現役ペンテスト技術者が選ぶ 使えるセキュリティツール(18) 「SiteDigger」 | ScanNetSecurity
2026.05.06(水)

現役ペンテスト技術者が選ぶ 使えるセキュリティツール(18) 「SiteDigger」

このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュ
リティツールを、ペンテストの現場の視点から紹介します。

特集 特集
68 views
facebookLINE
このコーナーでは、現役のペネトレーションテスト技術者が、使えるセキュ
リティツールを、ペンテストの現場の視点から紹介します。

◆名称:SiteDigger
◆配布制限:
◆商用版の有無:無
◆類似ツール:-
◆公式 URL:http://www.foundstone.com/us/resources/proddesc/sitedigger.htm
◆対応OS:Windows系OS
◆分野:Googleハッキング
◆コマンド一覧:

(1) 基本項目と概要

「SiteDigger」は、Googleハッキングを自動的に行うものである。Googleハッキングについてご存知ない方のために簡単に説明しておこう。

Googleハッキングとは文字通り、大御所検索サイトであるGoogleの強力な検索機能、キャッシュ機能を利用した探査行為のことである。どのようなことをするのか例を挙げて説明しよう。Googleの検索オプションの中には「intitle:」「inurl:」というものがある。「intitle」オプションはWebサイトのタイトル部分、つまり、ブラウザのタイトルバーに表示される文字列に絞って検索を行うことができるものである。「inurl:」オプションは、特定のURLが含まれる検索結果に絞り込むものである。アプリケーションの管理画面やディレクトリリストに、この部分に決められた文字列を表示するものがある。その特性を利用し、以下のように検索を行う。

intitle:"index of" inurl:●●.jp

上記検索を行うことで、「●●.jp」というURLを含むサイトのタイトルに「index of」が含まれるコンテンツを検索することができる。このようにGoogleを駆使して目的のページ、ファイルを探し出すのである。ちなみに「index of」とはApacheにおいてディレクトリリストが取得できる場合にタイトル部分に入る文字列である。

図1:
https://www.netsecurity.ne.jp/images/article/sitedigger01.jpg

(2) コマンドサンプル

「SiteDigger」は、前述した通り、Googleハッキングを行うツールである。検索を行う際には予め登録されているシグネチャ(検索パターン)をGoogleに送信するのだが、その際に「Google License Key」というものが必要となるので https://www.google.com/accounts/NewAccount にてアカウントの作成・登録を行う必要がある。作成・登録が完了してしばらくすると「Google License Key」が記述されたメールが届く。

取得した「Google License Key」は、「SiteDigger」のウインドウ右下に「Enter Google license key」と書かれたテキストボックスがあるのでそこに入力する。これで検索する前準備は整ったので、次にどのようなシグネチャを使ってGoogleハッキングを行うかといった設定を「OPTIONS」タブで行う。

図2:
https://www.netsecurity.ne.jp/images/article/sitedigger02.jpg

検索を行う場合には、以下の二つのシグネチャデータベースから選択することができる。

<1>Foundstone Signature Database
<2>Google Hacking Database

どちらか選択したほうの内容がツリー構造で画面下部に表示されるのでそこで有効・無効を切り替えることが可能である。また、このデータベースは、更新が行われるので「SiteDigger」を使用する際には、最新のものに更新しておくことをお勧めする。更新を行うにはメニューバーの「Updata」からそれぞれのデータベースを選択することで更新することができる。

シグネチャの選択が完了したら、最後に「Search」タブに戻り、「Search Domain」のところに目的のドメイン名を入力し、「Search」ボタンをクリックすることで検索が開始される。検索結果でマッチしたものはウインドウ中部にハイパーリンクで表示されるのですぐにでもブラウザで確認可能である。

図3:
https://www.netsecurity.ne.jp/images/article/sitedigger03.jpg

また、この結果は、「Export Results」というボタンをクリックすることで結果をHTML形式で保存することができる。

図4:
https://www.netsecurity.ne.jp/images/article/sitedigger04.jpg

(3) 使用例とTIPS、検査者の視点から

皆さんもご存知のように、Googleの検索機能、キャッシュ機能というものは非常に便利である。目的のものを発見することを迅速に行え、消えてしまったサイトでもキャッシュされていたことで助けられた経験をお持ちの方も多いのではないだろうか。

しかし、これは、使い方によっては非常に脅威であると言え…

【執筆:NTTデータ・セキュリティ株式会社 辻 伸弘】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 村田製作所への不正アクセス 第3報、約8.8万件の個人情報が漏えいした可能性

    村田製作所への不正アクセス 第3報、約8.8万件の個人情報が漏えいした可能性

  2. たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

    たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

  3. FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

    FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

  4. 日本郵船グループが利用する船舶燃料調達システムに不正アクセス

    日本郵船グループが利用する船舶燃料調達システムに不正アクセス

  5. 従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

    従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP