ニュースを視聴し最新のテクノロジーを把握している人なら、ハッカーはご存知だと思います。しかしブラックハット、ホワイトハット、グレーハットというカテゴリにハッカーが分類されることは認識していないかもしれません。これらの用語はアメリカ大衆文化である古い西部劇映画に由来しています。西部劇では主人公は白いハットをかぶり、敵は黒いハットをかぶっていました。
ハッカーのタイプは、基本的に、ハッカーの動機と法律に違反しているかどうかで判断されます。
ブラックハットハッカーの定義
ブラックハットハッカーとは、悪意を持ってコンピュータネットワークに侵入する犯罪者です。また、ファイルを破壊するマルウェアをリリースしたり、コンピュータを人質に取ったり、パスワードやクレジットカード番号、他の個人情報を盗む場合もあります。
ブラックハットハッカーは、金銭的なメリット、復讐、単に混乱を拡大するなど、利己的な理由が動機となっています。ブラックハットの動機はイデオロギー的な場合も多く、強く否定する相手を標的とします。
ブラックハットハッカーとは
ブラックハットハッカーの多くは、購入したハッカーツールでセキュリティの抜け穴を悪用するような新米の「スクリプトキディ」からスタートします。一部のブラックハットハッカーは、すぐにお金を稼ぎたい上司からハッキングの訓練を受ける場合もあります。
一流のブラックハットは洗練された犯罪組織で働く熟練したハッカーであることが多く、これらの組織は正規の会社と同様に、従業員にコラボレーションツールを提供したり、顧客に対してサービス契約を提供したりしています。ダークウェブでは、ブラックハット用のマルウェアキットがしばしば販売されており、保証やカスタマーサービスまで含まれています。
ブラックハットハッカーは、フィッシングやリモートアクセスツールの管理といった専門分野に特化していることも多くあります。多くのハッカーは、ダークウェブ上でのフォーラムや他のコネを通して「仕事」を獲得しています。一部のハッカーは、自身で不正なソフトウェアを開発して販売することもありますが、他方では、正規のビジネス世界と同様に、フランチャイズ契約やリース契約で仕事をすることを好む者もいます。
ハッキングは政府にとって不可欠な情報収集ツールとなっていますが、ブラックハットハッカーは、単独または統制された犯罪組織と協力して金銭を稼ぐほうがより一般的です。
ブラックハットハッカーの仕事内容
ハッキング行為は大企業のようにビジネスを展開することが可能で、規模が大きく、不正なソフトウェアを簡単に販売することができます。ハッキング組織は、パートナー、リセラー、ベンダー、関連企業を有しており、新しい地域や市場で使用する他の犯罪組織に対してマルウェアのライセンスを売買しています。
一部のブラックハット組織は、電話発信に利用するコールセンターさえも持っており、Microsoftなどの著名なテクノロジー企業向けの業務を装っています。このような詐欺行為では、ハッカーは、コンピュータへのリモートアクセスやソフトウェアのダウンロードを許可するよう、潜在的な被害者に対して説得を試みます。被害者がアクセス権を付与したり推奨ソフトウェアをダウンロードすると、被害者が気づかない間に、犯罪者はパスワードや銀行情報を収集したり、密かにコンピュータを乗っ取って他者への攻撃を実行することができるようになります。さらにひどいことに、被害者は通常、「サポート」として法外な料金が請求されます。
他には、自動化され人間の介入が不要な迅速なハッキングも存在します。これらのケースでは、保護されていない侵入先のコンピュータを見つけるために、攻撃ボットがインターネットを徘徊しており、しばしば、フィッシングやマルウェアの添付ファイル、または不正なWebサイトへのリンクが利用されます。
ブラックハットハッキングは世界的な問題であり、阻止が非常に困難です。法執行機関(警察)の課題としては、ハッカーは証拠を残さないことが多く、何も知らない被害者のコンピュータを利用し、複数の法域をまたがっていることが挙げられます。当局がある国でハッキングサイトの閉鎖に成功した場合であっても、同様のビジネスを他の場所で行うため、組織は存続することが可能です。
