Google Hacking（Google Dorking）：定義とテクニック

Cybersecurity, Security

Googleハッキング（Google dorkingと呼ばれることもあります）とは、ハッカーが検索エンジンを使用してセキュリティの脆弱性を特定することです。ハッカーは、時間と検索に関する知識があれば、あなたを攻撃する最善の方法を見つけ出す可能性があります。

Googleの検索結果からサイトを削除するのは賢明ではありません。顧客はあなたを見つける必要があり、そのほとんどは検索エンジンを利用するでしょう。しかし、ハッカーがGoogle経由で攻撃方法を見つけられないようにするための予防措置を講じることができます。

Googleハックはどのように機能しますか？

Googleハックとは、検索エンジンを通じて公開したデータに基づいて行われるリサーチセッションのことです。あなた自身とあなたの会社を守るためには、Googleに公開している情報と、非公開にすべき情報を評価する必要があります。

ハッカーは、調査目的でどのウェブサイトでも利用する可能性があります。しかし、Googleは90%の市場シェアを持っているため、会社名が検索と同義語になっています。そのため、これは単なる検索エンジンハックではなく、Googleハックと呼んでいます。

検索エンジンを使ってセキュリティ脆弱性を見つけるのは奇妙に思えるかもしれません。しかし残念ながら、このテクニックは非常に効果的です。

調査によると、開発チームの約半数が、テスト時間が足りなくなるために脆弱なコードを公開してしまうそうです。Googleハッキングでは、専門家があらゆる脆弱な箇所を探し出します。

彼らは以下のような点を探すかもしれません：

ハッカーは高度な検索演算子を使用して、作業を迅速かつ効率的に行います。サイト名と組み合わせると、これらの用語は非常に具体的で解析しやすいページまたはテキストを提供します。

Googleへのハッキングが終わる頃には、攻撃者はあなた自身のこと、そしてあなたの会社を安全に保つために何をしているのかについて、かなりのことを知っています。攻撃者はGoogle経由で攻撃を開始することはできませんが、この調査は、攻撃者が次のステップを計画する上で役立つ可能性があります。

この種の攻撃から保護する必要があります。まず、支払い情報、ユーザー名、パスワード、メッセージなど、すべての機密情報を暗号化します。

次に、コンテンツに3つのGoogleタグのいずれかを使用して、検索ボットが重要な情報をどのようにインデックス（またはスキップ）するかを指示します。

Robots.txt：このタグは、プライベートコンテンツのインデックス登録をブロックできません。ただし、クロールがサーバーに損害を与えている場合は役立つ可能性があります。
Robots meta: 個々のHTMLページが検索結果にどのように表示されるかを制御したり、検索結果から完全に除外したりします。
X-robots-tag：HTML以外のページが検索結果にどのように表示されるかを制御するか、表示されないようにブロックします。

あなたのウェブ開発者は、どのタグがあなたとあなたの会社に適しているかについて強い意見を持っているかもしれません。選択したコードを実装したら、トラフィックのスコアを監視して、消費者を重要なページから遠ざけていないことを確認してください。

脆弱性スキャナーを使用して、非表示のままにしておく必要のあるファイルやページを公開していないことを確認することもできます。OWASPにいくつかのツールがリストされており、購入前に使用できる無料のスキャンが付属しているものもあります。