ホーム > ブログ記事 > NASAとGoogleハッキング
 

NASAとGoogleハッキング

2016-05-05 2:43 PM

Cybersecurity Helpの専門家の発表によると、機密資料へのアクセスを持っているNASAの社員に関するデータの検出がグーグルの検索で可能になっています。グーグルの検索結果だけを使って、 NASAのサーバーに保存されているファイルへのアクセスを取得できるということです。

 

 

グーグルのindexに、合計でNASAの2万5千通の資料が入っています。それらの資料は主に、申し込み、請求書、契約などの見本です。しかし、その中に、DD Form 254というタイトルの資料も含まれていることが発見されました。DD Form 254というタイトルは、アメリカの防衛省の認定だけでアクセスをもらえるNASAの機密資料のために利用されています。

 

グーグルの検索に合計で142通のDD Form 254というタイトルの資料が公開されています。その中には、本当の下請け業者との契約申し込み資料などもあります。名前、肩書き、オフィスの住所、電話番号、社員の個人データも入っていたそうです。

 

且つ、ファイルの名前を簡単に予想できますから、グーグルがindexしてない資料へのアクセスも可能になっています。ファイル名の最後の文字だけを変えればいいからです。

 

例えば、検索結果には、

https://prod.nais.nasa.gov/eps/eps_data/132356-SOL-001-008.doc

というファイルがあります。最後の数字だけ変えると、下記のファイルへのアクセスもできるようになるという意味合いです。

https://prod.nais.nasa.gov/eps/eps_data/132356-SOL-001-007.doc
https://prod.nais.nasa.gov/eps/eps_data/132356-SOL-001-006.doc

などです。

 

機密情報を何かのミスでGoogleで公開して(indexされて)しまっていたり、誰でも予想できるファイル名にしていたりすると、犯罪者のハッカーは、特に何の技術を要することもなく、Googleを通じて機密情報を盗ることができます。これをGoogleハッキングといいます。古い手法ではありますが、皆様も今一度ご注意をお願い申し上げます。

 

 

 
 

セカンドオピニオンのe-light

イーライトは、ニッポンの情報セキュリティのセカンドオピニオンを目指します。国内の情報セキュリティ企業様とは異なる、「第2の意見」として、御社様のより良い決断に貢献できれば幸いです。