NECフィールディング
サイト内の現在位置
ハッキングって?手口や対策、スマートフォンがハッキングされているかの確認方法について解説!
ハッキング被害が世界中で拡大しています。ハッキングという言葉の意味、代表的なハッキングの手口、ハッキングによる被害例などを知ることはハッキング対策の第一歩。さらにスマートフォンのハッキングについても取り上げます。
近年、サイバー攻撃のターゲットは大企業だけではありません。
攻撃の対象範囲は中小企業に拡大しています。
サイバー攻撃から企業の情報資産を守るためには感染原因を確認し、多層防御を意識した対策が必要です。
ランサムウェア対策ならNECフィールディング
ハッキングって?
ハッキングとは、悪意のある攻撃者が他人のコンピュータを乗っ取ったり、破壊行為を行うことで、サイバー攻撃の一種です。
ハッキングといえばパソコンのイメージが強いですが、近年ではスマートフォンもハッキングされることがあります。動作が重くなったり、設定が勝手に変わっているなど、おかしいと感じることがあれば、ハッキングされていないか確認してみても良いでしょう。
クラッキングとの違い
ハッキング(hacking)に似た言葉として、クラッキング(cracking)があります。今はどちらも、企業のコンピュータやネットワークに侵入する不正な行為を表しています。ですが、英語の「crack」には「割る」「ヒビを入れる」などネガティブな意味があるのに対し、「hack」は「細かく切る」「うまくやり抜く」という意味があります。
生活や仕事のちょっとした工夫や知恵を「ライフハック」などといいますが、ハック、あるいはハッキングは本来、「コンピュータやネットワークについての高度な知識と技術を持ち、不具合を改修したり、うまく使えるように改造すること」をいいました。ですが、知識と技術を悪用する人もおり、いつのまにかハッキングはクラッキングと同じ意味で使われるようになったのです。
主なハッキングの手口
ランサムウェア
今、被害がしばしば伝えられているのがランサムウェアです。ランサムウェアは、「身代金」という意味のランサム(Ransom)と、ソフトウェアを組み合わせた言葉。
マルウェア(悪意を持ったソフトウェア)の一種で、感染するとシステムやデータを暗号化して、使えなくしてしまい、復旧と引き換えに暗号資産などの金銭を要求します。
身代金の要求に応じない相手には、個人情報や機密情報を公開すると脅迫する「ダブル・エクストーション(二重の脅迫)」と呼ばれる事例も増えています。
標的型メール攻撃
もう1つ、被害が急増しているのが、仕事のメールなどを装って不正なファイルを送り、マルウェアに感染させる標的型メール攻撃です。代表的なものに「エモテット(Emotet)」があります。エモテットは2021年1月にユーロポール(欧州刑事警察機構)が大規模な取り締まりを行い、一度沈静化したのですが、再び感染が広がっています。
Emotetは、WordやExcelのマクロ機能といった正規の機能を悪用することが特徴。正規の機能なので、一般的なウイルス対策ソフトをすり抜けてしまいます。さらに感染したコンピュータから情報を流出させるだけでなく、他のマルウェアの侵入を手引きするような働きをします。エモテットからランサムウェアに感染するなど、エモテットに感染すると他のマルウェアに感染するリスクが高くなります。
クロスサイトスクリプティング
ECサイトの入力フォームや掲示板などの「動的Webページ」に脆弱性があった場合、そこに罠を仕掛けて、ユーザを悪質なサイトに誘導し、名前やクレジットカード情報などを盗み出すのがクロスサイトスクリプティングです。攻撃がサイトを横断して行われることから「クロスサイト」という名前がつきましたが、今ではその手口は広がり、サイトを横断しないタイプのものも含まれています。 Webサイトの脆弱性を狙う攻撃には、Webサイトに広く使われているデータベース言語SQLを使ったサイトの脆弱性を狙う、SQLインジェクションと呼ばれる攻撃もあります。
ゼロデイ攻撃
コンピュータやサーバのOS、ソフトウェアが進化し、より高機能なものになる一方で、ある日、思わぬ脆弱性が見つかることがあります。ゼロデイ攻撃とは、OSやソフトウェアに脆弱性が見つかってから修正プログラムが提供されるまでの間の、無防備な状態を狙った攻撃をいいます。OSやソフトウェアの提供者と、攻撃者の間で一刻争う戦いともいえます。攻撃者が先に脆弱性を見つけ出した場合は、OSやソフトウェアの提供者が脆弱性に気づき、修正プログラムが提供されるまで攻撃が続くことになり、リスクはより大きくなります。
総当たり攻撃
不正にログインするために、パスワードを手当たりしだいに試す攻撃が総当たり攻撃です。例えば、4桁の数字の組み合わせは「0000」から「9999」までの1万通りありますが、コンピュータを使えば一瞬です。英語では「ブルートフォースアタック(brute force attack)」といわれますが、ブルートフォース(brute force)は「強引」「力づく」という意味があります。
似たような手法に「パスワードリスト攻撃」があります。総当たり攻撃は、パスワードの桁数が増えると、解読に時間がかかります。パスワードリスト攻撃は、パスワードとしてよく使われる文字列をリストにまとめ、攻撃する手法です。
ソーシャルエンジニアリング
IDやパスワードを盗み出すことができれば、総当たり攻撃やメール攻撃などを行わなくてもコンピュータやネットワークに簡単にログインすることができます。IDやパスワードをユーザの心理的な油断やちょっとした行動から盗み出す方法を「ソーシャルエンジニアリング」といいます。
例えば、利用者のふりをしてシステム管理者に電話をしてパスワードを聞き出す手法は古くからあります。パスワードを付箋でノートパソコンなどに貼り付けている人を、残念ながら今でも見かけますが、そうしたユーザの不注意から、IDやパスワードは流出してしまいます。
ハッキングによる被害について
顧客情報の流出
ハッキングを受けて、個人情報が流出してしまう事件はしばしばニュースになっています。特にECサイトやWebを使ってサービスを提供する企業は、顧客の氏名や住所、メールアドレスに加えて、クレジットカード情報も保有しているため、ハッキングのターゲットとして狙われます。
身代金の要求
企業のシステムをダウンさせ、復旧させる代わりに身代金を要求するランサムウェア攻撃は世界中で発生し、日本でも被害が出ています。以前は主に大企業がターゲットになっていましたが、今ではターゲットは広がっています。「我が社が狙われるはずはない」と思っていると、おもわぬ被害に合うことがあります。
ハッカーは、まず広範囲にメール攻撃を仕掛け、マルウェアを侵入させることに成功した企業を脅迫するからです。それにともない、身代金の額も以前よりは低くなり、被害を公表せず、密かに身代金を支払っている企業が少なくないと見られています。
暗号資産関連のハッキング
2010年代末から暗号資産が高騰したことで、暗号資産関連のハッキングも増えています。日本でも数年前に暗号資産取引所から数百億円規模の暗号資産が盗まれました。被害が巨額になるのが暗号資産関連のハッキングの特徴です。
また企業や個人のコンピュータに暗号資産をマイニング(採掘)するソフトを仕込み、暗号資産を不正に手にする攻撃も登場しています。
Webサイトの改ざん
Webサイトの改ざんも頻繁に起きています。かつては政府機関のWebサイトが改ざんされる事件が起きました。Webサイトの改ざんは、情報の流出などがなくても、被害にあった組織や企業のセキュリティ対策が甘いことを世間に知らしめることになり、信用やイメージが大きく低下してしまいます。
スマートフォンにおけるハッキング
企業や個人のコンピュータだけでなく、今ではスマートフォンもハッキングのターゲットになっています。スマートフォンは単なる通信のためのツールではなく、クレジットカード情報やネットバンキングの情報、SNSのID・パスワードなど、ユーザのさまざまな個人情報が保存されています。スマートフォンがハッキングされてしまうと、ユーザの生活のあらゆる面に影響が及んでしまいます。
スマートフォンの動きがいつもより遅い(=別の負荷がかかっている)、バッテリーの減りが早い、アプリケーションが勝手にインストールされている、メールやSNSに不審なメッセージがあるなど、通常とは異なるサインが表れたときは、ハッキングの可能性があります。
スマートフォンは指紋認証や顔認証などセキュリティの強化が図られていますが、同時にハッキングのターゲットになるリスクも大きくなっていることに注意してください。
