情報システム部門の担当者にとって、「自社がハッカーの標的となった場合、どのような影響があるのか」を想定することは重要です。実際に被害を受けた際には、緊急対応や原因調査に追われるだけでなく、経営層や関係部署からの説明責任を求められる場面も少なくありません。
とはいえ、ハッカーの攻撃手法や近年の動向について、日常的に把握している担当者は多くないのが実情です。そこで本記事では、ハッカーの基本的な定義を整理したうえで、企業として講じるべきセキュリティ対策について解説します。
ハッカーとは?基本的な定義
「ハッカー」と聞くと、コンピューターなどから情報を盗み取る犯罪者を想像する人が少なくありません。しかし、そもそもハッキングとは、コンピューター関連の知識に精通した人がシステムやプログラムのチェックや改善を行うことであり、ハッカーの基本的定義は「コンピューターに精通した技術者」です。そのため、「ハッカー」という言葉には本来、悪事や犯罪を行う人といった意味はありません。
また、企業や公共機関のプラスになるようシステムの問題点を改善する「ホワイトハッカー」の存在もあるため、近年は悪意のあるハッカーを単に「ハッカー」と呼ばず、「ブラックハッカー」や「クラッカー」と区別がつくように呼ぶ傾向も強くなっています。
・ハッカーの特徴
前述したように、ハッカーとはコンピューターやネットワーク、暗号技術やプログラム解析などに関して高度なスキルをもつ存在です。それらの知識や技術を犯罪や社会の害になる使い方をするハッカーが存在する一方、システムやプログラムの脆弱性の発見やセキュリティ強化などに貢献するハッカーも存在します。
また、善悪や利益を目的とせず、純粋に技術的な興味からハッキングを行うハッカーも存在します。そのため「ハッカーの特徴」は善悪によって区別されるものではなく、あくまでハッキングのスキルをもつ人物であると理解してください。
・ハッカーの歴史と有名なハッカー
世界で初めてのハッキングを、いつ、だれが行ったのかは明確ではありません。しかし1960年代前半に、MIT(マサチューセッツ工科大学)にコンピューターに精通した集団が存在し、ハッカー文化の始祖となったと言われています。
また、「ハッカー」は姿や名前を知られないように行動しているイメージもあるかと思われますが、世界的に有名なハッカーも多数存在します。例えば、ケビン・ミトニックは10代からハッカーとして活動し、1982年に北米防空総指令部へのハッキングを行ったことは、映画の題材にもなっています。
また、エドワード・スノーデンは米国軍やCIA(米国中央情報局)で勤務した経歴をもちつつ、米国の公的機関の問題点を世界中に知らせたことで有名です。スノーデンは、米国政府が監視活動によって市民のプライバシーや自由を侵害していることを知り、政府に対して強い反感をもったことから、世界史に残るような告発を行っています。
ハッカーの種類
ひと口にハッカーと言っても、さまざまな種類があります。以下では、その種類と概要について解説します。
・ホワイトハッカー
民間企業や公共機関の立場から、システムの脆弱性を発見・修正する役割を担うハッカーです。企業に雇用されている場合もあれば、フリーランスとして活動している場合もありますが、いずれも正当な報酬を得て業務に従事しており、いわゆるアウトローではありません。
その行動から、エシカルハッカー(エシカルは「倫理的な」「道徳的に正しい」などの意味)や、正義のハッカーと表現されることもあります。
ホワイトハッカーは、システムの監視やサイバー攻撃の防止、対応、ペネトレーションテスト(侵入テスト)によるセキュリティ強化などを行います。また、バグバウンティ(企業や組織が特定のシステムの脆弱性を発見した人に報奨金を払う仕組み)に参加することもあります。
・ブラックハッカー
ブラックハッカーとは、企業や公的機関、個人のシステムに対して不正にアクセスし、重要情報の窃取やシステムの破壊・改ざんなどを行う悪意ある存在です。一般的に「ハッカー」という言葉を使う場合、このブラックハッカーを指します。
ブラックハッカーは、ウイルスやマルウェアを作り出したり、システムへの攻撃を行ったりします。近年は、DDoS攻撃やランサムウェア攻撃(攻撃の解除と引き換えに金銭を要求する)、フィッシング詐欺(偽のメールなどで悪意のあるサイトに誘導し金銭などを得る)などを行うブラックハッカーが増えています。
ブラックハッカーの行動原理は悪意や自分たちの利益であり、社会的に害を及ぼすことが特徴です。攻撃対象者は少なからずダメージを受け、巨額の損失を伴うこともあります。
・グレーハッカー
グレーハッカーは、ブラックハッカーとホワイトハッカーの中間的存在です。企業や個人が運営するシステムに許可なく侵入し、脆弱性を発見したうえで報告する場合もありますが、悪用するケースも見られます。
善意による報告を行い、システムを改善できる結果になったとしても、許可なくシステムに侵入する時点で違法性が高いとみなされます。そのため、分類上はブラックハッカーに分類されることも少なくありません。
行動としては、システム運営者が許可しないペネトレーションテスト(侵入テスト)を行い、セキュリティホールや脆弱性を発見して報酬を要求することが一般的です。
・クラッカー(Cracker)
クラッカーは、企業のサーバーに侵入して情報を盗んだり、不正にコピーを作成したりするなど、悪意のある行動をとる存在です。そのため、ブラックハッカーとほぼ同じ意味で使われることもありますが、明確に区別する場合は、クラッカーのほうが違法行為に特化した存在とされます。
また、ソフトウェアを不正に改造してチートを可能にする、著作権を侵害する、違法ダウンロードサイトを運営することなどもクラッカーの活動に含まれます。
