ハッキングとは?ハッカーの使う手口と被害・対策について
ハッキングという言葉をニュースやIT記事などで多く目にする機会があり、この言葉にあまり良いイメージを持っていない方も多いと思います。サイバー犯罪の報道に付きものという印象のあるこの言葉ですが、本来どのような意味を持っているのでしょうか。
この記事では、ハッキングという言葉の意味やハッキングを悪用したサイバー犯罪とその手口、有効な対策などをご紹介します。
目次
ハッキングとは
サイバー犯罪用語と思われがちな「ハッキング」という言葉ですが、実は犯罪用語ではなく、れっきとしたIT技術関連用語です。IT業界では、ハードウェアやソフトウェアの解析や改造を行うことを「ハッキング」と呼び、それらに関し高い知識と専門性を持つIT技術者を「ハッカー」と呼んでいます。
このように、ハッキングという言葉も元々は犯罪などを連想させるものではありませんでした。しかし、ある事件に関与したサイバー攻撃者が自身をハッカーと名乗ったことを契機に、ハッキング=犯罪の手口という悪いイメージが付いて回るようになりました。
上記の経緯から最近では、悪質なハッカーのことは「クラッカー」もしくは「ブラックハッカー」、正当なハッカーは「ホワイトハッカー」と善悪を区別して呼ばれることも増えてきました。
ハッキングが使われる攻撃の手口
ここからは、サイバー攻撃で用いられる代表的なハッキング行為についてご説明していきます。ハッキングを用いて実行される攻撃の手口には、どのようなものがあるのでしょうか。
ゼロデイ攻撃
ゼロデイ攻撃とは、新たに見つかったソフトウェアやネットワーク内の脆弱性について、公表や修正プログラムの提供以前に悪用することで実行されるサイバー攻撃を指します。
ID・パスワードの不正利用
さまざまな方法で他社のIDやパスワードを入手し、不正にログインを試みることで実行される攻撃です。ID・パスワード入手の手段としてはフィッシングサイトによる誘導や辞書攻撃(※1)、総当たり攻撃(※2)やショルダーハッキング(※3)などがあります。また、すでにサイバー攻撃などによって流出した情報を利用して不正ログインするケースもあります。
※1辞書攻撃(ディクショナリアタック)…辞書に掲載されている単語やフレーズを組み合わせてパスワード候補を作成し、それらを試すことによりID・パスワード認証を破ろうとする手法。
※2総当たり攻撃(ブルートフォースアタック)…入力可能な文字・数字などあらゆるパターンを試してID・パスワード認証を突破する手法
※3ショルダーハッキング…対象者がID・パスワードなどを入力する際に操作画面や操作するキーを盗み見て情報を盗み出す手法。「肩越しに盗み見る」という意味を表す。
水飲み場攻撃
正規のWebサイトを改ざんして不正なサイトに作り替えを行い、そこにアクセスした利用者の端末を悪意のあるプログラムに感染させる攻撃です。
SQLインジェクション
Webサイトに設けられた情報の入力フォームなどに対し、本来入力されることが想定されていない「SQL文章」を送信し、データベースを不正に操作して個人情報や機密情報を窃取する攻撃です。SQLとは、データを定義したり特定の操作を行ったりすることを目的としたデータベース言語、あるいはドメイン固有言語を指すものです。
DDoS攻撃
DDoS攻撃(Distributed Denial of Service attack)とは、大量の不正なデータ通信を行うことで、ウェブサイトやネットワークシステムを機能不能に陥れる攻撃手法のことを指します。
DDoS攻撃の被害は、単にウェブサイトが閲覧できなくなるだけでなく、ECサイトの売上げ減少、企業の業務停止、社会的信用の失墜など、様々な深刻な影響が考えられます。近年ではDDoS攻撃が脅迫の手段として使われるケースも増えています。
