NECフィールディング
サイト内の現在位置
クラッキングとは?
ハッキングとの違いや事例、対策方法について解説
クラッキングは、ハッキングに比べると聞き慣れない言葉です。
今回はクラッキングとはなにか、クラッキングが起こる原因やその方法、クラッキングの識別手段を解説。さらにクラッキングの影響や事例、クラッキングへの対策を紹介します。
近年、サイバー攻撃のターゲットは大企業だけではありません。
攻撃の対象範囲は中小企業に拡大しています。
サイバー攻撃から企業の情報資産を守るためには感染原因を確認し、多層防御を意識した対策が必要です。
ランサムウェア対策ならNECフィールディング
クラッキングとは?ハッキングとどう違う?
クラッキング(cracking)は、企業のシステムなどに不正侵入し、情報を盗み出したり、データを改ざんしたり、システムを破壊することをいいます。最近では、企業のシステムをウイルスに感染させ、操作ができないようロックし、解除のために身代金として暗号資産(仮想通貨)を要求する事件が起きていますが、これもクラッキングのひとつです。
では、ハッキングとはどう違うのでしょうか?
今、説明したようなことを表すときにはクラッキングよりハッキングという言葉がよく使われています。実は一般的に、ハッキングは、クラッキングと同じような意味で使われていますが、ハッキングは本来、クラッキングのようなネガティブな意味を表す言葉ではありません。
ちょっとした生活の知恵、仕事の工夫のようなものを表す言葉に「ハック(hack)」があります。ライフハックという言葉はよく使われています。ハッキングはもともと「コンピュータやシステムについての高度な知識と技術をもとに、不具合を改修したり、性能や使い勝手を向上させるために改造すること」を意味したのです。
しかし、知識と技術を悪用する人が出てきて、いつのまにかハッキングはクラッキングと同じような意味と認識されるようになったのです。
クラッキングの発生源とは
クラッキングはなぜ起こるのでしょうか?
コンピュータの黎明期には、自分の知識と技術を証明する「腕試し」的な目的でのクラッキングがありました。しかしコンピュータ利用が進み、ビジネスや暮らしを支える重要なものになるにつれ、クラッキングは犯罪色を強めました。クラッキングには、英語で「金庫破り」という意味もありましたが、まさにクラッキングは「現代の金庫破り」といえます。
システムをロックする攻撃を受け、数億ドル相当の暗号資産を身代金として要求される事件も起こっています。
クラッキングの方法とは
クラッキングにはどのような手法があるのでしょうか。クラッキングのリスクから重要なシステムを守るために、その方法を理解しておきましょう。
盗み出したIDやパスワードでログイン
IDやパスワードを盗み出すことができれば、コンピュータシステムやネットワークへ簡単にログインすることができます。パスワードを付箋でノートパソコンに貼り付けておくことを残念ながら今でも見かけますが、そうした利用者側の不注意などからIDやパスワードは流出してしまいます。
IDやパスワードを、ユーザの心理的な油断やちょっとした行動のミスから盗み出す方法を「ソーシャルエンジニアリング」といいます。極端にいえば、セキュリティにおける「振り込め詐欺」のようなものです。利用者のふりをしてシステム管理者に電話をしてパスワードを聞き出すことは、古くからある代表的な手口です。
ツールを用いてパスワードを特定
例えば、4桁の数字の組み合わせは「0000」から「9999」までの1万通り。人間の手でこれをすべて試すことは大変ですが、コンピュータを使えば一瞬です。
実際に「ブルートフォースアタック(brute force attack)」、日本語で「総当たり攻撃」は、こうした作業をコンピュータで行い、あらゆるパスワードを試し、ログインを試みるものです。
また「パスワードリスト攻撃」と呼ばれる手法もあります。総当たり攻撃は、英語のブルートフォース(brute force)に「強引」「力づく」という意味があるように、強引で、力づくな方法です。
アルファベット26文字、大文字小文字を区別すると52文字、それに数字を加えると、合計62文字。10桁のパスワードだと組み合わせは、839,299,365,868,340,000(約84京)になり、コンピュータを使ったとしても時間がかかります。
一方、パスワードリスト攻撃は、パスワードとしてよく使われる文字列をリストにまとめ、攻撃する手法です。今ではIDとパスワードのリストがダークWebなどで売買されています。
OSやソフトウェアの脆弱性を悪用
コンピュータのOSやソフトウェアが高度なものになる一方で、思わぬ脆弱性が潜んでいることがあります。クラッキングでは、こうした脆弱性を悪用して、システムへの侵入を図ります。特に、脆弱性が見つかった後、修正プログラムが提供される前までに行われる攻撃は「ゼロデイ攻撃」と呼ばれます。
マルウェアに感染させる
クラッキング、ハッキングと聞いて、まず思い浮かべるのがマルウェアに感染させて、パスワードや機密情報を盗み出す攻撃でしょう。システムをロックし、身代金を要求する事件もそのひとつです。
マルウェアについて詳しく知りたい方は、以下を参照してください。
■マルウェアって?種類や被害、対策方法を解説!
