いまさら聞けないクラッキングとハッキングの違いとは?

Home > トピック  > セキュリティ知識  > いまさら聞けないクラッキングとハッキングの違いとは?

08 6月 いまさら聞けないクラッキングとハッキングの違いとは?

Posted at 13:16h in セキュリティ知識, トピック by

よく聞くハッカーやハッキングについては認識しているとしても、「クラッキング」については、実はよくわからないということが多いのではないでしょうか。

一般的に認識されているハッキングとクラッキングとどう違うのか?

クラッキングとは、システムやネットワークへ不適切な手段で侵入したり、保存しているデータを意図的に書き換える行為です。

アプリケーションの内容を変更して、オンライン登録やシリアルナンバー入力を割愛して使用するなど、本来の用途とは違って悪い目的に利用する行為もクラッキングと呼ばれています。

 

クラッキングとは?ハッキングとの違い

クラッキングとは、コンピュータやネットワークに侵入し、情報をこっそり盗み取ることや、無断でソフトウェアを書き換えることです。

そもそものハッキングの意味は、コンピュータやネットワークに対する認識が高く、効果的に利用することで、新しい技術や製品を実用化していくことがハッキングとなるので、悪い意味合いはありません。

クラッキングとは、害を加えようとする第三者がシステムやネットワークに不適切な手段で侵入して、情報を手に入れたり、無断でデータを書き換える行為のことです。

「ハッキングは改善などを表す良い行為で、クラッキングとは悪意のある行為」

というのが本来の意味合いです。

ハッキングとクラッキングはもともと別のものですが、いつかわからないうちに区別しなければならないものを同一のものとして扱われてしまったのです。

クラッキングはどのような犯罪か

第三者のシステムやネットワークへ不適切な手段で侵入する行為や、保存しているデータを意図的に書き換える行為などに基づいて、結論を導き出すと、クラッキングは犯罪行為であると考えることもできます。

法的にみていくと、第三者のシステムやネットワークへ不適切な手段で侵入する行為は、不正アクセス禁止法にそむくことになるため、3年以下の懲役もしくは100万円以下の罰金の刑罰が与えられることになるのです。

不適切な手段で侵入する行為の場合は、不正アクセス禁止法が適用されますが、保存しているデータを意図的に書き換える行為についてはどうでしょうか。

Webサイトなどに保存しているデータを意図的に書き換える行為は、刑法に基づく電子計算機損壊等業務妨害罪が適用されますので、こういったクラッキング行為は明確な犯罪であるといえます。

クラッキングされるとどうなるのか

日常的に利用するシステムやネットワークなどが、クラッキングされてしまった場合、いったいどういった事象が発生するのか、例を挙げると、下記のようなことが予測されます。

  • 不適切な手段で侵入された結果、情報が盗まれて持ち出される
  • 無断でWebサイトなどのデータが書き換えられる
  • システムが破壊され、日々継続して行われる仕事を停止しなければならない

こういったことは、もし現実化してしまうと非常に重大な問題となってしまうのです。

クラッキングの手口と被害例

クラッキングの手口としては、そもそもどういったものがあるのか、典型的なやり方の特徴と受ける損害や危害について、たしかめていきましょう。

Webサイトの改ざん

クラッキングの主な事例として挙げられるのは、開設しているホームページのデータが無断で書き換えられてしまう、Webサイトを改ざんする行為です。

組織に関係がない部外者がWebサイトを改ざんする場合、Webサイトの脆弱性を本来の用途とは違って、悪い目的に利用して侵入する事例がほとんどを占めています。

個人を主体とした社会的な見解を書き込んだり、全く関係のない画像を貼り付けるといった単純なものが多く見受けられます。

外から見たようすは変わらずとも、リンク先をウイルスが仕込まれたサイトに変更したり、マルウェアに感染させる目的でスクリプトを仕込むといったパターンもあるようです。

このような行為は、サイトを管理下におくために必要とされるアカウントやパスワードが不適切な手段で取得されたり、脆弱性に照準を定めた攻撃によって発生しています。

サーバーの停止

サービス拒否攻撃(DoS攻撃)と称される攻撃により、特定のWebサーバーへ不適切なデータやたくさんのデータを送りつけて、処理能力をオーバーヒートさせることでサービスを停止させるまでに追い詰めてしまうのです。

最近では分散型DoS攻撃(DDoS攻撃)といって、第三者がウイルスを数多くのパソコンに送り込むことで不正アクセスの中継点として悪用して、特定のWebサーバーへサービス拒否攻撃を仕掛ける手法もあります。

動いていたサーバーが途中で止まってしまうと、Webサイトを表示できないだけでなく、業務で使用するシステムが役に立たなくなり、電子商取引サイトでは売り上げが無くなってしまったりと規模が並を超えた損害が発生しかねないのです。

別の攻撃に悪用

Webサイトが改ざんされてしまうことで、マルウェアが組み込まれた場合、アクセスしてきたコンピュータへマルウェアが組み込まれ、さらには別のコンピュータにも拡大してしまいます。

別の攻撃への不正アクセスの中継点として、Webサイトが悪用されることも多く報告されているのです。

不正な攻撃をかけられると、単純に自分みずからが思いがけなく損害を被るだけではなく、自分のパソコンやWebサイトも悪用されることで、より一層攻撃に利用されてしまう可能性も十分に存在します。

情報の漏洩

SQLインジェクション攻撃は、普通の状態では閲覧できないデータベースに侵入できてしまうので、顧客データがこっそり盗み取られたとしても、なんら不思議ではないということです。

攻撃される目標となるものにはWebページやサーバー以外にも、企業などにおける顧客に関する情報などの、きわめて大切な情報が保存されているデータベースも含まれています。

数年前には国内の有名大学において、約80,000人の情報が保存されているデータベースが1ヶ月半もの間攻撃を受けてしまった結果、約70,000人の情報が盗んで持ち出されるといった問題となるできごとが起こっているのです。

クラッキング事例

現実の場においてクラッキングを受けて損害や危害を受けた事例にはどのようなものがあるのか、いくつかの例を挙げて、たしかめていきましょう。

WordPressサイトへの不正アクセスと改ざん

ある企業の例ですが、ホームページをWordPressの機能を活用して運営していたところ、無断でデータを書き換える行為により、情報のすべてが消し去られる事例が起こりました。

別の企業では無断でデータを書き換えられたことにより、アダルトサイトへとリンクされてしまったという事例もあります。

不正アクセスによる顧客情報の流出

外国為替取引サービスを提供している企業である株式会社マネースクエア・ジャパンで、2016年に起こった実例では、約110,000件の企業における顧客に関する情報が不正アクセスが原因で流出してしまったのです。

クラッキングへの対策

システムやネットワークに侵入を受けるだけでなく、データを改ざんされるなど大規模な損害や危害を受けることにもつながるクラッキング。

好ましくない事態が生じないようにするためには、どのように対策すれば良いのかをたしかめていきましょう。

ソフトウェアアップデートは必ず確認し、頻繁に更新する

インストールしたり、閲覧するブラウザアプリやソフトの脆弱性とはプログラムを設計する際に、不注意などから生じた過ちから生じるシステムの弱点のことで、この脆弱性を完全になくすことは非常に難しいものです。

Webサーバーへ侵入する手法の大部分は、サーバーのOSやアプリケーションに存在する脆弱性に照準を定めて攻撃がしかけられるため、対策しておくことは重要な価値があります。

利用者が多いマイクロソフトのOffice製品や、Google ChromeなどのWebブラウザ、さらにはWindows・macOSといったOSなどは広く認められて行き渡っていることで、攻撃の対象として狙われやすくなっているのです。

脆弱性が発見された際には、OSやアプリケーションを速やかにアップデートして、自動で最新版へ更新するように設定しておくことも有効となります。

パーソナルファイアウォールの活用と設定を確認する

他と比べてクラッキングの特に目立つ点として、悪意を抱く第三者がネットワークへの侵入に成功すると、極めて大切な情報を保存しているコンピュータを見つけ出すとともに外部との通信が開始されます。

パーソナルファイアウォールとは、メールやWebサイトの閲覧などの選定されたサービスへのアクセスのみを許す仕組みで、大部分のウイルス対策ソフトに導入されているのです。

基本的にセキュリティソフトがインストールされた時から有効になっていますが、セキュリティレベルを自分の意のままに変更できるので、一度は確かめてみましょう。

外出先のカフェやホテルで公衆Wi-Fiへ接続する場合は、スマホやパソコンのセキュリティレベルの設定をやや高めにすることを推奨します

ブロードバンドルーターを使用する

インターネットへ接続するために必要なルーターの中には、外部からの好ましくない不適切なアクセスをさえぎって中へ入れないようにする、ファイアウォール機能を備えたブロードバンドルーターと呼ばれるものがあります。

インターネットから受け取るデータのうち、前もって設定した前提条件を満たせないものをブロックできるので、ウイルスなどの感染以外にも害を加えようとする攻撃を防ぐためにも有効です。

パスワードを強固にする

スマホ、パソコンのアクセス権限やWebサイトへログインする際のパスワードが簡単に想起できたり単純なものであった場合もよく見受けられ、第三者による勝手なログインアクセスにより重要な情報が漏洩してしまう事故が頻発しています。

ソフトウェア更新やウイルス対策を導入していても、パスワードに対する危機意識が低いユーザーが増えるにつれて被害も大きくなっていくのです。

手間がかかってわずらわしいと感じても、複数の文字や記号を組み合わせて簡単に理解できないパスワードを設定して、複数のサービスで同一のパスワードにしないだけでも危険な攻撃が生じる可能性が大きく減るのです。

二段階認証といってパスワード入力した後に、ショートメッセージサービスでモバイル端末にランダムな4桁の数字を送り、システムを利用する際に必要な二段階目の本人確認をするという方法もあります。

最近のネットバンキングでは一度だけ利用する使い捨てのパスワードもあり、一定の時間が経過すると新しいパスワードになるので、マルウェアに感染しても不正アクセスされる可能性が低くなっているのです。

パスワードに対する攻撃は、かなりの回数のパスワードを試すことで、ネットワークを突破しますので、ログインの失敗回数による制限を加えておき、ログインできなくすることも有効です。

データログの重要性

データログとは、プログラムへの入力・プログラムからの処理要求が起こった場合、その内容と時刻が記録されたもので、障害が発生した際に現象・原因を見極めるために利用します。

ログの記録はいざという時のために、どのデータにいつ誰がアクセスしたかを、必ず大切に保存しておきましょう。

利用する一定の権限を与えられたユーザーと端末単位で、しっかりと理解しておくことで、早い時期に不正アクセスがあったことに気付けるので早急に対応できます。

まとめ

クラッキングの手口は年を追うごとに巧妙化しているとともに、思いがけなく個人が被害を受ける事例も増加しています。

個人情報の漏えいやWebサイトのデータを無断で書き換える行為など、大きな解決すべき事柄となる事象が起こっています。

パソコンやスマートフォンだけでなく、家に備えつけて日常使用する道具や家庭用電気製品まで、インターネットに接続しようとしていることを考えたら、影響の少ない今のうちに理解を深めておきましょう。

こういった問題に対応するには、対策を適切にできるよう習慣づけておくことはとても大切で、日頃からしっかりとセキュリティ対策するとともに、常に診断サービスなどを利用したチェックと改善が欠かせません。

関連トピック
Tags: