今度の投稿では、タイトルに特定のキーワードが含まれているサイトのみを検索するGoogleハッキング( Google Hacking )のintitleフィルターと、Criminal IPのtitleフィルターの検索結果と方法を比べて説明します。

Googleハッキング とは?

Googleハッキング( Google Hacking )とは、ウェブサイトの構成やコンピューターコードにある脆弱性を探すためにグーグル検索とグーグルのアプリケーションソフトを使うハッキング技術を意味します。Google ハッキングを通じて収集できる情報は驚くほど多様で、一般的に引用符(””)を使ったキーワード検索、filetype、site、inurl、intitleなどのフィルターを活用して特定の条件で結果を絞り込む検索方法があります。

ウェブ基盤にデータを集めるグーグルに比べ、Criminal IP(http://www.criminalip.io/ja)はIPやポートに基づいてデータを集めるが、収集された情報がウェブポートの場合はグーグルに似た結果あるいは、グーグルでも見えない結果が導かれることもあります。特に、Criminal IPでウェブサイトの<title>タグの内容を検索するもので、Googleハッキングで有用に使われるintitle:フィルターと同じ役割をするのがtitle:フィルターです。Googleハッキングで知られているいくつかのタイトル検索のコツをCriminal IPと比べて一緒に紹介します。

dead.letterを通じてディレクトリリスティングの脆弱性を探す

intitle:index.of “dead.letter”

Googleハッキング の intitle:index.of "dead.letter" 検索の結果

Googleハッキングの intitle:index.of “dead.letter” 検索の結果

dead.letterファイルはリヌックス ・ユーニクス環境で特定エラーが発生した際に自動で生成されるファイルで、エラーログの内容が含まれています。index.ofはディレクトリリスティングの脆弱性があるウェブサイトへ訪問すると見られる文字列で、該当する検索結果にアクセスしてみると、下記の通りサーバのファイルにアクセスできる脆弱なサーバのアドレスが取れます。このように、サーバの脆弱性を探すためにもGoogleハッキングが使われます。

サーバファイルにアクセスできる脆弱なサーバのアドレスを確認できるindex.ofファイル。ディレクトリーリスティングの脆弱性のあるウェブサイトを訪問すると見られる文字列です。

サーバファイルにアクセスできる脆弱なサーバのアドレスを確認できるindex.ofファイル。ディレクトリリスティングの脆弱性のあるウェブサイトを訪問すると見られる文字列です。

<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 3.2 Final//EN”>
<html>
<head>
  <title>Index of /</title>
</head>
<body>
<h1>Index of /</h1>

同じ内容をCriminal IPで検索するためには、title:フィルターを使った次のようなクエリを使います。

“dead.letter” title:index.of

Criminal IP IT資産検索で "dead.letter" title:index.of を検索した結果

Criminal IP IT資産検索で “dead.letter” title:index.of を検索した結果

Criminal IPでは、グーグルでクローリングできなかったユニークなデータを探せます。また、国家別のデータやCVE脆弱性の有無、apacheなどのウェブサーバの種類まで把握できるというのがCriminal IPだけの特長です。

ウェブ型で提供されるリモートデスクトップのサーバを探す

intitle:”Remote Desktop Web Connection” inurl:tsweb

Googleハッキング のintitle:"Remote Desktop Web Connection"検索結果

Googleハッキング intitle:”Remote Desktop Web Connection” inurl:tswebの検索結果

MSではRDPサーバをウェブでも提供します。すなわち、このGoogleハッキング( Google Hacking )のクエリーは外部に漏洩されたRDPサーバーを見つけたことと同じケースとみなせます。

ウェブ型で提供されるMS RDPサーバー。グーグル検索結果に漏洩されている

ウェブ型で提供されるMS RDPサーバー。グーグル検索結果に漏洩されている

同じクエリーをCriminal IPで探すためには、title:フィルターを使います。

title:”Remote Desktop Web Connection”

Criminal IP IT資産検索で title:"Remote Desktop Web Connection"を検索した結果

Criminal IP IT資産検索で title:”Remote Desktop Web Connection”を検索した結果

ちなみに、Criminal IPのImage SearchではRDPスクリーンショットを一緒に提供します。

Criminal IP Image Searchで検索されたRDPスクリーンショットの結果

Criminal IP Image Searchで検索されたRDPスクリーンショットの結果

デフォルト状態のApacheテストページ を検知

intitle:”Test Page for Apache

Googleハッキング のintitle:"Test Page for Apache"検索結果

Googleハッキングのintitle:”Test Page for Apache”検索結果

次のスクリーンショットは、Apacheサーバーを設置した直後に見える初期ページです。これもやはりGoogleハッキングで探せる有名な内容の一つです。

구글 해킹 intitle:"Test Page for Apache" 검색결과에 노출된 아파치 서버 시작 페이지

グーグルのintitle:”Test Page for Apache”検索結果に漏洩されたApacheサーバの初期ページ

同じ内容をCriminal IPで検索するためには、次のようなクエリを使います。

title:”Test Page for Apache installation” 

Criminal IP IT資産検索でtitle:"Test Page for Apache installation"を検索した結果

Criminal IP IT資産検索でtitle:”Test Page for Apache installation”を検索した結果

実際に上のようなウェブサーバのデフォルトページの場合、グーグルよりCriminal IPの方がより多い検索結果を示していることがわかります。これはITシステムをセッティングする特性に起因したせいで、このようにデフォルト状態に置いたサイトまたは、設置中のシステムに対してはドメインを入れない場合が多いためです。従ってドメインを中心的にクローリングするグーグルに対し、世界中のIPを収集し続けるCriminal IPがデフォルトページに対してはより詳細な検索結果を提供することができます。

ちなみに、デフォルトページの危険性に対しては、デフォルトページ漏洩で発生するセキュリティ脅威の投稿で扱ったことがあります。

その他にもグーグルのintitle:フィルターを利用した数多いグーグルハッキングが存在します。アプリケーションの特性に従ってグーグルの検索結果の方が多く出るときもあれば、Criminal IPの方がもっと多く出るときもあります。 Googleハッキング という書籍まで出版されたほどグーグルも脅威情報を収集するいい武器になってきましたが、Criminal IPの検索結果を共に使うとより効率的な脅威インテリジェンスを収集できます。


データの出典:Criminal IP (https://www.criminalip.io/ja)

ご参照: