そもそもハッキングとは?
みなさんは、ハッキングと言われ、何が思い浮かびますか
?悪意、、? 悪者、、? 犯罪、、? 恐怖、、?
なんとなくわかるけど、、、、?
、、、ハッキングってなに?
この記事では、そもそもハッキングとは? について、サクッと解説していきます。
はじめに、その言葉が生まれた当初は、悪い意味で用いられていたわけではないのです。
ハッキング(Hacking / Hack)とは、高度な知識や技術を用いて、コンピュータや、コンピュータネットワークの、解析・改造・構築することをいいます。
そもそも、ある目的のために、ソフトウェアを改良して使う、カシコイ工夫として、とても良い意味で使われていたのです。
が、しかし!
サイバー攻撃(Cyber Attack)がはじまり、攻撃者が、自らをハッカー(Hacker : ハッキングする者)と名乗ったことをきっかけに、ハッキングが悪い意味で、使われるようになったのです。
今では、悪意のあるハッキングを、クラッキング(Cracking / Crack)、クラッキングする者を、クラッカー(Cracker)と呼び、ハッキングや、ハッカーと明確に区別することもあります。
そうは言っても、一般的には、ハッキングは、悪意のあるものであり、ハッキング = サイバー攻撃 と、知れ渡っているのが現実です。
ハッキングによる、主なサイバー攻撃を4つ紹介します。
1.Webサイト改ざん
Webサイトを、勝手に書き換えてしまう攻撃です。
具体的な例では、
・Webサイトに、関係ない画像を、トップページに設置する
・トップページ自体を、改ざんして、別サイトのように見せかける
・見た目は変わらないもの
・意図的に、追加したスクリプト(Script : プログラム)で、マルウェア(Malware : Malicious Software / Malicious Code 悪意のあるソフトウェアや悪質なコード)を感染させるサイトに誘導するもの
などがあります。
2.サーバの停止
サーバを、停止させる攻撃です。
その手口によって、二つに分けられます。
・サーバの脆弱性を突き、サーバの内部に侵入し、直接サーバを、停止させるもの
・外部から、サーバに攻撃を仕掛け、高い負荷をかけることで、サーバを停止に追い込むというもの
3.情報の盗み出し
サーバなどの、脆弱性を突き、侵入することにより、顧客情報など、あらゆる重要な情報を、盗みだす攻撃です。
盗み出された情報は、ダークウェブ(検索エンジンでは、ヒットしないウェブサイト:アクセスするには、特定のソフトウェアや特殊な設定が必要)などの、ブラックマーケットで取引されることもあり、情報の内容によっては、企業が、大きなダメージを与えられてしまう可能性があります。
4.他の攻撃の踏み台にされる
Webサイトを、改ざんし、スクリプトを書き換え、他者への攻撃の、踏み台にする攻撃です。
悪意のある、スクリプト(Script : プログラム)に、改ざんされた、Webサイトに、アクセスしたユーザが、マルウェア(Malware : Malicious Software / Malicious Code 悪意のあるソフトウェアや悪質なコード)を感染させるサイトに、強制的に遷移させられ、マルウェアに感染してしまうことがあります。
見方を変えると、その改ざんされた、サイトのせいで、マルウェアに感染させられたのです。
ということは、そのWebサイトの管理者が、加害者として扱われ、責任を問われることにもなりかねないのです。
さらに、管理するパソコンや、スマホなどの端末に、バックドア(Back Door : 裏口、不正侵入の経路)が設置され、ボット(Bot : 自動プログラム)を仕掛けられた場合も、DDoS攻撃(Distributed Denial of Service Attack : 分散型サービス妨害攻撃)の加担者となる可能性があります。
次に、ハッキングの手口として、主な6つを紹介します。
ハッキングの基本は、既存の脆弱性を突くことです。
1.辞書攻撃(Dictionary Attack)
端末への侵入に、必要なIDや、パスワードなどを、推測する手口の一つです。
パスワードの洗い出し、不明な文字列の推測を効率よく行う手口で、辞書や、人名録など、人間にとって、意味のある単語のリストを候補として、もちいる方式なのです。
人間は、まったくランダムな文字列は覚えにくいため、なんらかの意味のある単語を、使いたがるという心理を利用したものです。
2.総当たり攻撃(Brute Force Attack)
IDや、パスワードを、見つけるために、考えられるすべてのパターンを、総当たりで試し、合致する、組み合わせを、見つけだすという手口です。
サイバー攻撃者(Cyber Attacker)は、辞書攻撃(Dictionary Attack)と、総当たり攻撃(Brute Force Attack)を、組み合わせて、照合することで、より迅速に、IDと、パスワードの、合致パターンの抽出を、可能にするシステムを利用しているのです。
3.ゼロディ攻撃(Zero-Day Attack)
ソフトウェアにセキュリティ上の脆弱性(Security hole : セキュリティホール)が発見された日から、その脆弱性を解消するための対策方法が、確立される日までの期間のことをゼロディと言い、その問題の存在自体が、広く公表される前に、その脆弱性を突き、悪用する手口のことです。
4.スキャベンジング(Scavenging)
ゴミあさりという意味。
不要として破棄された、書類や、記憶媒体など、ゴミ箱をあさって、パスワード等を、見つけ出し、ログイン情報を盗もうとする手口です。
5.ソーシャル・エンジニアリング(Social Engineering)
人間の、心理的な隙を狙って、情報を詐取する手口です。
コンピュータシステムに、アクセスするために、必要な情報(パスワードなど)や、その手がかりを、それを知る本人や、周辺者への接触や、接近を通じて、盗みとる手口なのです。
コンピュータウィルスや、通信の盗聴のような、情報システムに直接介入し、物理的に、本人の周辺に近づいて、人間の行動や、心理に生じる隙を、利用して、重要な情報を盗むというもの。
6.ショルダーサーフィン(Shoulder Surfing)
ソーシャル・エンジニアリングの一つです。
背後からの、覗き見や、盗み見する手口です。
ユーザの肩越しから、ディスプレイの画面や、タイピングしているところを覗くという、クラシカルな手口で、IDや、パスワードといった、重要な情報を盗み出し、不正アクセスを試みるというものです。
おわりに
サクッと、
解説してきましたが、
ここまでの説明で、ご理解いただけましたでしょうか。
知れば、知るほど、ハッキングや、サイバー攻撃に対して、怖くなりますが、ご安心ください。
ハッキング、サイバー攻撃の、脅威を認識し、有効なセキュリティ対策を行えば、リスクは大幅に低減できますので、意識と認識を持ちましょう。
コイン総合研究所では、暗号資産(仮想通貨)初心者の方のための解説記事や、お役立ち情報を配信しています。
ほかの記事もぜひご覧ください。
少しでも、みなさんのお力になれれば幸いです。
(執筆:八木)
暗号資産(仮想通貨)のハッキング対策はあるのー!って方はこちらの記事をお読みください。
Japanese