ハッキングとは？手口と対策

サイバーセキュリティの世界で最もよく知られた用語の一つ、「ハッキング」は、認可されていないアクセスでコンピュータシステムやプライベートネットワークを悪用する行為を指します。ハッキングという概念は一般的に「ハッカー」によって特徴づけられます。ハッカーは、コンピュータシステムや情報技術に熟練した個人で、非標準的でしばしば悪意のある技術を用いてシステム内のセキュリティ障壁を乗り越えるために技術的な知識を応用します。

ハッキング、または多くのハッカーによる行動は、一般にサイバー攻撃やその他の有害な、または脅威的な行為と同義とされています。しかし、「ハッカー」と「攻撃者」という用語は必ずしも同じ意味ではなく、ハッキングのいくつかの形態は倫理的で研究としての意図を持つことがあります。それでも、ハッキングの脅威は、特にサイバー犯罪防止やデータ侵害の保護と関連して、どの文脈でも見過ごされるべきではない重大な問題です。

ハッキングは、組織のコンピュータシステムやネットワークの脆弱性を悪用し、デジタル資産に対する不正アクセスまたは制御を得る行為として広く定義されています。これらの活動には、コンピュータシステムやネットワークの弱点を特定し、悪意のある意図または自己動機によって情報をさらに探索し、操作することが含まれます。

多くの場合、ハッキングには技術的知識、問題解決スキル、創造性、そして粘り強さの組み合わせが必要です。これらをすべて駆使してセキュリティ対策を回避し、プライベート情報や保護されたデータベースにアクセスします。一部の「ホワイトハット」ハッキングは倫理的に行われ、セキュリティ向上のために実施されることがありますが、最も一般的なハッキングの目的は、機密データの盗取、システムの妨害、またはウイルスやマルウェアの拡散です。

「ハッカー」という用語は伝統的に、個人的な金銭的利益、情報収集、抗議や主張を行うこと、または単にハッキングできるからという動機で行動する人々を指す言葉でした。しかし、現在ではしばしば誤って、純粋に悪意のある目的でこれらの脆弱性を悪用するサイバー攻撃者を指すのに使われることがあります。

攻撃者は金銭的な利益やスパイ活動を目的として、ネットワークやコンピュータに不正アクセスを試みることが多くあります。しかし、攻撃者とその後のサイバー脅威に対抗するために、組織は倫理的なハッカーと協力して脆弱性を特定し対処し、より困難な標的となるよう努めることができます。

何世紀にもわたり、「ハッキング」という用語は元々、不完全な方法で粗く切るまたは切り刻む過程を指す言葉でした。しかし、1955年になって初めて「ハッキング」という言葉が技術に関連して使用されました。これはテック鉄道模型クラブの会合で、クラブメンバーが彼らの電車のセットの機能を改造したことを説明するために用いられました。

1960年代と1970年代には、この用語の使用がより計算機関連の文脈に進化しました。そして1975年までには、より公式なハッキングの定義がコンピュータプログラマーによって使われる用語の辞書である「ジャーゴンファイル」に採用されました。ハッカーは「悪意を持ち、周囲を探ることで機密情報を発見しようと試みる者。例えばパスワードハッカー、ネットワークハッカー」と定義されています。

この頃には、「ハッカー」という言葉はサイバー犯罪と結びつけられ、しばしば「セキュリティハッカー」と表現されました。1980年代後半になって初めて、インターネットハッカーであるロバート・モリスがコードの欠陥による史上初の「サービス拒否」攻撃を実施しました。これは1986年のモリスワームとして知られ、セキュリティの脆弱性を指摘することを目的としていましたが、誤って数日間にわたる広範囲な損害を引き起こしました。

この技術進歩の時代に、一連の壊滅的なハッキング事件が注目を集め、これらの脅威の深刻さが浮き彫りになりました。その結果、史上初のサイバー犯罪法が制定されました。コンピュータシステムと技術が急速に進歩するにつれて、ハッキングはより洗練され、サイバー攻撃者はデータの窃盗、詐欺の実行、その他の違法活動に従事するために技術を洗練させていきました。