ブラックハットハッカーの例
ケビン・ミトニックは最も有名なブラックハットハッカーの1人で、ある時点で、最重要指名手配のサイバー犯罪者でした。彼はブラックハットハッカーとして40を超える大企業に対してハッキングを行い、中にはIBMやMotorola、さらに米国国防省の警告システムも含まれます。その後、彼は逮捕され、刑務所で服役しました。釈放後、彼は自身のハッキング知識を活用して、ホワイトハットハッキングを目的としたサイバーセキュリティコンサルタントになりました。
別の著名な例は下村努氏で、ケビン・ミトニックの追跡で功績をあげたサイバーセキュリティの専門家です。下村氏は計算物理学の研究科学者であり、米国国家安全保障局でも働いていました。彼は、携帯電話のセキュリティとプライバシーの欠如について最初に啓発した主要な研究者の1人です。下村氏はNeofocal Systems社の創設者で、倫理的な目的で自身のセキュリティスキルを活用して、ケビン・ミトニックを裁判にかける上で重要な役割を果たしました。彼の著書である『Takedown』は、後に「Track Down」という名前で映画化されました。
ホワイトハットハッカーの定義
ホワイトハットハッカーは「倫理的ハッカー」や「正義のハッカー」とも呼ばれ、ブラックハットの対極にあります。ホワイトハットハッカーは、コンピュータシステムやネットワークを活用してセキュリティ欠陥を特定することで、改善に向けた推奨事項を作成します。
ホワイトハットハッカーとは
ホワイトハットハッカーは自身の能力を活用してセキュリティ欠陥を特定し、企業や組織を危険なハッカーから身を守るサポートをします。ホワイトハットハッカーは、セキュリティギャップの発見を試みるセキュリティ専門家として、企業で給与をもらって働く従業員や請負業者の場合も多くあります。
一般に大規模な組織のほうがシステムのダウンタイムやWebサイトの問題が少ない理由は、ホワイトハットハッカーを採用しているためです。大部分のハッカーは、セキュリティ上の欠陥を詳しく調べるリソースがない小規模企業が運用するシステムより、大企業が管理するシステムに侵入するほうが困難だと認識しています。
倫理的ハッカーの一部には、システム内のぜい弱性を発見し、リスクを評価することを専門とする侵入テスター(「ペンテスター」)も含まれます。
ホワイトハットハッカーの仕事内容
ホワイトハットハッカーはブラックハットと同じハッキング手法を利用しますが、主な違いは、最初にシステム所有者の許可を得ているため、プロセスは完全に合法的です。ホワイトハットハッカーは、ぜい弱性を悪用してコードを拡散する代わりに、ネットワーク運用者と連携して、他者に問題が発見される前に問題を修正するようサポートします。
ホワイトハットハッカーの戦術とスキルを以下に紹介します。
1.ソーシャルエンジニアリング
ホワイトハットハッカーは通常、ソーシャルエンジニアリング(人的ハッキング)を利用して、組織の「人的」防御の弱点を発見します。ソーシャルエンジニアリングとは、被害者を騙して巧みに操って、やってはいけないこと(電信送金する、ログイン認証情報を共有するなど)をさせることです。
2.侵入テスト
侵入テストの狙いは、組織の防御やエンドポイントのぜい弱性や弱点を発見して、是正することです。
3.偵察と調査
偵察と調査には、物理的インフラおよびITインフラ内のぜい弱性を発見するために組織を調査することが含まれます。目的は、何かを損傷させたり壊すことなく十分な情報を取得して、組織内のセキュリティ管理やメカニズムを合法的に迂回する方法を特定することです。
4.プログラミング
ホワイトハットハッカーは「おとり」となるハニーポットを作成してサイバー犯罪者をおびき寄せることで、彼らの注意をそらしたり、攻撃者に関する貴重な情報を入手します。
5.幅広いデジタルツールおよび物理ツールを利用する
侵入テスターがボットや他のマルウェアをインストールしたり、ネットワークやサービスへのアクセスを可能にするハードウェアやデバイスが利用されます。
一部のホワイトハットハッカーでは、バグ報奨金プログラムという形でプロセスがゲーム化されており、コンテストではぜい弱性を報告したハッカーに対して賞金が与えられます。また、倫理的ハッキングに特化したトレーニングコースやイベント、認証まで存在します。
ブラックハットハッカー対ホワイトハットハッカー
これら2つの主な違いは動機です。ブラックハットハッカーは、しばしば個人の利益目的で悪意を持って不正にシステムにアクセスしますが、ホワイトハットハッカーは、会社と協力してシステムの弱点を特定したり、対応する更新を行います。実施する目的は、ブラックハットハッカーがシステムのデータに不正にアクセスできないようにするためです。
ホワイトハットハッカーの例
ホワイトハットハッカーの最も有名な例の一部を紹介します。
ティム・バーナーズ=リー
ティム・バーナーズ=リーはWorld Wide Webの発明で有名ですが、ホワイトハットハッキングキャンプのメンバーでもあります。現在同氏は、W3C(World Wide Web Consortium)のディレクターを務めており、Webの発展を統括しています。
グレッグ・ホグランド
グレッグ・ホグランドはコンピュータフォレンジックの専門家で、マルウェア検出、ルートキット、オンラインゲームハッキングに対する研究および調査への貢献で有名です。以前は、米国政府およびインテリジェントコミュニティで働いていました。
リチャード・M・ストールマン
リチャード・ストールマンは、コンピュータ利用に関する自由を推進する無料のソフトウェアプロジェクトであるGNUプロジェクトの創設者です。彼は、1980年代半ばに、コンピュータは連携を妨げるのではなく推進すべきであるという考えのもと、「自由ソフトウェア運動」を設立しました。
チャーリー・ミラー
チャーリー・ミラーはAppleのぜい弱性を発見したことで有名で、2008年には著名なPwn2Ownコンピュータハッキングコンテストを受賞しました。また、米国国家安全保障局の倫理的ハッカーとしても働いていました。
ダン・カミンスキー
ダン・カミンスキーは、JavaScriptを利用してマルウェア活動を検出する企業であるWhite Opsの主任科学者です。彼は、ハッカーが幅広いキャッシュポイズニング攻撃の実行が可能になるDNS(Domain Name System)プロトコルの根本的な欠陥を発見したことで有名です。
ジェフ・モス
ジェフ・モスは、オバマ政権時に米国国土安全保障諮問委員会を務め、同委員会ではサイバースキルに関するタスクフォースの共同議長を務めました。また、彼はハッカー会議のBlack HatとDEFCONの創設者であり、GCSC(Global Commission on the Stability of Cyberspace)のコミッショナーでもあります。
グレーハットハッカーの定義
ブラックハットとホワイトハットの中間のグレーハットハッカーが存在します。グレーハットハッカーは、ブラックハットとホワイトハットの両方の活動を融合して実行します。グレーハットハッカーは多くの場合、システム所有者が許可したり把握したりすることなく、システム内のぜい弱性を探します。問題が発見されたら、グレーハットハッカーは問題を所有者に報告し、場合により問題を修正するために少額の料金を要求します。
一部のグレーハットハッカーは、許可なくWebサイトをハッキングしネットワークに侵入することで、企業にとって良いことをしていると考えています。一方で、ビジネス情報インフラに不正に侵入することを評価する企業オーナーはほとんどいません。
グレーハットハッカーの真の目的は、多くの場合、本人が考えるサイバーセキュリティへの貢献を通じて、自身のスキルを誇示し、名声や称賛を得ることです。
グレーハットハッカーとは
グレーハットハッカーは、法律や通常の倫理基準には違反しますが、ブラックハットハッカーに特有の不正な意図はありません。
ホワイトハットハッカーがぜい弱性を発見した場合、許可が得られた場合のみぜい弱性を利用し、ぜい弱性が修正されるまで他者には伝えません。対照的に、ブラックハットハッカーはぜい弱性を不正に悪用したり、方法を他者に伝えます。グレーハットハッカーは、不正に悪用することも、方法を他者に伝えることもしません。