ハッキングされないための対策方法
OSやソフトウェアのアップデート
パソコンやスマートフォンなどのOSは常に最新版にアップデートします。WebサーバのOSやソフトウェアのアップデートはシステムが稼働していることを考えると簡単ではありませんが、ハッキングは今や企業にとって大きなリスクです。速やかにアップデートを検討してください。脆弱性に対するセキュリティパッチが出た場合は、必ず適用しましょう。
セキュリティ対策ソフトやセキュリティ機器の導入
セキュリティ対策ソフトの導入や、ファイアウォール、WAF(Web Application Firewall)などのセキュリティ機器の設置はセキュリティ対策の基本といえます。ただし、これらはハッキングを入口で防ぐための手段。最近ではこうした対策をすり抜けるハッキングが増えています。
EDRの設置
セキュリティ対策ソフトやセキュリティ機器が入口を守る対策だとすれば、EDR(Endpoint Detection and Response)は、ユーザが利用しているコンピュータやタブレット、スマートフォンなど、システムから見た末端(=エンドポイント)でハッキングを検知し、対策を取るためのものです。サイバー攻撃の手口が巧妙化している今、EDRは必須の対策方法となってきています。
セキュリティ意識の向上
サイバー攻撃の手口は多様化し、巧妙になっています。セキュリティ対策ソフトやセキュリティ機器も進化し、EDRという新しい手法も登場していますが、ハッキング対策を行ううえで、最も重要になるのがユーザ一人ひとりのセキュリティ意識の向上です。
どんなに対策が優れていても、IDやパスワードを管理し、コンピュータやシステムを利用するのは一人ひとりのユーザです。全員のセキュリティ意識を高め、パスワードは推測されにくいものにする、怪しい添付ファイルは開かないなど、基本的な取り組みを徹底することが重要です。
ハッキング対策はNECフィールディング
NECフィールディングのセキュリティ対策サービスは、クラッキング対策をはじめ、セキュリティに対する訓練・研修や内部監査、情報セキュリティポリシー策定などの組織的・人的セキュリティ対策を提供します。
さらに、入退室管理システム、監視カメラ構築などの物理的セキュリティ対策やファイアウォール構築などの技術的セキュリティ対策など、基本的な情報セキュリティの基盤づくりから、高度なサイバー攻撃対策まで対応します。
▼NECフィールディングのセキュリティ対策サービス
https://www.fielding.co.jp/service/security/
ハッキング対策は企業の新たな信頼を生む
ハッキングの被害が世界中で拡大しています。ハッキングを受けて顧客情報や取引先の情報が流出してしまうと、被害者であるにもかかわらず損害賠償を求められるケースもあります。また何よりも企業の評判や信頼を損なうことになります。デジタル時代・ネットワーク時代を生きる企業にとって、堅固なハッキング対策は新たな信頼の醸成につながります。
関連記事
クラッキングは、ハッキングに比べると聞き慣れない言葉です。
今回はクラッキングとはなにか、クラッキングが起こる原因やその方法、クラッキングの識別手段を解説。さらにクラッキングの影響や事例、クラッキングへの対策を紹介します。
ソーシャルエンジニアリングとは、会社やコミュニティの重要情報を何らかの手段で不正に入手することを言います。かつては物理的にパスワードを盗み見る程度でしたが、現在はマルウェアも利用して手口も巧妙化しています。今回はソーシャルエンジニアリングとは何か、どのような被害事例があり、できる対策は何かを解説します。企業のセキュリティ対策にとって非常に重要な内容となるため、手口について学ぶ機会にしてください。
標的型攻撃とは、サイバー攻撃で使われる手法のひとつです。当記事では、標的型攻撃の意味や目的、無差別型攻撃との違いについて紹介します。また、標的型攻撃の手法や仕組み、攻撃の段階から、被害の事例について詳しく見ていきます。さらに、標的型攻撃の対策方法についても解説します。
発行元:NECフィールディング
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。