クラッキングの識別手段
従来、クラッキング、ハッキングは、セキュリティ対策ソフトやファイヤーウォール、WAF(Web Application Firewall)などのセキュリティ機器で検知し、対策を取ってきましたが、近年、攻撃は高度化・巧妙化しており、こうした対策だけではカバーしきれなくなってきています。またテレワークやリモートワークが進み、オフィスのネットワークやシステムだけの対策で済まなくなっています。
そうした中で、今、注目されているのが、EDR(Endpoint Detection and Response)です。エンドポイントとは、システム内で使われているノートパソコンやスマートフォンなどをいいます。つまり、ユーザが実際に使っているデバイスを監視し、不審な動きや攻撃を検知します。
クラッキングは犯罪なのか
クラッキングは、法律的には不正アクセス禁止法に違反した行為です。
具体的には、他人のID・パスワードを不正に入手してシステムにアクセスすると、3年以下の懲役または100万円以下の罰金が科せられることになります。またシステムに不正アクセスしていなくても、ID・パスワードを不正に要求したり、保管した場合は、不正アクセス準備行為として1年以下の懲役または50万円以下の罰金となります。その他、Webサイトの改ざんは、電子計算機損壊等業務妨害罪にあたります。
もしクラッキングされるとどうなる?
コンピュータシステムやネットワークがクラッキングされた場合、どのような影響が考えられるでしょうか。
最もイメージしやすい影響は、パスワードや顧客情報、経営情報などの機密情報が流出してしまうことです。顧客や取引先に直接的な損害を与えてしまうことになるばかりか、会社の信頼・評判に大きく傷つきます。
Webサイトの改ざんも、会社の信頼を大きく損ないます。不正アクセスを許してしまい、セキュリティ意識の低さを世間に知らしめてしまいます。
また最近ではマルウェアに感染してシステムがロックされ、身代金を要求される事件も増えています。身代金として多額の暗号資産を支払ったり、支払いは拒否したものの、システムの総入れ替えを強いられるようなことが起こっています。またこの場合も、会社の信頼は大きく損なわれます。
またマルウェア感染は、自社から取引先や顧客などに感染を広げてしまうこともあります。その場合は、被害者であると同時に加害者にもなり、損害賠償を求められるような事態になりかねません。
クラッキングの事例
顧客情報の流出
不正アクセスを受けて、顧客情報が流出する事件はしばしば起きています。2021年、日本では100件以上の個人情報の漏えい・紛失が起き、その半数あまりが不正アクセスなどのサイバー攻撃によるものという調査もあります。顧客向けにサービスを提供する企業のサーバが不正アクセスを受け、顧客の個人情報が流出する事件はあとを絶ちません。
身代金の要求
サイバー攻撃を受けて社内システムや業務で使っているコンピュータがロックされてしまい、身代金を支払う事例も増えています。システムが使えなくなったことで工場の操業が停止に追い込まれたケースもあります。身代金支払いの要求は拒否したものの、システムを入れ替え、多額の出費を強いられるケースもありました。
Webサイトの改ざん
Webサイトの改ざんもさまざまな事例がありますが、代表的なものとしては世界的に人気のWebサイト構築ソフトのWordPressの脆弱性が狙われ、WordPressで構築されているWebサイトが続けて被害にあう事件が発生しました。
クラッキングをなくすことは可能?
クラッキングをなくすことは、いわば犯罪をなくすことであり、難しいといわざるを得ません。またクラッキングの手法や手口は年々、高度化・巧妙化しています。不正なファイルを添付したメールは、正規のメールの件名を偽装したり、ユーザが送ったメールの本文を一部流用するなど、一見しただけでは、攻撃メールとは気づきにくくなっています。
クラッキングの高度化・巧妙化と、クラッキング対策の強化はいたちごっこです。対策を怠ることはできません。またユーザ一人ひとりのセキュリティ意識を高めることが重要になっています。
クラッキングへの対策方法とは
クラッキング対策はどのように行えばよいのでしょうか。具体的な方法を紹介します。
OSやソフトウェアのアップデート
OSやソフトウェアは、セキュリティ対策の強化などのアップデートが頻繁に行われています。ベンダーから提供されるアップデート情報に注意し、基本的には常に最新バージョンへアップデートします。特に脆弱性に対するセキュリティパッチが出たときは必ず適用します。
セキュリティ対策ソフトの導入
セキュリティ対策ソフトは、すでにほとんどの企業が導入済みでしょう。
しかし、導入したままになってはいないでしょうか。OSやソフトウェアと同様、バージョンアップ情報に注意し、常に最新版にしておきます。また導入から年数が立っている場合は、ソフト自体の更新も必要です。
ファイヤーウォール、WAFの設置
ファイヤーウォールやWAF(Web Application Firewall)などのセキュリティ機器の設置もクラッキング対策に有効です。ただし、これらはクラッキングを入口で防ぐためのもので、昨今はこうした対策をすり抜けて攻撃を行うケースも増えています。
EDR
上記のセキュリティ機器が入口を守るものだとすれば、EDR(Endpoint Detection and Response)は、不正アクセスや侵入を検知し、対策するためのものです。クラッキングの手口が巧妙化している今、EDRは必須の対策方法となってきています。
クラッキング対策はNECフィールディング
NECフィールディングのセキュリティ対策サービスは、クラッキング対策をはじめ、セキュリティに対する訓練・研修や内部監査、情報セキュリティポリシー策定などの組織的・人的セキュリティ対策を提供します。
さらに、入退室管理システム、監視カメラ構築などの物理的セキュリティ対策やファイヤーウォール構築などの技術的セキュリティ対策など、基本的な情報セキュリティの基盤づくりから、高度なサイバー攻撃対策まで対応します。
▼NECフィールディングのセキュリティ対策サービス
https://www.fielding.co.jp/service/security/
クラッキング対策は重要な経営課題
クラッキングを受けて、顧客情報や経営情報を盗まれてしまうと、直接的な被害はもちろんのこと、企業にとって一番大切な「信用」を失ってしまいます。デジタル化・IT化がビジネスの基盤となっている今、クラッキング対策は企業にとって重要な経営課題です。
関連記事
ハッキング被害が世界中で拡大しています。ハッキングという言葉の意味、代表的なハッキングの手口、ハッキングによる被害例などを知ることはハッキング対策の第一歩。さらにスマートフォンのハッキングについても取り上げます。
バックドアは簡単にいえば、システムに気づかないうちに「裏口」を作られてしまうことです。バックドアが設置されてしまうと、攻撃者の不正アクセスに対して無防備な状態になり、大きな被害につながります。ここではバックドアの概要、主な手口、具体的な被害事例、駆除方法、バックドアの予防・対策方法などを取り上げます。
ダークウェブは匿名性が高いインターネットのウェブの1つです。一般に公開されているサーフェスウェブとは異なり、特殊なブラウザとセキュリティ対策がなければ、利用することも危険とされています。ダークウェブはその匿名性の高さから、違法取引や犯罪の温床にもなっており、過去のさまざまなサイバー犯罪とも繋がりがあるとされています。今回はダークウェブについての詳しい解説と、セキュリティ対策についても紹介します。
発行元:NECフィールディング
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。