと短時間で削除できるツールも現在開発中だ。
しかし、ラーモー氏によると、こういった問題が起こってからリンクを削除するのは、手際のよい解決法ではないという。
「そもそも医療カルテがグーグルのインデックスに登録されること自体、何かが間違っている」とラーモー氏は語った。
[日本語版:高森郁哉/福岡洋一]
日本語版関連記事
・
http://www.hotwired.co.jp/news/news/technology/story/20030225301.html AOL、ハッカーたちはやりたい放題
・
http://www.hotwired.co.jp/news/news/technology/story/20030225303.html 『ブロガー』の買収で、より一層の進化をめざすグーグル
・
http://www.hotwired.co.jp/news/news/business/story/20021009107.html グーグル検索、アルゴリズム調整で質が落ちた?
WIRED NEWSのメール購読申込みは
http://www.hotwired.co.jp/reception/index.html こちらへ
(WIRED)
http://headlines.yahoo.co.jp/hl?a=20030811-00000003-wir-sci