今日、コンピュータとネットワークのハックには多くの形態があり、洗練されたSQLインジェクション攻撃からより伝統的なサービス拒否攻撃に至るまで様々です。これらのハッキング技術の多くは一般的なサイバー攻撃の形態に重なりますが、サイバーハッキングの代表的な手口には次のものが含まれます。

マルウェア攻撃

悪意のあるソフトウェア、別名マルウェアは、ユーザーの知識や同意なしにシステムに感染し、拡散します。これによりファイルが損傷したり、データが盗まれたり、不正アクセスが行われたりすることがあります。

ランサムウェア攻撃

ランサムウェアは、被害者のデータを暗号化した後、ファイルやシステムへのアクセスを効果的に解放し復旧させるための身代金を要求する、マルウェアの高度な形態です。

フィッシング攻撃

フィッシングは、メール、電話、またはウェブサイトを通じて正当または信頼できる存在を装い、機密情報（パスワード、ログイン情報、または金融データなど）を取得しようとする詐欺的な試みです。

ブルートフォース攻撃

ブルートフォース攻撃は、脅威アクターがパスワードや暗号化キーを解読するために使用するトライアンドエラーの方法です。システム的にすべての可能な組み合わせを試して、正しいものを見つけるまで続けます。時間がかかることがありますが、弱いまたは単純なパスワードに対してはしばしば効果的です。

中間者攻撃

データ盗聴とも呼ばれる中間者攻撃は、二者間の通信を傍受し変更することで、機密データや秘密情報を盗んだり、有害な行動を実行したりします。

SQLインジェクション攻撃

SQLデータベースを使用するウェブアプリケーションの脆弱性を悪用し、SQL文に悪意のあるコードを挿入することでデータを盗んだり操作したりします。

DDoS攻撃

DDoS攻撃は、ターゲットのシステムやネットワークに大量のトラフィックやリクエストを送り込むことで、サービスの中断や停止を引き起こすことを目的としています。

ゼロデイ攻撃

ベンダーやユーザーに未知のソフトウェアアプリケーションやコンピュータシステムの脆弱性を悪用して、不正アクセスを得たり、損害を与えたりします。

クロスサイトスクリプティング攻撃

クロスサイトスクリプティング攻撃は、ウェブアプリの弱点を悪用して、ユーザーが閲覧するウェブページに悪意のあるスクリプトを注入し、データを盗んだり、不正な行動を実行したりします。

セッションハイジャック

中間者攻撃と同様に、セッションハイジャックはアクティブなセッショントークンやクッキーを盗み、ユーザーのアカウントやコンピュータシステムへの不正アクセスを試みる行為です。

クレデンシャルスタッフィング攻撃

盗まれたり漏洩したりしたログイン情報（通常、フィッシング、パスワード攻撃、または物理的な手段を通じて入手される）を使用して、他のアカウントやシステムへの不正アクセスを試みます。

DNSトンネリング

ドメインネットワークシステム（DNS）プロトコルを使用してセキュリティ対策を回避し、対象ネットワークからデータを持ち出します。

多くの異なるデバイスがサイバーハッカーの脅威にさらされていますが、最も一般的な脆弱なデバイスには以下が含まれます。

• コンピュータ - ノートパソコンやPCなどの一般的なコンピュータシステムは、財務データ、ログイン情報、個人文書など、大量の個人情報や機密情報を含んでいるため、ハッカーの主要な標的となります。商業レベルや企業レベルでのサイバー攻撃の主要な対象となります。
• モバイルデバイス - スマートフォンやタブレットなどのモバイルデバイスも、個人の写真、メッセージ、メールなどの機密情報を多く保存しているため、ハッキングのリスクがあります。公共のWi-Fiや共有ネットワークを使用する際、特にハッカーの攻撃を受けやすくなります。
• IoTデバイス - スマートホーム機器、セキュリティカメラ、医療機器などのIoTデバイスは、ハッカーにとって一般的な標的です。これらのデバイスはしばしばセキュリティが甘く、個人情報へのアクセスやデバイスのリモート制御を目的としてハッキングされることが多いです。
• ネットワークルーター - Wi-Fi信号を配布するネットワークルーターもしばしばハッカーの標的となります。ハッキングされたルーターは、デバイス全体のネットワークへのアクセスを可能にし、機密データや価値のあるデジタル資産へのアクセスをハッカーに許します。
• ATM - 銀行のATMも、しばしば古いソフトウェアを使用していたり、保護されていないネットワークに接続されているため、金銭的な動機を持つハッカーによる攻撃の対象となりやすいです。カードリーダー技術の欠陥も、サイバーハッキングの手段として利用されることがあります。

