ハッカーが他人のコンピュータを狙い、乗っ取りや破壊行為を行うことをハッキングといいます。近年は、ハッキングされた企業の顧客情報が流出する事例や、サーバーがダウンしてサービスが停止した事例などがあり、社会問題となっています。
しかし、ターゲットになるのは企業だけではありません。個人もターゲットとされることがあり、そのきっかけは、公衆Wi-Fiの利用や、偽物のウェブサイトへのアクセスなど、ごく身近なところに潜んでいます。
ここでは、ハッキングとはどのようなものなのか、その意味や被害の概要を解説します。さらに、代表的なハッキングの手法や、有効な対策なども紹介していきます。
ハッキングとは?
誰もが一度は耳にしたことがあるであろう「ハッキング」という言葉は、具体的にどのような意味なのでしょうか。まずはハッキングの概要から紹介します。
他者のコンピュータに悪意のある攻撃を行うこと
元々、ハッキングという言葉は、コンピュータに関して豊富な知識をもつ者が、プログラムやシステムの解析・改変・検証などを行うことをいいます。
しかし最近では、「コンピュータシステムやネットワークの脆弱性を狙って、悪意のある乗っ取りや破壊行為などの攻撃を行うこと」を指す言葉として使われています。元々は「クラッキング」という別の呼称があるのですが、現在ハッキングと呼ばれるものは、悪意あるサイバー攻撃の一種と捉えてよいでしょう。
ハッキングによりもたらされる主な被害
悪意のある第三者(ハッカー)により、コンピュータやサーバーがハッキングされると、さまざまな被害がもたらされます。主な被害は以下のようなものです。
- 個人情報を盗む
- 盗んだ個人情報を販売する
- 被害者になりすまして買い物をする
- 被害者の名前でキャッシングを利用する
- 重要なファイルを公開・削除・破壊する
- 個人情報を公開、もしくは公開すると脅す
- Webサイトを改ざんする
- サーバーを停止する etc…
なぜハッカーはハッキングするのか
ハッキングはさまざまな被害をもたらしますが、その動機はさまざまです。ここでは、ハッカーがハッキングを行う動機を紹介します。
金銭
ハッキングの目的としてもっとも多いのは金銭的な利益を得ることです。
ハッカーは被害者の銀行口座やクレジットカードなどのパスワードを盗んで情報にアクセスし、獲得した情報を人質にとって被害者に金銭を要求するか、ダークウェブでそれらのデータを売って金銭を得ます。
企業スパイ
競合他社から機密情報を盗むことが目的の場合もあります。企業の機密データや知的財産にアクセスして、ライバル企業に対して競争優位を獲得することを目的とします。
政治スパイ
政治スパイとは、主に国家が政治的な目的のためにハッキングを行うことです。この場合、他国の機密データを盗む、政治に介入する、政府や軍の文書にアクセスする、政情不安の誘発を試みるといった活動が行われます。
ハクティビズム(政治的ハッカー活動)
ハクティビズムとは、自らの社会的・政治的な主張のためにハッキングを行うことを指します。敵と見なした国家や企業のWebサイトなどをハッキングしてダウンさせたり、内容を改ざんして自らの声明を掲載したりします。
復讐
怒りや恨みがハッキングの動機となることもあります。なんらかの形で彼らを不当に扱った組織や個人に対しての復讐が目的で、金銭的な利益は度外視されることが多いでしょう。
能力の誇示
ハッカーが自らの力を示すためにハッキングすることもあります。なぜなら、ハッカーにとって、システムの破壊こそが偉業の達成となるからです。ハッカー間の競争は激しく、互いに挑戦しあい、評価を得ようとします。
代表的なハッキングの手法
では、ハッキングはどのように行われるのでしょうか?ハッカーはさまざまな手法を駆使して目的を達成します。よく使われる手法は以下のようなものです。
ソーシャルエンジニアリング(ソーシャルハッキング)
ソーシャルエンジニアリング(ソーシャルハッキング)とは、コンピュータを遠隔でハッキングするなどの技術的な方法を使わずに、ユーザーIDやパスワードを盗み出す方法のことです。
代表的な例として挙げられるのは、ハッカーが何者かになりすましてIDやパスワードを聞き出す方法で、その手段として、電話やメールによるフィッシング詐欺などがあります。ほかに、ゴミの中から情報を盗んだり、画面やキーボードの操作を盗み見たりする方法もあります。
総当たり攻撃・辞書攻撃
総当たり攻撃(ブルートフォースアタック)とは、IDやパスワードを割り出すために、考え得るすべてのパターンを推測してアクセスを試みるハッキングの方法です。
例えば、4桁の数字であれば1万通りすべてをコンピュータで自動化して攻撃を行います。近年、アルファベットの大文字と小文字、数字や記号などを組み合わせたパスワードを推奨するサービス事業者が増えているのは、総当たり攻撃からアカウントを守るためです。
また、一般的なユーザーが意味のある単語を組み合わせてパスワードをつくりがちなことを逆手に取り、辞書や名簿などの単語をリスト化し、順番に照合する攻撃もあります。これは辞書攻撃と呼ばれます。パスワードにランダムな文字列が推奨されるのはこのためです。
デバイスのマルウェア感染
ハッカーがユーザーのデバイスに侵入し、トロイの木馬やスパムウェアなどの「マルウェア」をインストールします。これらは、メールに添付されたファイルや、スマートフォンアプリなどを装って、気づかないうちにデバイスの内部に侵入します。
トロイの木馬が侵入すると、ハッカーが侵入するためのバックドアがつくられ、外部からデバイスを操ることができるようになります。スパイウェアが侵入すると、キーボード操作を監視して、パスワードなどを盗むキーロガーなどの仕組みでユーザーの個人情報やアクセス履歴が収集されます。
コンピュータの乗っ取り(ゾンビコンピュータ)
ハッキングによって、ハッカーに乗っ取られたコンピュータを「ゾンビコンピュータ」といいます。スパムメールや偽物のWebサイトなどを経路として「ボット」と呼ばれるプログラムが仕込まれ、利用者が知らないうちに遠隔操作できる状態となってしまいます。
ゾンビコンピュータになってしまうと、コンピュータを他者への攻撃に利用されてしまい、あなたが知らないうちに、サーバーに攻撃を行ってサービスをダウンさせる「DDoS攻撃」や、大量のスパムメールの送信などの犯罪に加担してしまうことがあります。
ゼロデイ攻撃
OSなどのコンピュータプログラムの脆弱性が見つかると、脆弱性を改善するための修正プログラムがリリースされます。「ゼロデイ攻撃」は、この修正プログラムがコンピュータにインストールされるまでの間を狙って行われるハッキングです。
ゼロデイ攻撃は、脆弱性の情報が一般に公開され、修正プログラムが公開されたその日に急増します。これは、多くの人が修正プログラムをコンピュータにインストールする前が攻撃のチャンスだからです。
具体的な被害の例として、企業の社内システムや、ネットワーク機器への不正アクセスなどがあります。修正プログラムをすぐにインストールしない個人や組織は少なくないため、大きな脅威となっています。
SQLインジェクション
SQLインジェクションは、データベースと連携したウェブアプリケーションに対し、不正なSQL文を注入(インジェクション)することで、ウェブアプリケーションを不正に操作するハッキングです。
一般的に、ユーザーIDやパスワードを入力するフォームに不正なSQL文を注入する方法で行われます。それにより、データベースに保存されている会員の個人情報や決済情報が表示されてしまうケースがあります。
SQLインジェクションは、ECサイトなど多くの顧客情報を抱える企業などを狙って行われます。顧客情報の流出は信用の低下に繋がるため恐れられており、今まで多くの実害が発生しています。
ハッキングへの有効な対策とは
優れたサイバーセキュリティ衛生を実践することで、ハッカーから身を守ることができます。ここでは、覚えておくと役に立つハッキング対策のヒントをいくつかご紹介します。
疑わしいメールやWebサイトを開かない
ハッキングは、多くの場合フィッシングメールやテキストメッセージから始まります。見覚えのないアドレスから届いたメールに記載されたリンクや、添付されたファイルは開くべきではありません。不審なメッセージには触れずに、スパムが疑われるメッセージは削除し、メールプロバイダーに報告しましょう。
また、ソフトウェアをダウンロードするのは、最新のセキュリティ証明書を利用している、信頼できるサイトからのみにしましょう。無料ソフトウェアやファイル共有アプリケーションは、慎重に評価してからダウンロードすべきです。
公衆Wi-Fiで重要な情報にアクセスしない
カフェやホテル、公共施設などの、誰もがアクセスできる公衆Wi-Fiを使用してインターネットに接続しているときは、セキュリティを直接コントロールすることができません。そのため、公衆Wi-Fiを利用しているときに、オンラインバンキングやオンラインショッピングなどにアクセスすることは避けましょう。
どうしても実行する必要がある場合は、仮想プライベートネットワーク(VPN)を使用することをおすすめします。VPNにより通信が暗号化され、データを保護できます。
強力なパスワードを設定し、多要素認証を使用する
強力なパスワードを設定することが、総当たり攻撃に対する有効な対策になります。強力なパスワードは12文字以上で、大文字と小文字のアルファベット、数字や記号を混用したものです。辞書攻撃を防ぐため、パスワードはフレーズを含まず、ランダムな文字列が理想的です。
複雑なパスワードを覚えておくことが難しければ、パスワードマネージャーを利用しましょう。パスワードマネージャーは大量の複雑なパスワード(とID)をすべて記憶してくれます。また、強力なパスワードを生成することも可能です。ユーザーは強力なマスターパスワードを1つ覚えておけばよいため効率的です。
そして、多要素認証(2要素認証)も忘れずに利用しましょう。多要素認証を利用すると、IDとパスワードが照合しても、登録した電話番号へのSMSやメールで受信したコードがないとアカウントにアクセスできなくなるため、不正アクセスを受ける可能性が大幅に減ります。
ソフトウェアを常に最新の状態にしておく
コンピュータやスマートフォンのOSやソフトウェアは、定期的、もしくは必要に応じてアップデートプログラムが配信されます。このアップデートプログラムには、ハッカーに悪用される可能性が高いセキュリティ上の脆弱性を修正するためのプログラムが含まれることがよくあります。
そのため、OSやソフトウェアの更新は常に行い、最新の状態にしておくことがセキュリティを高めることに繋がります。特にゼロデイ攻撃は、修正プログラムがリリースした直後に急激に増え、修正プログラムをなかなかインストールしないコンピュータがターゲットとなるため、ソフトウェアを速やかに最新の状態にすれば被害に遭わずに済みます。
デバイスを安全に管理し、セキュリティソフトを利用する
コンピュータは、安全なパスワードや指紋認証、顔認証などを使って、安全に管理しましょう。また、スマートフォンを紛失したときのために、iPhoneを探す(Apple)をインストールするか、デバイスを探す(Android)を設定しておくことをおすすめします。
また、コンピュータに、トロイの木馬やスパイウェアなどのマルウェアが侵入したことを知り、それらを駆除するためには、信頼できるセキュリティソフトを利用しましょう。優れたセキュリティソフトは、24時間体制でデバイスとデータを保護し、ウイルス、マルウェア、ランサムウェア、スパイアプリなどの脅威をブロックします。
まとめ
ハッキングをされると、多大な被害を受けます。金銭のトラブルはもちろん、乗っ取られたコンピュータを通して知人に被害が及ぶこともあります。
こうした被害に遭わないようにするには、ハッキングされるきっかけを知ることが大切です。まずは、公衆Wi-Fiを利用して重要なデータにアクセスしないことや、見覚えのない差出人からのメールを不用意に開かないことを徹底しましょう。
そして、「カスペルスキー パスワードマネージャー」などを用いて強力なパスワードを設定・管理することや、「カスペルスキー セキュリティ」などの信頼のおけるセキュリティソフトを使用することを徹底することが非常に重要です。