ハッキングされた場合の主な被害
前の項目でご紹介したとおり、多くのサイバー攻撃の手口に悪意あるハッキングが用いられています。第三者から悪質なハッキングを受けることによって、どのような被害が想定されるのでしょうか。
| 攻撃の手口 | 主な被害の例 |
|---|---|
| 情報の窃取や漏えい | データベースを攻撃されることで重要情報を盗まれたり流出させられたりする |
| Webサイトの改ざん | Webサイトの内容を勝手に変えられ、サービスの提供を止められたり企業イメージダウンを招いたりする |
| サーバーの処理遅延や停止 | Webサイト上で提供中のサービスが停止し、停止中の間の収益に影響する |
| 攻撃の踏み台にされる | Webサイトを訪問したユーザーを不正サイトへ誘導し マルウェア感染の加害者にされる |
情報が外部に流出する
悪質なハッキングにより、社内の重要な情報が盗まれる被害も想定できます。万一、顧客の個人情報や機密性の高い情報など、非公開のデータが外部に流出してしまうと、大きな損害を生む可能性もあります。
Webサイトが改ざんされる
自社のWebサイトがハッキングによる攻撃を受けることで、知らない間にWebサイトが改ざんされてしまうことがあります。まったく別のWebサイトのように内容を改ざんされてしまうこともあれば、体裁は変わらなくても無関係な画像がトップページに表示されてしまっているなどのケースもあるでしょう。
また、改ざんされたWebサイトにアクセスすると、マルウェアに感染したサイトに移動させられることもあります。そのような被害が発生した場合、企業が受ける損害も大きなものになってしまう恐れがあります。
サーバーが停止する
ハッカーが悪質なハッキングによる攻撃を実行することで、標的となった企業のサーバーが停止に追い込まれる事態も想定できます。サーバーが停止してしまうとWebサイトを表示できなくなることのほか、業務に用いるシステムが完全に使えなくなるなど、さまざまな被害の恐れがあります。
別の攻撃に利用されてしまう
パソコンやWebサイトが悪質なハッキングによって攻撃を受けることで、それらのパソコンやWebサイトが「水飲み場攻撃」など、他者への攻撃の踏み台にされる可能性もあります。
ハッキングの動機
ハッカー(クラッカー)はなぜハッキングを行うのでしょうか。
金銭的動機
金銭的な利益を得ることが目的のハッカーは、企業の機密情報を盗み、それを売買したり、個人情報を不正に入手して詐欺行為に使ったりします。また、ランサムウェア(身代金要求型のマルウェア)を仕掛けて、企業からお金を強奪することもあります。サイバー犯罪を職業としている者もこのタイプに当てはまります。
政治的・社会的動機
特定の政治的・思想的メッセージを発信したり、特定の国家や組織に対する攻撃を目的としているハッカーもいます。こうしたハクティビストは、社会的な影響力を持つWebサイトやシステムに不正にアクセスし、データを漏洩したり改ざんしたりして、自らの主張を世間に訴えようとします。
好奇心、冒険心
単なる好奇心や挑戦心から、ハッキングを楽しんでいるハッカーも存在します。システムの脆弱性を探り、そこから不正にアクセスすることに喜びを感じている人々です。中には、自らのハッキング能力を誇示したり、他のハッカーグループに名を馳せようとする者もいます。
このように、ハッカーの動機はさまざまですが、いずれも深刻な被害と社会的影響を引き起こす可能性があります。したがって、ハッキングの理解とともに、適切な防御策を講じることが重要となるのです。
ハッキングされないためにはどんな対策が必要?
悪質なハッキングの被害を防止するためには、どのような対策を行っておくことが有効なのでしょうか。ここでは、ハッキングによるサイバー攻撃から自社の機器やネットワークを守るために有効な取り組みをご紹介します。
アンチウイルスソフト、UTMなどの基本的な対策
アンチウイルスソフトは、コンピューターにインストールされるセキュリティソフトウェアで、マルウェアの検出と除去を行います。定期的にウイルス定義ファイルを更新し、最新の脅威に備えることが重要です。
一方、UTMはネットワークの境界線上に設置されるセキュリティゲートウェイで、内部ネットワークと外部ネットワーク(インターネット)の通信を監視・制御する役割があります。適切に利用することで、不要な通信や不正なアクセスをブロックし、内部ネットワークへの侵入を防ぐことができます。
OS・ソフトウェアなどは常に最新の状態にしておく
悪質なハッカーは、おもにOSやソフトウェアなどの脆弱性を狙って攻撃を試みます。このため、OSや各種ソフトウェアは常に最新の状態にアップデートしておくことである程度は対策を行えます。アップデートが難しい場合は、WAF(※)によって対策しておくことも有効となります。
※WAF…Webアプリケーションの脆弱性を狙った攻撃を検知・防御してサイトを守るためのセキュリティ対策
定期的にWebサイトの脆弱性を診断する
自社で管理するWebサイトにも、脆弱性が生じている可能性があります。このため、定期的に第三者による脆弱性診断を実施し、見つかった脆弱性に対応する方法も有効です。
WEBサイトの改ざん検知ならALSOKの「ホームページ改ざん対策」を是非ご検討ください。
ALSOKの関連商品
パスワードの管理に気をつける
パスワードを何らかの方法で盗まれて、ハッキングを実行される可能性もあります。
このため、各種ログインに用いるパスワードは推測困難なものを設定しておくと良いでしょう。
また、同一のパスワードを複数名で共有したり、複数のログイン情報で使い回したりしないことも重要です。
以前はこの対策の一環として、こまめにパスワードを変更することが推奨されてきましたが、現在は定期的な変更よりも、推測されにくいパスワードを設定することが推奨されています。また、ソーシャル・エンジニアリング(※)を防止するために、パスワードを推測できるような個人情報をSNSなどに公開しない、パスワードをメモした紙をデスクやパソコンなど見える位置に保管にしない、第三者と共用のパソコンにログインしたままの状態にしないなど、パスワードを管理するユーザーの意識向上も欠かせません。
※ソーシャル・エンジニアリング…人間の心理的な隙や行動のミスにつけ込み、ネットワーク侵入に必要となるパスワードなどの重要情報を、情報通信技術を使用せず入手する方法。
複数の認証機能を利用する
ID・パスワードの入力だけではなく、生体認証や電話番号認証など複数の認証機能を取り入れ、ログインにおいて複数段階の認証を実行することも有効です。また、ログイン試行回数にも上限を設けておくと良いでしょう。
EDRの導入
エンドポイント(この場合おもにユーザーの利用端末)の状況を監視し、エンドポイントを狙った攻撃に対して対処するセキュリティ技術「EDR」の導入もおすすめです。
ALSOK関連コラム
警備会社ALSOKだからこそ提供できるセキュリティサービス
サイバー攻撃は年々巧妙化しており、その時々に合わせたセキュリティ対策が必要とされています。
そこでALSOKでは、さまざまな情報セキュリティサービスをご提供しています。
ガードマンによる施設や建物の警備を行うイメージの強いALSOKですが、長年の警備業務で培ったノウハウを生かし、高機能で有効性の高い情報セキュリティサービスを実現しており、「24時間365日監視」や「迅速対応」など、警備会社ならではの特徴を備えたセキュリティサービスを揃えています。
情報セキュリティの強化をご検討中の方は、ぜひお問い合わせください。
まとめ
ハッキングは必ずしも悪意に基づいて行われるものではありませんが、悪質なハッキングにより多くのサイバー攻撃被害が発生しています。ハッキングによるサイバー攻撃の手口や被害について把握し、対策を行っておくことはITを活用する企業にとって必須ともいえるでしょう。ハッキング対策や情報セキュリティについてお悩みをお持ちの方は、ぜひALSOKまでお問い合わせください。