グレーハットハッカーの多くは、インターネットは企業にとって安全なものではないと考えており、個人や組織のために安全にすることが自身の使命だと考えています。そのため、Webサイトやネットワークに侵入して、混乱を巻き起こすことで、自らの主張の正当性を証明しようとします。グレーハットハッカーの多くは、危害を加える意図はないと主張します。彼らは単なる好奇心から、プライバシーやその他多くの法律を無視して著名なシステムをハッキングすることもあります。
多くの場合、グレーハットハッカーは企業にとって有益な情報をもたらしますが、ホワイトハットハッカーやサイバー業界の大部分は、グレーハットハッカーのやり方は倫理に反すると考えています。ハッカーは、組織から許可を受けずにシステムへの侵入を試みるため、グレーハットハッキングは違法です。
グレーハットハッキングの仕事内容
グレーハットハッカーがシステムまたはネットワークへの不正アクセスに成功した場合、問題を修正するために自身または友人の1人を有料で雇うよう、システム管理者に提案することがあります。しかし、企業各社で訴訟の意向が高まっているため、このような慣行は減少しています。
一部の会社は、バグ報奨プログラムを活用して、グレーハットハッカーに結果を報告するよう奨励しています。このようなケースでは、報奨金を提供することで、自己の利益のためにハッカーにぜい弱性が悪用される幅広いリスクを回避できます。しかし、これは常に当てはまるとは限らないため、ハッカーが法律の範囲内にあることが保証される唯一の方法は、会社の許可を得ることです。
企業や組織が迅速にグレーハットハッカーに対応しなかったり、従わない場合、グレーハットハッカーは、悪用のポイントをインターネットに投稿したり、自身でぜい弱性を悪用して、ブラックハットハッカーになる場合もあります。
グレーハットハッカー対ホワイトハットハッカー
グレーハットハッカーとホワイトハットハッカーの決定的な違いは、組織がグレーハットハッカーを無視する決定をした場合、グレーハットハッカーは倫理的なハッキングのルールや雇用契約に拘束されないことです。代わりに、グレーハットハッカーは欠陥を自身で悪用したり、他のハッカーが利用できるように知識をオンラインに共有する可能性があります。
グレーハットハッカーの例
グレーハットハッカーの例としてしばしば引用されるのは、2013年8月に発生した、失業中のコンピュータセキュリティ研究者のカリル・シュリーテによるマーク・ザッカーバーグのFacebookページへのハッキングです。この行為の動機は、彼が発見した「ユーザーの同意なしにユーザーのページに投稿できる」バグについて、修正の対応を取らせるためです。彼は、Facebookにこのバグを連絡しましたが、この問題はバグではないとFacebookから言われました。このぜい弱性は、プロのスパム業者の強力な武器になる可能性がありましたが、この出来事の後、Facebookによって修正されました。シュリーテは、Facebookのポリシーに違反したことになるため、Facebookから報酬は支払われませんでした。
ハッカーから身を守るには
ハッカーから身を守る10の方法を以下に紹介します。
1.複雑でユニークなパスワードを使用する
パスワードが強力だと簡単に推測できません。理想的には、大文字と小文字、特殊文字、数字を組み合わせて作成します。パスワードは何年間も変更されない場合も多く、セキュリティの低下につながります。パスワードが漏洩すると、ハッカーにデータが盗まれる一歩手前です。小さな紙にパスワードを記述するのは避け、複数の人間でパスワードを共用しないでください。パスワードマネージャツールは、パスワードを管理するための優れた手法です。
2.迷惑メールで送信されたリンクは絶対にクリックしない
迷惑メールは、パスワードやクレジットカード番号、銀行口座の詳細などの取得を試みるフィッシング詐欺に関係している可能性があります。これらのリンクをクリックすると、不正なソフトウェア(マルウェア)がお使いのデバイスにダウンロードされる可能性があります。
