2021年度における不正アクセス禁止法違反事件429件中の408件は、不正アクセス行為によるものです。また、408件中の398件は他人のID・パスワードを入力してログインし、不正利用した事件にあたります。
サイバー攻撃による被害を未然に防ぐには、通信システムを利用して活動するすべての企業はハッキングの標的にされうることを理解し、適切な対応を取ることが必要です。当記事では企業のセキュリティ対策を検討する上で欠かせない、ハッキングやサイバー攻撃の基礎知識を紹介します。
ハッキングとは、コンピュータの専門知識を持つ技術者がプログラムやシステムの安全性を検証・解析した上で改変する行為を指します。IT用語における「ハッカー」はもともと、ハッキングを行う技術者の呼び名です。しかし、一部のサイバー犯罪者が「ハッカー」を名乗ったことで、ネガティブなイメージが定着しました。
ホワイトハッカーは、パソコンやスマートフォンをネットワークに接続して仕事を行うすべての業種で活躍できます。日本政府・外国政府もホワイトハッカーの重要性に注目しており、コンピュータ社会において高い需要が見込まれる職業です。
ハッカーは目的の善悪により、ホワイトハッカー・ブラックハッカーの2種類に分けられます。2種類の違いは、下表の通りです。
ホワイトハッカー |
・善意によって、ハッキング技術を使用する人 ・ブラックハッカーの攻撃を防止したり、セキュリティ対策を行ったりすることが主な目的 |
ブラックハッカー |
・悪意によって、ハッキング技術を使用する人 ・情報売買などによって自分自身の利益につなげたり、知的好奇心を満たしたりすることが主な目的 |
ホワイトハッカーは、パソコンやスマートフォンをネットワークに接続して仕事を行うすべての業種で活躍できます。日本政府・外国政府もホワイトハッカーの重要性に注目しており、コンピュータ社会において高い需要が見込まれる職業です。
「ハッキング」や「サイバー攻撃」などの言葉は知っていても予測される被害の内容・攻撃者の手口が分からなければ、具体的な対策を取ることが困難です。
以下では、企業がサイバー攻撃を受けた場合に予測される被害の代表例とハッカーの主な手口を解説します。
ゼロデイ攻撃とは、OSやソフトウェアに関する脆弱性が公表されて、防衛策が確立される前の段階でサイバー攻撃を仕掛ける手口です。脆弱性とは、プログラムの不具合・設計ミスなどによって生じるセキュリティ上の欠陥を意味します。
以下は、ゼロデイ攻撃を受けた場合に予測される被害の例です。
・機密情報の漏洩 ・データの改ざん ・サーバーの停止 |
機密情報の漏洩は、企業のイメージダウンにつながる要因です。サーバーが停止するとWebサイトやWebアプリケーションを運営できなくなり、売上にも影響を及ぼすことがあります。
ショルダーハックとは、従業員の肩越しにID・パスワードなどを覗き見して、情報を盗み出す攻撃です。ハッカーは盗み出した情報をもとにWebアプリケーションなどにログインし、犯罪行為を行います。
ショルダーハッキングは従業員のセキュリティ意識を高めることで、ある程度の対策が可能です。被害を未然に防止するためには、社外の人が周囲にいる状態でID・パスワードなどを入力しない・席を離れる時には必ず画面をロックするなどのルールを教育しましょう。
水飲み場攻撃とは、攻撃対象となる企業などの人が頻繁に閲覧するWebサイトにマルウェア(不正プログラム)を仕込み、感染させる攻撃です。「水飲み場攻撃」の名称はオアシスに来る動物を待ち伏せし、攻撃を仕掛ける行為に由来します
マルウェアに感染した場合に予測される被害の例は、情報漏洩・端末の乗っ取りです。乗っ取られた端末は被害を拡大させるための拠点として、活用されることがあります。
多くの企業のWebサイトやECサイトでは、データベースと連携したWebアプリケーションを使用します。SQLインジェクションとはWebアプリケーションに不当なSQL文を注入し、データベースに保管されている情報の改ざん・消去・盗み出しを図る攻撃です。近年ではSQLインジェクションを利用した命令により、Webサイトが改ざんされる事例も目立ちます。
