クラッキングとは、情報化社会の発展とともに登場したサイバー犯罪の一種です。近年では中小企業が攻撃対象になり、大企業へ飛び火して、被害が拡大した事例も多くあります。取引先や消費者の安全を守るとともに自社の信用失墜を防止するためには攻撃者の手口を正しく把握し、転ばぬ先の杖としての対策を行うことが必要です。
当記事ではクラッキングの代表的な手口と、被害を防止するための対策を解説します。クラッキングに関する正しい知識を身につけて、従業員が安心して働ける環境を整備したい経営者・情報システム担当者は、ぜひ参考にしてください。
1, クラッキングとは?
クラッキングとは、ネットワークに接続されたシステムなどへと悪意を持って侵入する行為です。クラッキングは「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」に違反する犯罪行為にあたるため、攻撃者には、懲役・罰金などの罰則が課されることも多くあります。
出典:静岡県警察「サイバー犯罪(不正アクセス行為の禁止等に関する法律)
出典:e-gov法令検索「不正アクセス行為の禁止等に関する法律」
1-1, クラッキングによる被害
クラッキングは企業に対して、さまざまな被害を及ぼします。クラッキングによって企業が受けうる主な被害は、以下の通りです。
・Webサイトの改ざん 企業のシステムやサーバに侵入した攻撃者により、Webサイトのコードを書き換えられたりリンク先を変更されたりする被害です。攻撃を受けたWebサイトにアクセスすると、マルウェアをダウンロードする外部サイトへと転送されることもあります。
・サーバへの攻撃 Webサイトやサービスを運用しているサーバに過剰な負荷を掛けられて、停止させられる被害です。たとえば通販サイトを運営している企業のサーバが攻撃されると営業に支障が生じて、売上低下につながります。
・他の攻撃への足がかり クラッキングの攻撃者は不正に侵入したシステムに「バックドア」と呼ばれる裏口を作成し、さらに内部への侵入を試みることがあります。企業のコンピュータが乗っ取られた場合、他の組織を攻撃する際の拠点として活用されることもあるため、注意しましょう。 |
攻撃者は、企業のサーバに保存されている顧客情報・機密情報を盗み取り、犯罪に利用することもあります。情報漏洩を起こした企業は「セキュリティ対策が不十分」とみなされて、社会的なイメージ低下を避けられません。
1-2, ハッキングとの違い
IT用語における「ハッキング」とは、コンピュータ分野の専門知識を持つ技術者がパソコンなどに組み込まれているデータを解析し、改変する行為を指します。ハッキングとクラッキングの大きな違いは、解析・改変などを行う目的です。自分自身の欲求を満たすために悪意を持ってハッキングを行うことが、クラッキングにあたります。
ただし、ハッキング・クラッキングの定義は明確に区別されているわけではないため、クラッキングを「ハッキング」と表現することも誤りとは言えません。
2, クラッキングの手口
クラッキングの被害を防止するためには攻撃者の手口を知り、適切な対策を検討する必要があります。攻撃者は脆弱性(外部攻撃に対する弱点)やセキュリティホール(セキュリティに関する問題点)をつき、クラッキングを行うことが一般的です。
クラッキングの代表的な手口の具体例は、以下の通りです。
・ゼロデイ攻撃(ゼロデイアタック) ゼロデイ攻撃(ゼロデイアタック)は、脆弱性が発覚して各企業がセキュリティ対策を取る前もしくは修正プログラムの提供前に攻撃を仕掛ける手口です。
・ブルートフォースアタック(総当たり攻撃) ブルートフォースアタックは特殊なツールを使用して総当たり形式により、IDやパスワードを探る手口です。攻撃者によってはブルートフォースアタックと辞書攻撃(辞書などを元にIDやパスワードになりやすい単語をリスト化し、順番に照合する手口)を併用することもあります。
・クロスサイトスクリプティング クロスサイトスクリプティングとは、Webサイトのフォームなどに悪質なスクリプト(プログラムの一種)を埋め込む手口です。Webサイトを見る人がスクリプトの埋め込まれたフォームを使用すると攻撃者にも個人情報が送信されて、悪用される恐れがあります。
・ルートキット攻撃 ルートキット攻撃とはルートキット(クラッキングの支援ツール)をコンピュータに感染させて、システムの管理者権限を乗っ取る手口です。攻撃者は多くの場合、アプリケーションの脆弱性をついてルートキットを感染させます。 |
なお、攻撃者によっては特殊なツールを使用して、クラッキングを行うこともあります。
3, クラッキングへの5つの対策
中小企業がクラッキングの被害を受けると、取引先・消費者・社会経済活動などへも被害が拡大する恐れがあります。セキュリティ対策にかけるコストはビジネスを行う上で欠かせない出費であることを意識し、しかるべき対処を取りましょう。
以下では、中小企業が実践できるクラッキングへの対策方法を紹介します。
3-1, 不正侵入を検知するシステムを導入する
クラッキングを未然に防止するためには、攻撃者の不正侵入を検知して防御するシステムを導入する方法が選択肢です。たとえば、「IPS」や「WAF」と呼ばれるシステムを導入すると、不法侵入の検知・防御を行えます。
クラッキング対策におけるIPSは、不審な動きを見せる通信を追いかける「監視カメラ」・WAFはサーバなどを取り囲む「堀」に例えることが可能です。2種類のシステムを併用することで防御力が高まり、重点的にセキュリティを強化できます。
3-2, ネットワーク機器の設定を確認する
ネットワーク機器を初期設定のまま使用すると、クラッキングを受けるリスクが高まります。ネットワーク機器を導入する際にはIDとパスワードを変更して、セキュリティを強化しましょう。
Wi-Fiを使用している企業ではネットワークの暗号化を行い、情報漏洩を防止する対策も必要です。ネットワークの暗号化とは、第三者には解読できない形式へとデータを加工することを指します。ネットワークの暗号化技術には複数の種類があるため、使用しているWi-Fiルータに応じたものを見極めて、使用しましょう。
3-3, 脆弱性への対策を行う
ソフトウェアの脆弱性は一部の例外を除き、ある日突然公表されます。情報の見落としを防止するためには開発メーカーのWebサイトを日頃からチェックし、情報収集に努めましょう。公表された脆弱性に対処するための更新プログラムが配布されている場合には、システムに対する影響を正しく予測した上でアップデートを行います。
アップデート漏れを防止するためには更新情報を自動でチェックし、対処が必要な内容を通知してくれるツールを活用する方法が一案です。企業内の端末の状態をセキュリティ担当者が一覧で把握できる機能も付いたツールを活用すれば、効率的な管理を行えます。
3-4, 特定されにくいパスワードにする
パスワードの作り方を見直して攻撃を回避することは、セキュリティ対策の基本です。仕事に使用するパスワードを作る際には従業員に、以下のルールを意識させるとよいでしょう。
・数字、アルファベット、記号を組み合わせる ・名前、電話番号などの個人情報を含めない ・地名など、意味のある単語の使用を避ける |
より重点的にセキュリティ対策を行うためには二段階認証(パスワードを入力してログインした後、再度求められる認証のこと)を導入することも1つの手です。もしくはパスワードの入力回数を制限し、一定回数失敗した場合はログインできなくする方法もよいでしょう。
3-5, データログを残す
ログとは、電子機器へのアクセス・操作履歴を意味します。不正侵入を早期に把握し、原因特定・対策を進めるためには、データログを残しましょう。
データログを残すことは、従業員によるPCの不正操作・データの持ち出しなどによる情報漏洩の抑制にも貢献します。従業員による情報漏洩が万が一発生した場合にはデータログから証拠を収集し、処分を検討することも可能です。
まとめ
クラッキングとは悪意を持ってシステムに侵入し、Webサイトの改ざん・機密情報の盗み出し・サーバ攻撃などを行うことを指します。クラッキングの被害を防止するためには定期的なアップデートを怠らない・攻撃者に推測されにくいパスワードを使用するなどの対策が必要です。
しかし、クラッキングの被害を防止するための対策を実践するためには多くの場合、セキュリティに関する専門知識を要します。専門知識がない人でも簡単に導入できる対策を検討している方はぜひ、「EXOセキュリティ」の導入をご検討ください。EXOセキュリティを利用すれば月額5,000円から簡単に、クラッキング対策を行えます。