ハッカーの主な手法
ハッカーが使う手口は多数存在しますが、大きくは人の心理を利用する攻撃手法、マルウェア攻撃、ゼロデイ攻撃に分類されます。
・人の心理を利用する攻撃手法
なりすましメールやスピアフィッシング(特定の対象に向けて行うフィッシング)、偽のサポート窓口を装った詐欺などがあります。
偽のメールやフィッシングなどの手口は、技術的な攻撃ではなく、人の思い込みや行動パターンを悪用する点が特徴です。これらの手法をソーシャルエンジニアリングと呼ぶこともあります。ソーシャルエンジニアリングという名称は一般的な業務名に見えるかもしれませんが、情報を盗む手口のひとつです。
・マルウェア攻撃
マルウェアとは、悪意あるソフトウェアやコードの総称で、ウイルスやワーム、スパイウェア、トロイの木馬などを含みます。データの消去や改ざん、外部ネットワークへの流出や外部への攻撃など、種類は無数に存在し、DDoS攻撃やランサムウェア攻撃などにも利用されます。
・ゼロデイ攻撃
まだ対応策が発表されていないシステムの脆弱性を狙って行う攻撃です。根本的な対策が難しいため、こうした攻撃を受けた場合、非常に大きな被害につながる可能性があります。
そのため、該当するソフトウェアの使用を一時的に中止したり、ゼロデイ攻撃に関連する不審な通信を遮断したりするなど、被害を最小限に抑えるための緊急対応が求められます。
企業が取るべきハッカーへの対策
ブラックハッカーやクラッカーによる攻撃はいつ行われるかわからないので、企業としては日ごろから対策を講じておく必要があります。企業が取るべき対応として、主に以下が挙げられます。
- 強力なパスワードと多要素認証(MFA)の導入
パスワードは使いまわしを避け、できるだけ強化することが重要です。近年は、パスフレーズと呼ばれる複数の単語を組み合わせた文章を使うことで、安全性を強化する動きもあります。また、パスワードと指紋認証など、複数の手法を併用する多要素認証(MFA)も有効です。 - OSやソフトウェアの定期的な更新
OSやソフトウェアには、システムの脆弱性を修正するために、管理元から随時アップデートが提供されています。
そのため、常に最新のバージョンを適用し、OSやソフトウェアを最新の状態に保つことが重要です。 - 従業員教育
従業員にマルウェアやフィッシング詐欺などの存在や手口、大きな被害を受けた企業の実例などを紹介し、日常から気をつけるべきことや、取ってはいけない行動などを教育しましょう。 - 必要のないソフトウェアをインストールしない
ソフトウェアのインストールをきっかけに、マルウェアなどの脅威が侵入するケースは少なくありません。
そのため、不要なソフトウェアや、提供元が不明確なソフトウェアのインストールは避けることが推奨されます。 - 信頼できるクラウド環境にデータを保存する
クラウドサービスにはさまざまな提供元があり、信頼性にも大きな差があります。
そのため、サービスの選定にあたっては、セキュリティ対策や運用実績などを確認し、信頼性の高いクラウド環境を選ぶことが重要です。 - ファイアウォール・クラウドWAF(Web Application Firewall)の活用
Webサイトやアプリケーションの脆弱性を狙った攻撃には、ファイアウォールやクラウドWAFが有効な対策となります。クラウドWAFの導入を検討されるのであれば、「Cloudbric WAF+」がおすすめです。
▼「Cloudbric WAF+」の詳細については、以下のサイトをご参照ください。
Cloudbirc WAF+
ホワイトハッカーの必要性
ブラックハッカーやクラッカーによる悪意ある攻撃のリスクは、企業の大小によらず存在します。そのため、日本政府もホワイトハッカーの育成に力を入れており、企業単位でもホワイトハッカーを雇用する例が増えています。
被害を受けてからでは取り返しがつかないケースもあるので、この機会にホワイトハッカーの必要性を確認し、雇用や依頼などを検討することを推奨します。
ハッカーによる攻撃の最新動向と今後のセキュリティ対策
近年、AIはさまざまな分野で活用が進んでいますが、ブラックハッカーやクラッカーもAIを活用し、サイバー攻撃の高度化を図っています。
また、ディープラーニング技術の進展により、偽物と見分けがつきにくい音声や画像を用いた詐欺行為も増加しています。
このように、攻撃者側は次々と最新技術を取り入れ、サイバー攻撃を高度化させているのが現状です。一方で、防御側でも新たなセキュリティ技術の開発が進められています。
たとえば、ブロックチェーンはもともと暗号技術を基盤とした仕組みであり、セキュリティ対策にも活用されています。さらに、複数の秘密鍵の利用や、インターネットから隔離されたオフライン鍵の活用、2段階認証の導入などにより、安全性が一層強化されています。
今後も悪意あるハッカーとセキュリティ対策の攻防は続いていくため、新しい情報に常にアンテナを張ることを心がけましょう。
まとめ
世の中には多数の悪意あるハッカーが存在しており、ランサムウェア攻撃やDDoS攻撃、ゼロデイ攻撃など手法も多様化しています。日本の企業が被害を受けた実例もあり、個人や企業としてセキュリティ対策を行うことは必須です。そのため、この機会に悪意ある攻撃への対策強化を図ることをおすすめします。
クラウドWAFは、悪意をもったハッカーからの攻撃をリアルタイムでブロックし、Webサイトやアプリケーションを守るセキュリティ対策として有効です。企業のWebシステムの安全性向上に資する「Cloudbric WAF+」について詳しく知りたい方は、以下のサイトをご参照ください。