総当たり攻撃とは入力可能な数字・文字・記号の組み合わせを順番に試し、ID・パスワードの認証を突破する攻撃です。たとえば、数字4桁のパスワードに対しては「0000」から「9999」まで1万通りの組み合わせを順番に試して、認証を試みます。
ハッカーは数字・文字などの組み合わせを自動的に作成・認証するプログラムを利用して、総当たり攻撃を行うことが通常です。プログラムを利用すると容易にID・パスワードを割り出し、認証を成功させられます。
ハッキングの被害に遭うと消費者や取引先にも影響が及ぶ上、取引停止・損害賠償の支払いなどの経済的損失を被る可能性があります。ハッキングの被害を未然に防止するためには日頃からセキュリティ意識を高く持ち、十分な対策を実施しましょう。
以下では、企業が日頃から実践できるハッキングへの対策例を紹介します。
ハッキングの手口は日々巧妙化しており、次々に新しい種類の攻撃が行われます。情報システム担当者はセキュリティ関係のニュースを発信しているメディアを日々チェックし、ハッカーの動向を把握しましょう。
また、ハッキングの被害を防止するためには、使用しているOSやソフトウェアの脆弱性に関する情報を収集することも必要です。脆弱性に関連するアップデートが公表されている場合は速やかに更新して、最新版を使用しましょう。
セキュリティソフトとは、ハッカーなどの攻撃からコンピュータを保護するために活用するソフトウェアです。総合型セキュリティソフトを活用すれば、ハッカーに攻撃されにくい作業環境を効率的に整備できます。
セキュリティソフトに付属する機能の例は、以下の通りです。
・マルウェアの検出、駆除 ・個人情報の保護 ・悪意のあるWebサイトの検出、アクセス制限 ・ソフトウェアのアップデート状況管理 ・脆弱性の検知、通知 |
なお、実際に付属する機能・価格・サポート体制は、セキュリティソフトによって異なります。セキュリティソフトを導入する際には詳細を確認して、自社に合うものを選択しましょう。
SQLインジェクションを防止するためには、セキュアコーディングを採用する方法が挙げられます。セキュアコーディングとは開発ツールのガイドラインに従って信頼度の高いコーディングを行い、脆弱性の発生を回避することを指します。
既存のWebサイトのセキュリティ強化を図るためには脆弱性診断を受けて、セキュリティに関する問題点を洗い出す方法を検討しましょう。脆弱性診断によって発覚した問題点は早急に対処し、安全に運用できる状態への改善を図ってください。
総当たり攻撃などを防止するためには、パスワードを複雑化する方法を検討できます。以下は、ハッカーに推測されにくいパスワードを作るためのコツです。
・数字、文字、記号を組み合わせる ・桁数を増やす ・辞書に掲載されている単語の使用を避ける ・氏名などの個人情報を含めない |
セキュリティを強化するためにはパスワードを複雑化する方法の他、多要素認証(パスワード認証と指紋認証、顔認証などを組み合わせる認証スタイル)を採用することが一案です。もしくは、「3回以上のパスワード入力失敗でロックする」などのように試行回数を制限することでも、総当たり攻撃を防止できます。
ハッキングとはコンピュータに関する専門知識を悪用して機密情報を盗み出したり、サーバーなどを停止させたりすることを意味します。悪質なハッキングを防止するためには、日頃からセキュリティ関係の情報収集に努めること・自社に合うセキュリティソフトを活用することなどが必要です。
EXOセキュリティを活用すれば、ハッキングを含めたさまざまなサイバー攻撃への対策を効果的に行えます。ハッキング対策を行い、従業員が安心して働ける環境を整備したい経営者・情報システム担当者の方はぜひ、EXOセキュリティの導入をご検討ください。