近年のサイバー攻撃は、従来と比べて手口の多様化や巧妙化により、人々の生活を脅かすものへと進化しています。
キャッシュレス化やスマートフォンを持つ人の低年齢化などにより、これからも被害は大きくなっていくと予想できる中、見えない敵であるハッキングやハッカーを知ることは重要です。
ここではハッキングの目的やハッカーの心理を対処法と合わせて紹介します。
そもそもハッキングとは?
ハッキングとは、元々コンピュータに関して高い知識や技術を持つ者がハードウェアやソフトウェアを解析し、より良く改変させるための行為を指していました。hackは"テクニック"や"小技"の意味を持ち、現在のように悪い意味として使われるものではありませんでした。
しかし、サイバー攻撃者が自身のことを「ハッキングしてソフトの中身を変えるほどの高い技術を持っている者(=ハッカー)」と名乗ったことで、ハッキングという言葉が「悪意の持った者」として悪い意味で使われるようになりました。
ハッキングとクラッキングの違い
ハッキングと同じ状況で使われる言葉として、クラッキングがあります。
クラッキングとは、悪意のある者がコンピュータシステムへ不正に侵入し、改悪をおこなう行為です。crackは、"割れ目"や"裂け目"を意味します。近年では、侵入したコンピュータに対し悪意を持って破壊行為をおこなう攻撃を"クラッキング”とし、「ハッキング」と「クラッキング」を区別する見方もあります。
本来、ハッカーは「高い技術を持つ者」、クラッカーは「高い技術を悪用して攻撃する者」と認識されなければいけませんが、既に定着したイメージから、ハッキング=コンピュータに忍び込んで悪さをする者、といった解釈が広がっている場合が多いでしょう。
参考記事:サイバー攻撃の目的とは何?どんな攻撃の種類があるのか
参考記事:標的型攻撃メールとは?巧妙化する手口と対策をわかりやすく解説
ハッカーはどんな一日を過ごしているのか?
ハッキングを深く理解するためには、ハッカーの心理や考え方を知ることが必要です。
今までハッカー側の目線で考えたことがない人も、ハッカーの一日を想像し、どのような目的を持ってサイバー攻撃を行っているのか?を理解することで、攻撃の傾向分析や対処方法の検討に役立ちます。
実は、多くのハッキング例を振り返ると、ハッカーが行動を起こす日の多くが祝日です。祝日を狙う理由は、攻撃対象の企業が被害に気づくまで日数が空きやすいためです。祝日にハッキングを行うことで、次に出社するまでの期間が長くなるため、被害に気づきにくくなります。たとえばマルウェア感染の場合、ハッカー目線に立つと、その間に情報の抽出や感染デバイスの拡大が期待できます。
下記の資料では、上記のようにハッカー目線に立ちつつ、ハッカーの攻撃傾向に迫っています。攻撃傾向がわかれば、対策を検討しやすくなります。ぜひダウンロードしてみてください。
資料:【ホワイトペーパー】もしもハッカーの攻撃日誌が読めたら
ハッカーは何が目的でどのような心理なのか?
ハッカーは世界中の多くに存在しており、目的も以下のようにさまざまです。
- 情報売買による利益目的
- 身代金要求などの金銭要求目的
- 特定組織の妨害・イメージダウン
- 国家主導型による特定目的の達成
- 知的好奇心による自己満足
順番に見ていきましょう。
情報売買による利益目的
ハッカーの目的のひとつに、情報売買による利益があります。ハッキングして奪った情報を第三者に売ることで得られる利益が目的のケースです。
現在の名前や住所、電話番号などの個人情報は、昔と比較できないほど価値が高まっています。実際の情報の取引価格は、ハッカーと「盗んだ情報を買う第三者」の間のみ知りえる情報であるため、明確にはわかりません。
しかし、捕まったハッカーが企業に対し支払う慰謝料は、1件あたり5千万から数千万円になる場合もあり、決して安価ではないことが推測されます。
そのような「情報売買による利益を目的としたハッキング」のターゲットとなる企業は、侵入すれば一度に多くの情報を得られるECサイトや、大企業のWebサイトです。
上記の条件に沿うサイトを自動で巡回し、セキュリティが甘いサイトがあれば、ハッカーの標的となる可能性は高いでしょう。
身代金要求などの金銭要求目的(ランサムウェア)
情報売買で利益以外にも、侵入したPCやタブレットを通して端末所有者に身代金などを要求する目的のハッカーも、数多く存在します。このような「身代金を要求するサイバー攻撃」はランサムウェアと呼ばれます。
ランサムウェアは、侵入後に所有者の端末をロックし、特定の機能以外は操作できない状態にします。
その後、ロックの解除を引き換えに、金銭の支払いを要求する警告文を画面に表示し、所有者の反応を待ちます。特に期限付きの警告文が現れると所有者は驚き焦るため、支払いをしてしまう場合もあるでしょう。
要求した身代金を確認後、ロックが解除される場合もありますが、さらなる搾取を目的に解除されない場合もあります。いずれにせよ、ランサムウェアが悪質なサイバー攻撃であることに変わりはありません。
特定組織の妨害・イメージダウン
金銭を目的とせず、特定組織の妨害やイメージダウンを狙ったケースもあります。妨害やイメージダウンを目的とする主な理由として、特定のサイトや運営する企業への恨みが挙げられます。
ハッカーはハッキングに成功した後、ターゲットとしたサイトを機能不全に陥らせるために、サイト情報の改ざんやDos攻撃・DDos攻撃、スパムサイトへの誘導を行います。
上記の攻撃を行うことで、Webサイトは一時的に閲覧できない状態となります。たとえば商品を売っているサイトの場合、閲覧できない期間に商品を売ることができず、売上の低下につながるでしょう。また、世間にはセキュリティの甘い企業として認識され、イメージダウンしてしまうことも免れません。
事後には、どのような経緯でサイバー攻撃の被害につながったのか等、事実調査も必要となります。併せて情報を取り扱うサイトでは、情報流出の形跡を調べ、公表する必要もあります。
いつ・どのような理由から恨みを持ったハッカーが生まれるのか、攻撃を仕掛けるハッカーはいつ・どこにいるのか等を推測することは難しいため、サイトを運営する企業・団体は常に強固なセキュリティを構築しておくことが重要です。
国家主導型による特定目的の達成
個人的な恨みや金銭を目的としたものではなく、ハッカーの高い技術力を買われて企業や国家、団体などから依頼を受け、敵対する者に攻撃を仕掛ける場合もあります。
その依頼内容は、個人的な目的のケースとは比べものにならず、絶対に流出してはいけない企業秘密や、政治家であれば政治生命にも関わるような重要情報である場合も多いでしょう。
ただし、依頼されたハッカーがどんなに優秀でも、厳重に張り巡らされたセキュリティを突破するのは困難です。そのため、PCのハッキングなどの直接的な攻撃ではなく、オフライン上でおこなうソーシャルエンジニアリングという方法も用いられます。
ソーシャルエンジニアリングの具体的な方法としては、
- PCを後ろから盗み見る
- ゴミ箱の中から情報が書いてあるメモを拾う
- 取引先を装ってターゲット企業に問い合わせをおこなう
などが挙げられます。
セキュリティの突破方法はWeb上に限らず無数に存在するため、自身の務める組織や企業だけでなく、コンプライアンスの徹底や取引先と秘密保持契約を締結することも有効です。
知的好奇心による自己満足
ハッカーの中には、ただターゲットとなった企業に侵入することだけを目的とする者もいます。
ハッキングによって何かを得たいわけではなく、自分の技術がどこまで強固なセキュリティに立ち向かえるか、知的好奇心を目指すゲームを楽しんでいるケースです。
この場合、セキュリティを突破してターゲットのPCに侵入後、「侵入成功!」といったメッセージを表示するだけのケースもあります。
そのため、どんなに強固なセキュリティ対策をしていたとしても、ゲーム感覚でハッキングを楽しむ攻撃者にとっては「やりがいのあるステージが現れた」に過ぎず、何度でも立ち向かってくるでしょう。
対策が破られた企業はまた新たな対策を考える必要があります。情報を盗まれていなかったとしてもイメージダウンは避けられず、被害を被ることに変わりはありません。
ハッキングの対処方法
ハッキングの対処方法として考えられるものは、以下のとおりです。
- OS・ソフトウェアなどは常に最新の状態にする
- 定期的にWebサイトの脆弱性を診断する
- 複数の認証機能を利用する
- エンドポイントのセキュリティソフトを導入する
- 外部への不正なネットワーク通信や接続を検出する
- 従業員のセキュリティ教育を徹底する
順番に見ていきましょう。
OS・ソフトウェアなどは常に最新の状態にしておく
ハッキングへの対処方法として、使用するOSやソフトウェアなどは常に最新の状態を保っておくことが必要です。