3.安全なWebサイトを利用する
ショッピングサイトは、SSL(Secure Sockets Layer)暗号化を使っているものを利用します。WebサイトでSSLが導入されているか確認するには、URLを見ます。URLは「HTTP://」ではなく「HTTPS://」で開始している必要があります。この「s」は「セキュア(secure)」を表します。また、近くに南京錠のアイコンもあります。このアイコンの表示場所はご利用のブラウザによって異なります。ショッピングサイトには、決済情報を保存しないようにします。そのサイトが詐欺師によって侵害された場合、情報にアクセスされる可能性があります。
4.2要素認証を有効化する
これにより、ログインプロセスにセキュリティのレイヤが追加されます。2要素認証を設定する際、引き続きユーザー名とパスワードを入力する必要がありますが、携帯電話に送信されるPINなど、2つ目の認証要素を利用して、本人情報を確認する必要もあります。つまり、なりすまし犯は、ログインの詳細情報を知った上で、お使いの携帯電話を所持している必要があり、このようなシナリオの可能性は低くなります。
5.パブリックWi-Fiネットワークを利用する際は注意する
パブリックWi-Fiネットワークは暗号化や安全性が不十分な場合があり、ユーザーと訪問先のWebサイト間でやりとりされる情報を盗み見するハッカーに対してぜい弱です。パスワードや金銭的データなどの個人データは、なりすまし犯の危険にさらされます。VPNを利用すると効果的です。
6.オートフィル(自動入力)オプションを無効化する
オートフィルオプションは時間節約となる機能ですが、ハッカーにとってもユーザーと同様に便利な機能です。すべての自動入力情報は、ブラウザのプロファイルフォルダなど、特定の場所に保存されている必要があります。これらのフォルダには、ユーザーの名前、住所、電話番号のほか、本人情報を盗んだりアカウントにアクセスするために必要なその他すべての情報が含まれており、ハッカーが探しに行く最初の場所となっています。
7.アプリを賢く利用する
アプリのダウンロードは、Apple App StoreやGoogle Playなどの信頼できるソースからのみ行ってください。ソフトウェアやアプリは必ず定期的に更新し、使用しない古いアプリは削除してください。
8.追跡または消去
モバイル端末の盗難または紛失があった場合、データの安全を確保します。携帯電話を紛失した場合にデータの消去が可能なソフトウェアをインストールすることができます。また、ログインの試行回数が事前に設定した数を超えると、デバイスが自動的にロックされるよう設定することもできます。
9.サードパーティへの許可を無効化し管理する
ユーザーがデバイスにダウンロードしたサードパーティ製のアプリケーションは、デバイスの所有者への通知なしに、携帯電話の特定の許可がオンになっています。その結果、位置情報サービスや自動アップロード、データバックアップ、さらに個人用電話番号の公開表示などでさえ、インストール時にすべての許可が有効化されています。クラウドへの接続を含め、これらの設定および許可のオン設定を管理することは、ハッカーからユーザーのデータを守る上で不可欠です。
10.信頼できるサイバーセキュリティをすべてのデバイスに導入する
カスペルスキー インターネット セキュリティなどのサイバーセキュリティを利用すると、ウイルスやマルウェアをリアルタイムにブロックしたり、ハッカーによるリモートからのPCの乗っ取りを防止できます。したがって、インターネットアクセスに使用するデバイスに関係なく、家族の安全を常に守ることができます。
カスペルスキー インターネット セキュリティは2021年、インターネットセキュリティ製品に与えられるAV-TESTアワードで、ベストパフォーマンス賞とベストプロテクション賞の2つを獲得しました。カスペルスキー インターネット セキュリティは、すべてのテストでサイバーセキュリティに対する優れたパフォーマンスと保護が示されました。
関連記事:
