ハッキングというとなんだか海外の話のように感じてしまうかもしれませんが、実は、きわめて身近なところでも起きています。
今回は、ハッキングとはいったいなんなのか、どんな手口があるのか、被害事例はどんなものがあるのか、解説します。ぜひ、最後までご覧ください。
また、従業員が知っておくべきサイバー攻撃がわかる資料を無料で配布しています。ぜひご活用ください。
ハッキングとは
ハッキングとは、他者のコンピュータへ侵入や破壊行為を働くことです。
具体的には、使用しているアプリケーション、システム、ネットワークの脆弱性を狙い、マルウェアを送り込んだり、情報の剽窃、盗聴などを行ったりします。
ハッキングとクラッキングの違い
ハッキングと似たものとして、クラッキングというものがあります。
ハッキングとクラッキングの違いは、悪意があるかどうか、ネガティブな意味を含むかどうかです。
悪意をもって情報に不正アクセスし、情報を盗み出したりデータを改ざんしたりする行為をクラッキングと言い、ハッキングは、そうではない、例えば不具合の修正など善意の目的のためのアクセスやデータ変更も含まれます。
とは言いつつ、近年ではハッキング・クラッキングの定義を明確に区別せず、クラッキング的行為についてもハッキングと表現されることも多いです。
ハッキングの代表的な手口
では、ハッキングはどんな手口を使って攻撃を試みるのでしょうか。
代表的なものを、具体的な手口と一緒に見てみましょう。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、情報通信技術を使用せずにIDやパスワードを入手する方法です。意外かもしれませんが、こちらもハッキングの一つとされます。
パスワードを入力している様子を盗み見て覚えたり、誕生日や記念日からパスワードを類推したり、高度な技術を用いない手段によるものです。
人の心理的な隙や行動のミスを狙った攻撃が多く、誰でも被害に遭うリスクがあります。
詳しくは「ソーシャルエンジニアリングの手口とは?その内容や対策を徹底解説」をあわせてご覧ください。
ブルートフォースアタック
ブルートフォースアタックとは、IDやパスワードに使われるすべての文字列の組み合わせを順番に試し、正解を割り出すハッキング方法です。
総当たり攻撃や辞書攻撃と呼称されることもあります。
例えば、想定できるIDで1万通りの組み合わせを試せばいつかは正解にたどり着けますが、これをコンピューターに各組み合わせを試行させることで、手間をかけずに必要な情報を割り出すことが可能です。
ゼロデイ攻撃
ゼロデイ攻撃とは、新たに見つかったソフトウェアやネットワーク内の脆弱性を突き、公表や修正プログラムの提供以前に悪用することで実行されるサイバー攻撃を指します。
水飲み場攻撃
正規のWebサイトを改ざんして、本物のように見せた不正なサイトに作り替えを行い、そこにアクセスした利用者の端末を悪意のあるプログラムに感染させる攻撃です。
例えば、クレジットカードを入力する画面を作りこみ、クレジットカード情報を盗聴できるようにするのもこの攻撃の一つです。
SQLインジェクション
SQLとは、データを定義したり特定の操作を行ったりすることを目的としたデータベース言語、あるいはドメイン固有言語を指すものです。
Webサイトに設けられた情報の入力フォームなどに対し、本来入力されることが想定されていない「SQL文章」を送信し、データベースを不正に操作して個人情報や機密情報を窃取する攻撃です。
ハッキングによる被害事例
では、ハッキングをされてしまうと、いったいどんな被害が起きてしまうのでしょうか。それぞれ解説します。
情報漏えい
悪意あるハッキングを受けた際の顛末として、情報漏えいがあります。
社内のデータベースへの不正な侵入を通じて、顧客の氏名や住所、支払情報を含む個人情報が流出してしまう恐れや、開発中のプロダクトに関する機密情報が盗み取られてしまう恐れがあります。
顧客情報の漏えいが起きた場合、取引企業や個人の利用者にも影響が及び、深刻な事態になりかねません。
Webサイトの改ざん/サーバー停止
その他には、Webサイトの改ざんがあります。
Webサイトの改ざんは、Webサイトをハッキングされて、現在掲載している情報を削除されたり、改変されたり、そもそも見ることができないようにすることです。
不特定多数の人が閲覧するため、不適切な内容に書き換えたり、アクセスをできないようにすれば、企業の印象や信頼を大きく損ねることが狙いの方法です。
別のハッキングに利用されてしまう
ハッキングされたコンピュータが他のコンピュータへの攻撃の踏み台にされてしまうこともあります。
たとえば、社内のパソコンがハッキングされた場合、ウイルスに感染させられ、お客様先に、フィッシングメールを送ってしまうという二次被害に利用されてしまう可能性があります。
ハッキングへの対策手法
ハッキングへの対策手法として、以下のようなものがあります。
- 怪しいアプリをダウンロードしない
- デバイスにパスワードを設定し、わかりやすいものは避ける
- パスワードをデバイス内に保存しない
- インターネット履歴を頻繁に削除する
- 紛失デバイス追跡サービスを活用する
- すべてのアプリを最新の状態に保つ
ハッキングの実践や対策を体験してみたい時は
ハッキングの実践や対策を体験してみたい時は、書籍『攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング』がおすすめです。
『攻撃手法を学んで防御せよ! 押さえておくべきIoTハッキング』は、経済産業省からリリースされた過去の書籍を基に、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説している書籍です。
ハッキングが実際にどのような方法で、攻撃まで至るのか、そして、その考えをどのようにして防ぐのかがわかりやすく記載されています。
まとめ
ハッキングについて解説しました。
情報資産が、企業にとって大きな意味を持つようになり、ハッキングによって情報漏えいなどの被害が生じる機会も増えてきました。
企業の資産である機密情報やデータが漏洩しないためにも、常に最新のセキュリティ対策について情報を収集しておきましょう。