アップデートを頻繁におこなうことに抵抗を感じる人も少なくありませんが、アップデートは日々進化するサイバー攻撃に対する脆弱性を補うものです。セキュリティパッチが配布されたり更新のお知らせが来たら、間を空けずに常に最新の状態としておくことで、未知の脅威に対処できるでしょう。
参考記事:サイバー攻撃への対策で中小企業が行うべきこととは?事例と対策方法を解説
定期的にWebサイトの脆弱性を診断する
脆弱性診断ツールなどを利用して、定期的にWebサイトの脆弱性を診断するのもよいでしょう。
常にOSは最新だから、大企業ではないから、自社のサイト内容では攻撃者のターゲットとはならないから、といった理由で脆弱性を定期的に確認しない企業は意外と多いです。
ハッカーは前述のようにさまざまな目的をもって攻撃を仕掛けてきます。どのようなサイトであってもWebサイトの脆弱性を定期的に診断することが必要です。
複数の認証機能を利用する
複数の認証機能を利用して、ログインに必要な情報を複雑にすることで不正アクセスへの対策がおこなえます。
特に指紋や顔認証など、個人でしか持ち得ない情報を認証に加えることで、セキュリティはより強固なものとなるでしょう。
エンドポイントのセキュリティソフトを導入する
エンドポイントのセキュリティソフトの導入も大切です。
現代では働き方改革やテレワークの推進により、社内だけではなく自宅や出張先でも業務遂行が可能となりました。
エンドポイントであるスマートフォンやタブレット端末で仕事をする場合も多いため、使用しているエンドポイントに合ったセキュリティソフトを導入し、社外で仕事をする場合でも安心して作業できるようにしましょう。
外部への不正なネットワーク通信・接続の検出
ログ管理をおこなうことで、外部への不正なネットワーク通信や接続の検出ができます。
早めに不正な通信や接続を発見することで、情報の集約や持ち出しを防げるでしょう。
ただし、ソフトウェアのクラウド化が進む中、外部からの脅威への対策だけをおこなっていればいいというわけではありません。
これからは社内のPCであれば安全で、外からの通信は信用ならないといった境界防御の考え方は捨て、守るべき情報にアクセスするものは、社内でも社外でも信用しないゼロトラストセキュリティの考え方を念頭におくことを忘れないようにしてください。
従業員のセキュリティ教育の徹底
どんなに社内PCやエンドポイントにウイルス対策ソフトを入れ対策しても、従業員のセキュリティ教育が徹底されていなければ、ソーシャルエンジニアリングなどの手法によって情報が盗み取られるリスクを抱えたままです。
定期的に社内で勉強会を開き、セキュリティについての知識を広めましょう。
その際、事例として実際に被害に遭った企業の話を聞けば、たとえセキュリティに関する知識がない人でも認識が変わってくるでしょう。
インシデントが起きた際の備えをしておく
ハッカーのもたらす脅威への対策方法をお伝えしましたが、対策だけでなく実際にインシデントが起きた際の備えをしておくことも重要です。前述のようにさまざまな方法で、脅威はあなたのサイトへと侵入を試みます。
参考記事:インシデント対応とは?インシデント発生時の対応計画から対策の策定までを解説
実際にインシデントが発生してしまった場合、インシデントかどうかの判断、ウイルスの封じ込め、根絶、回復、見直しといった対応が必要です。
発生から見直し、回復までの流れをよりスムーズにおこなうため、まだなにも取り組んでいない企業は、早急にインシデント発生時の対応チームの編成や、連絡先の認知といった準備をおこなうといいでしょう。
対策だけではなく、実際にインシデントが起きた際にすぐに動けるように、日頃から対策を練る意識を持って過ごすこともセキュリティ対策の一環といえます。
(まとめ)様々なハッキングから守るためにセキュリティ対策を
ハッカーはただ金銭や情報の搾取が目的ではなく組織の妨害やイメージダウンを狙う、依頼された大企業への特定な目的を果たしたい、知的好奇心を満たすためなどさまざまです。
私達は多くの手法を繰り出すハッカーと常に対峙しなければなりません。ハッカーについての最新知識を増やし、対応力をつけることで万が一ハッキングされたとしても早急な復旧が望めます。
今回紹介した対処方法やインシデントが起きた場合に備えるなど、万全な準備をおこなっておきましょう。
[PR]提供:セキュアワークス