サイバーハッカーによって攻撃される可能性があるが、しばしば見過ごされがちなデバイスには、インターネット接続のセキュリティカメラやIPカメラ、スマートテレビやスマート家電、さらにはベビーモニターなどが含まれます。インターネットに接続されたどんなデバイスもハッキングの危険性があると認識することが重要であり、可能な限りの手段を講じて技術を保護することが重要です。

ハッカーは個人、ビジネス、さらには国全体、地域、自治体に対して重大な影響や結果をもたらすことがあります。以下が、大規模なハッキングのもっとも一般的な被害です。

• 経済的損失 - 銀行口座に侵入するハッカーは、お金を盗んだり詐欺を行ったりして、個人や企業に大きな財務的損失をもたらすことがあります。ハッカーがコンピュータシステムに与える損害により、高額な修理費用が発生することもあります。
• 個人情報窃盗 - ハッカーは、誕生日、社会保障番号、住所、クレジットカード番号などの機密個人情報をハイジャックし、個人情報窃盗というカテゴリーに属する様々なサイバー犯罪を悪意を持って行うことが知られています。
• データ侵害 - データ侵害は、特にデータが悪意のある第三者に漏洩した場合、ハッキングの中で最も有害な形態の一つです。これらの攻撃により、ハッカーは財務記録、医療記録、知的財産などの機密または機密性の高いデータに不正アクセスすることができます。
• サービスの中断 - ハッキングされたコンピュータやネットワークでは、ウェブサイト、コンピュータシステム、またはネットワーク全体の通常の機能が直ちに中断されることがあります。これにより標準的な運用が中断されるだけでなく、重要なインフラが損傷することがあります。
• サイバー スパイ活動 - ハッカーは、政治的利益や外交問題に競争優位を持たせるため、または国家の安全を危険にさらすことで、政府のデータや機密情報、機密の商業秘密などの貴重な情報を盗むことがあります。
• マルウェアの拡散 - ウイルスやランサムウェアなどのマルウェアを作成し配布することは、ハッカーがコンピュータシステムに感染させて損害を与えたり、データを盗んだり、組織や個人から身代金を要求する一般的な方法です。

ハッキングの被害は、些細な不便から大規模な障害に至るまで様々です。そのため、個人や組織はハッキングの被害を防ぎ、軽減するための措置を講じる必要があります。

ハッキング事件の件数は年間で数万件に達しますが、歴史上で最も被害が大きく影響力のあった画期的なハッキングの事例を紹介します。

PlayStation Network個人情報流出事件

2011年、ソニーのPlayStationゲームネットワークがハッキングされ、7700万件のアカウントに影響を及ぼし、ゲームシステムのネットワークが約1ヶ月間停止するという壮大な事件が発生しました。データ侵害の責任者は特定されませんでしたが、ソニーはこの事件による財務的損失を1億7100万ドルと見積もりました。

NASAと国防総省にハッキング

1999年には、ある10代の少年がNASAのコンピュータネットワークおよび国防総省（DoD）に侵入しました。このハッカーは、NASAから170万ドルの価値があるソフトウェアをダウンロードしました。この歴史的なハッキングは、アメリカの二大政府機関に対して行われましたが、全体的な損害は少なかったものの、ティーンエイジャーの行動によりNASAのネットワークは3週間停止しました。

Yahooデータ侵害

2013年には、Yahooが二度のハッキング事件に遭遇し、史上最大のデータ侵害の一つとなり、30億以上のユーザーアカウントに影響を与えました。この侵害は、ハッカー雇用計画を通じて募集された4人のロシア人エージェントによって実行されました。何十億ものアカウントが影響を受けましたが、最も大きな懸念は、アメリカの高官の情報を狙った攻撃が、潜在的なサイバー スパイ活動への扉を開く可能性があったことでした。

個人や組織がハッカーからデジタル資産を効果的に保護する方法は多数あります。個人が自身のコンピュータやデバイスをハッキングから守るためには、いくつかのサイバーセキュリティのベストプラクティスを採用できます。

• 強くて複雑なパスワードを維持する - カリフォルニア大学サンタバーバラ校の情報技術部によると、パスワードは長ければ長いほど良いです。可能な限り、少なくとも16文字を使用してください。
• 多要素認証を設定する - 強力なパスワードに加えて、二要素認証または多要素認証を使用したセキュリティ保護層を追加します。
• アンチウイルスとアンチマルウェアソフトウェアをインストールする - ウイルスとマルウェアを検出し除去するソフトウェアプログラムは、コンピュータシステムを保護し、データの安全を確保する上で不可欠です。
• 怪しいメールに注意する - 認識しないメールの怪しいリンクをクリックしたり、添付ファイルを開いたりするのは避けてください。
• オンラインでの足跡を最小限に抑える - 常に適用可能なわけではありませんが、オンライン上の自分に関する情報の量を減らすことで、ハッカーの標的になりにくくなります。
• 個人データや財務データへのアクセスには公共のWi-Fiネットワークの使用を避ける - 銀行口座、オンラインウォレット、金融取引が行われる取引アカウントなど、機密性の高い個人アカウントにアクセスする際には、公共のWi-Fiを使用しないでください。
• コンピュータをバックアップする - データをバックアップすることは、ハッカーによる攻撃が成功した場合に迅速に回復するために重要です。
• デバイスを適切に処分する - 古いコンピュータやデバイスを適切に処分します。個人情報やログイン情報が含まれていた可能性があるものを処分する際は注意してください。

企業、機関、政府機関においては、ハッキングを効果的に防ぐために、追加のサイバーセキュリティプロトコルを活用するべきです。

• ファイアウォールの保護を使用する - ファイアウォールは企業にとって基本的なサイバーセキュリティ対策です。これは、ネットワークへの不正アクセスを防ぎ、侵入の試みがあった際にチームに警告する第一線の防御です。
• 暗号化を活用する - ハッカーが組織のネットワークにアクセスに成功したとしても、暗号化はデータの侵害やアクセスを効果的に防ぐことができます。
• 専門の内部脅威担当を確立する - 大規模な組織では、内部脅威は重要な懸念事項です。専門のインサイダー脅威担当を設けることで、内部脅威が発生した際に迅速に特定、調査、対応を行うためのチームを統一するのに役立ちます。
• フィッシングシミュレーションを実施する - フィッシングシミュレーションに投資することで、チームは従業員を効果的にテストし、フィッシング攻撃がどのように発生するかを理解する手助けをすることができます。これらのシミュレーションは通常、より包括的なサイバーセキュリティ意識向上トレーニングプログラムの一部になっています。
• リモート従業員にサイバーセキュリティポリシーを教育する - リモートおよびハイブリッドワークが新しい標準となっている今、リモート従業員もオフィスにいる従業員と同等のサイバーセキュリティプラクティスを理解し守る必要があります。
• 従業員のプライバシーを高い優先事項とする - 内部脅威の防止のために従業員から収集されたデータを匿名化し、組織のサイバーセキュリティ基準に関するポリシーとガイドラインを明確に伝えます。
• サイバーセキュリティ意識向上トレーニングプログラムを作成する - あらゆるタイプの組織にとって重要なサイバーセキュリティ意識向上トレーニングは、従業員に潜在的な脅威や攻撃を効果的に特定するための認識と理解を提供するのに役立ちます。
• ユーザーとファイル活動を監視する - 組織のネットワークに適切なユーザーおよびファイル活動監視ソリューションを実装することは、ハッカーの予防に最も効果的な方法の一つです。

企業や組織向けの「サイバーセキュリティのベストプラクティス」もご参考にご覧ください。

Proofpointは、組織がコンピュータやネットワークをハッカーからより良く保護するためのツールと専門知識を提供しています。ハッキングやサイバー攻撃の脅威には技術的な解決策と人材教育の両方が関与しているため、Proofpointは適切なサイバーセキュリティ対策を実施すると同時に、脅威の回避と軽減のベストプラクティスについてチームを教育するトレーニングプログラムを展開することで、組織を初めから最後まで支援します。