Written by 夏野ゆきか
目 次
クラッキングとは、悪意を持って他人のコンピュータシステムやネットワークへと不正アクセスし、データ窃取や破壊を行う攻撃を指します。
クラッキングと似た用語に「ハッキング」がありますが、ハッキングはシステムの理解を深めたり、セキュリティを向上させたりすることを目的とする場合もあり、必ずしも悪意のある行為を指すわけではありません。
一方で、クラッキングは明確に悪意を持った不正行為を指します。企業・組織のシステムがクラッキングされてしまった場合、情報漏洩やそれに伴う社会的信用の低下、金銭的な損失などの被害が想定されます。
脆弱性診断の実施や不正アクセス検知システムの導入といった、セキュリティ対策を日頃から導入する様にしましょう。この記事では、クラッキングの手口や被害事例、有効な対策などを解説します。
▼この記事を要約すると
- クラッキングとは、他者のコンピュータシステムやネットワークに無許可で侵入し、データを不正に取得・改ざん・破壊する行為
- クラッキングは明確に悪意を持った不正行為を指すが、ハッキングはシステムへの理解や、セキュリティの向上を目的とする場合もあるなど必ずしも悪意のある行為を指すわけではない
- クラッキングの主な手口としては、「認証情報の窃取」「専用ツールの使用」「マルウェア感染」「OS・ソフトウェアの脆弱性の悪用」などが挙げられる
- クラッキングされてしまった場合、「情報漏洩」「社会的信用の低下」「金銭的な損失」「業務の停止」「サイバー攻撃の踏み台として利用される」といった被害が想定される
- クラッキングに対しては、「脆弱性診断の実施」「エンドポイントセキュリティの強化」「不正アクセス検知システムの導入」「ネットワーク機器の設定の見直し」「OS・ソフトウェアの定期的なアップデート」といった対策が有効
クラッキングとは
クラッキングとは、他者のコンピュータシステムやネットワークに無許可で侵入し、データを不正に取得・改ざん・破壊する行為を指します。
クラッキングは「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」に違反する行為であり、不正アクセス禁止法に違反した場合、最大で3年以下の懲役、または100万円以下の罰金が科せられる可能性があります。
ハッキングとクラッキングの違い
クラッキングとハッキングはしばしば混同されますが、ハッキングは必ずしも悪意のある行為を指すわけではありません。
ハッキングはシステムの理解を深めたり、セキュリティを向上させたりすることを目的とする場合もありますが、クラッキングは明確に悪意を持った不正行為を指します。
▼一般的なハッキングとクラッキングの違い
| 項目 | ハッキング (Hacking) | クラッキング (Cracking) |
|---|---|---|
| 定義 | コンピュータやシステムの仕組みを深く理解し、改良や解析を行う行為 | 他人のシステムやデータに不正にアクセスして損害を与える行為 |
| 目的 | 主に学習、改善、テスト、安全性の強化 | 金銭的利益、データ窃盗、システム破壊などの不正目的 |
| 法的側面 | 合法であることが多い(ホワイトハッキングなど) | 不法行為であり、「不正アクセス禁止法」など法的に罰せられる |
| 例 | セキュリティの脆弱性検証、システムの効率化 | パスワードの破壊、データの不正取得、マルウェアの注入 |
ただし、両者の定義は明確ではないため、クラッキングをハッキングと表現するケースもあります。
クラッキングの手口
クラッキングの主な手口としては、以下が挙げられます。
- ・ 認証情報の窃取
- ・ 専用ツールの使用
- ・ マルウェア感染
- ・ OS・ソフトウェアの脆弱性の悪用
認証情報の窃取
認証情報の窃取は、攻撃者が頻繁に用いる手法の一つです。特に、フィッシングサイトを利用した手口が広く知られています。
攻撃者は、下の画像のような正規のサイトと酷似したフィッシングサイトを作成し、サイトのURLを添付したメールを送り付けて、ユーザーをフィッシングサイトに誘導します。
▼みずほ銀行の正規サイト偽サイトの比較
出典:NHK|“見分けるのは無理” 知ってほしい「フィッシング詐欺」対策は
偽サイトと気付かずにユーザーがIDやパスワードを入力することで、認証情報が窃取されてしまうのです。こうしたフィッシング攻撃の防止には、身に覚えのないメール・SMS・DM内のURLを安易にクリックしないことが重要です。
また、多要素認証を導入しておくのも有効です。
※多要素認証…知識情報(パスワードなど)、所持情報(スマートフォンなど)、生体情報(指紋など)の中から、2つ以上の要素を活用して認証を行うセキュリティ手法
多要素認証を導入していれば、万が一ID・パスワードを窃取されたとしても、追加の認証要素がなければ認証を突破できないため、クラッキングされるリスクを低減できます。
専用ツールの使用
攻撃者は、システムや他社のアカウントに不正アクセスするために、「ブルートフォース攻撃」を仕掛けることがあります。ブルートフォース攻撃とは、無数に存在するパスワードのパターンを1つずつ試行し、認証突破を試みる攻撃手法です。
人の手で一つひとつパスワードのパターンを試すと膨大な時間がかかってしまうため、攻撃者はパスワードクラッキングツールといった専用ツールを使用し、効率的な認証突破を図ります。
ブルートフォース攻撃に対抗するためには、先述した多要素認証の導入などが効果的ですし、突破されづらい複雑なパスワードを設定も重要です。
例えば、アルファベットの大文字小文字と数字を組み合わせた12桁以上のパスワードなら、総当たり攻撃のリスクを大きく軽減できるでしょう。
マルウェア感染
情報窃取型のマルウェアを利用する手口もあります。
情報窃取型のマルウェアに感染すると、Webブラウザに保存されている認証情報や端末内の写真、テキスト情報などが盗まれてしまいます。
こうしたマルウェアに感染しないためには、信頼できるアンチウイルスソフトを導入し、常に最新の状態に保つことです。
また、マルウェアの感染経路で特に多いのは「メール」なので、不審なメールの添付ファイルを開かないことも重要です。
OS・ソフトウェアのセキュリティホールの悪用
セキュリティホールとは、ソフトウェアやシステムに存在する「セキュリティ上の欠陥」のことです。
ソフトウェア・OSの開発段階における、バグや設計ミス、プログラムコードの書き間違いなどによって発生するもので、サイバー攻撃者はセキュリティホールを悪用してシステムに侵入しようとするのです。
セキュリティホールを狙った攻撃を防ぐためには、常に最新のセキュリティパッチを適用し、OSやソフトウェアを最新の状態に保つことが重要です。セキュリティホールの改善に向けた対策は以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。
クラッキングによる被害
クラッキングは、個人や組織に深刻な影響を及ぼす可能性があります。その被害は多岐にわたり、時として回復が困難なダメージをもたらすこともあります。ここでは、クラッキングによって引き起こされる主な被害について解説します。
個人情報や機密情報の漏洩
クラッキングによって、通常アクセスすることができないデータベースにアクセスされる危険性があります。
これにより、データベースに保存されている機密情報の漏洩が想定されます。
社会的信用の低下
顧客データといった機密情報が漏洩した場合、企業の社会的信用の低下につながります。
これにより、顧客離れや取引先との契約解除など、深刻な問題に発展することも考えられます。
クラッキング被害を受けた組織は、セキュリティ対策の強化、情報公開の徹底、被害者への補償など、様々な対応を迫られることになるでしょう。
金銭的な損失
クラッキングによって情報漏洩が発生すると、以下のような多額のコストが発生します。
- ・ 事故の調査費
- ・ 復旧費用
- ・ 損害賠償請求された場合の費用
ネットワークの停止や、事業停止によって利益損害も発生してしまいます。
業務の停止
クラッキングは、組織の業務を完全に停止させる可能性があります。その代表的な手法がDoS攻撃です。
DoS攻撃では、攻撃者が標的のサーバーに大量のリクエストを送信し、処理能力を超えさせることで、サービスを利用不可能な状態にするサイバー攻撃です。近年ではさらに高度化した「DDoS攻撃」も増加しています。
DDoS攻撃では、多数の感染端末(ボットネット)を利用して攻撃が仕掛けられるため、単体のDoS攻撃に比べ大規模な被害を受ける特徴があります。
サイバー攻撃の踏み台として利用される
自社が運営するWebサイトの管理者アカウントの認証情報が盗まれた場合、自社サイトが改ざんされるリスクがあります。
改ざんを受けると自社サイトを訪れたユーザーのコンピュータを次々にマルウェアに感染させるなど、サイバー攻撃の踏み台に利用されることが考えられます。
クラッキングの被害事例
クラッキングによる被害は企業の規模を問わず発生しており、多くの場合、個人情報の流出やシステムの脆弱性が原因となっています。ここでは、最近発生した2件のクラッキング被害事例について紹介します。
1. 大手電気機器メーカーが運営するオンラインストアに不正アクセス、約10万件強の個人情報が流出した可能性
| 企業 | 大手電気機器メーカー |
|---|---|
| 被害時期 | 2024年7月 |
| 原因 | Webサイトに用いたソフトウェアの脆弱性 |
| 被害内容 | 約10万件強の個人情報が流出した可能性 |
2024年7月、大手電気機器メーカーが運営する2つのオンラインストアが不正アクセスされ、個人情報が流出する事件がありました。
203件のサイト利用者の氏名、住所、電話番号などが外部に流出したことが確認されています。
加えて不正アクセスにより、同サイトにアクセスした利用者を、悪意あるサイトに誘導するよう改ざんされていました。
これにより、同サイトにログインもしくは商品を注文した利用者2万6,654人と、注文やログインはしていないもののアクセスした約7万5,000人の利用者、合計約10万件強の個人情報が流出した可能性があることを示唆されました。
不正アクセスの原因は、Webサイトに使用していたソフトウェアの脆弱性が悪用されたことによるものでしたが、同社はすでに脆弱性を修正し再発防止に向けての対策を行っています。
2. 自動車メーカーのサーバー機器へ不正アクセス、10万件の個人情報が漏洩
| 企業 | 大手自動車メーカー |
|---|---|
| 被害時期 | 2023年9月 |
| 原因 | 社内に設置されていたアプリケーションサーバーの脆弱性 |
| 被害内容 | 10万件以上のカウント情報が流出した可能性 |
2023年9月、大手自動車メーカーのサーバー機器が不正アクセスを受け、個人情報が漏洩した可能性があることが明らかになりました。
漏洩した可能性があるのは、当該企業およびグループ会社の社員と協力会社の社員、取引先担当者のアカウント情報、10万4,732件が該当しました。ユーザーIDやパスワード、氏名、会社名電話番号などが含まれていたとのことです。
不正アクセスの原因は、社内に設置されていたアプリケーションサーバーの脆弱性が悪用されたことでした。
当該企業は再発防止策として、セキュリティ体制の改善、全てのウェブサイト及びネットワークに対する監視体制強化などを行うとしています。
クラッキングへの対策
クラッキングに有効な対策としては、以下の5つが挙げられます。
- ・ 脆弱性診断の実施
- ・ エンドポイントセキュリティの強化
- ・ 不正アクセス検知システムの導入
- ・ ネットワーク機器の設定の見直し
- ・ OS・ソフトウェアの定期的なアップデート
脆弱性診断の実施
クラッキングの手口に関する章で説明したように、攻撃者は脆弱性の一種である「セキュリティホール」を悪用して、システムに不正侵入しようとします。
そのため定期的に脆弱性診断を実施し、脆弱性を早期発見および修正することが重要です。脆弱性診断には、主に「手動診断」と「ツール診断」の2つの手法があり、メリット・デメリットは以下の通りです。
▼手動診断・ツール診断の違い
| 手動診断 | ツール診断 | |
|---|---|---|
| 診断方法 | セキュリティ専門家が、「手作業」で脆弱性を検査する方法 | 専用のソフトウェアツールを使用して、自動的に脆弱性を検査する方法 |
| メリット | ・ツールでは見つけにくい「複雑な脆弱性」や「ビジネスロジックの問題を突いた攻撃」を発見しやすい ・特定のニーズや状況に応じて診断方法を柔軟に変更できる ・誤検知が少ない |
・短時間で広範囲のチェックができる ・手軽に利用でき、診断のコストが低い ・検査手法が確立している一般に認知されている脆弱性の検出精度が高い |
| デメリット | ・診断する担当者のスキルに依存する ・実施に時間がかかり、コストが高くなる場合がある |
・複雑な脆弱性、ビジネスロジックの問題を突いた攻撃等を見逃しやすい ・誤検知の可能性がある ・ツールによっては、大量の指摘事項が検知され、対応の優先度決めや脆弱性管理工数にコストがかかる ・ツールの設定に不備があり、適切な診断ができない可能性がある ・新しい脆弱性に対応できない場合がある |
目的や社内のリソースに応じて、両者をうまく使い分けることをおすすめします。
エンドポイントセキュリティの強化
エンドポイントとは、企業内のコンピュータやスマートフォンなど、ネットワークに接続するデバイスを指します。エンドポイントは多くのケースで攻撃者の侵入口・taの起点となるため、エンドポイントセキュリティの強化は必須の対策と言えます。
高精度なアンチウイルスソフトを導入して、マルウェアの侵入を未然に防ぐことはもちろん、EDR(Endpoint Detection and Response)を併用することで、アンチウイルスソフトの検知を逃れたマルウェアにも迅速に対策することが可能です。
不正アクセス検知システムの導入
不正アクセス検知システムは、ネットワークやシステムへの不審な活動を監視し、即座にアラートを発する重要なツールです。
代表的なものとしては以下が挙げられます。
●IDS(Intrusion Detection System)…不正アクセスを検知して管理者に通知する
●IPS(Intrusion Prevention System)…不正アクセスを検知するだけでなく、不審な通信をブロックする
●WAF…WebサーバーとWebアプリケーションの間でHTTP通信を監視し、悪意のある攻撃を検知・ブロックする
これらのシステムを導入することで、攻撃の初期段階で対応することが可能になり、被害の拡大を防げます。また、より広範なネットワーク上のトラフィックを監視・分析し、異常な活動や潜在的な攻撃を早期に発見する「NDR」というセキュリティソリューションもあります。
これらのシステムの効果を最大化するためには、定期的な更新と適切な設定が不可欠です。
関連ページネットワーク機器の設定の見直し
ネットワーク機器の設定の見直しは、クラッキングのリスクを減少させる重要なステップです。
具体的にはルーターやスイッチなどのネットワーク機器のファームウェアは定期的に更新し、既知の脆弱性に対応します。また、特定のIPアドレスやポートへのアクセスを制限するACLを活用する、VPNの設定を見直すなども有効です。
不要なUSBポートやネットワークポートは無効化することで、攻撃者による機器の悪用を防止します。
OS・ソフトウェアの定期的なアップデート
クラッキング対策の基本として、OSやソフトウェアの定期的なアップデートが挙げられます。
OSやソフトウェアの提供元では、定期的にセキュリティホールを修正するための「更新プログラム」「セキュリティパッチ」を提供しており、これを適用することで古いバージョンの脆弱性を修正することが可能です。
OSやソフトウェアは最新の状態を保ち、セキュリティホールが残ったままの状態を放置しないようしましょう。
クラッキング対策なら「LANSCOPE プロフェッショナルサービス」にお任せ
クラッキングのリスクを低減するためには、定期的な脆弱性診断の実施が重要です。
「LANSCOPE プロフェッショナルサービス」は、インシデントや脆弱性情報を定期的に収集・解析し、診断ルールに最新情報を反映。常に最新のセキュリティ基準での脆弱性診断を提供します。事業会社や官公庁などでリピート率90%を誇る高品質な診断が評価されています。
また、国家資格を持つスペシャリストが、利用環境の脆弱性を網羅的に洗い出し、効果的な対策をサポート。診断後のレポートでは脅威のリスクレベルと具体的な対策案も提示し、着実なセキュリティ向上を実現します。
▼脆弱性診断サービス 一覧
- ・ Webアプリケーション診断
- ・ ソースコード診断
- ・ ネットワーク診断
- ・ スマートフォンアプリケーション診断
- ・ ゲームセキュリティ診断
- ・ IoT 脆弱性診断
- ・ ペネトレーションテスト
- ・ サイバーリスク健康診断
「自社環境やサービスに脆弱性の懸念がある」
「診断ツールではなく、専門家の目でしっかり診断を受けたい」とお考えのご担当者様には、ぜひ一度「LANSCOPE プロフェッショナルサービス」へお問い合わせください。
お客様のご都合や予算に応じ、最適なプランをご提案し、信頼できる診断サービスを提供いたします。
また「まずは簡易的に脆弱性診断を行いたい」というお客様向けに、低コスト・短期で診断が実施できる「セキュリティ健康診断パッケージ」も提供しています。
ご利用中のクラウドサービスの設定を見直す、クラウドセキュリティ診断
当社では、脆弱性診断に加え、AWSやMicrosoft 365、Azureなどのクラウドサービスにおける設定ミスを専門家が診断し、セキュリティリスクを根本から改善する「クラウドセキュリティ診断」を提供しています。
多要素認証の有効化、アクセス権限の見直し、認証方法の適切な設定など、不正ログインや設定不備のリスクを徹底的に洗い出し、適切な対策を専門のベンダーがご提案。不正アクセスや内部不正による情報漏洩など、セキュリティ事故を未然に防ぎます。
「クラウドセキュリティ診断」の詳細は、以下をご覧ください。
まとめ
本記事では「クラッキング」をテーマに、その手口や事例・有効な対策などを解説しました。
本記事のまとめ
- クラッキングとは、他者のコンピュータシステムやネットワークに無許可で侵入し、データを不正に取得・改ざん・破壊する行為
- クラッキングは明確に悪意を持った不正行為を指すが、ハッキングはシステムへの理解や、セキュリティの向上を目的とする場合もあるなど必ずしも悪意のある行為を指すわけではない
- クラッキングの主な手口としては、「認証情報の窃取」「専用ツールの使用」「マルウェア感染」「OS・ソフトウェアの脆弱性の悪用」などが挙げられる
- クラッキングされてしまった場合、「情報漏洩」「社会的信用の低下」「金銭的な損失」「業務の停止」「サイバー攻撃の踏み台として利用される」といった被害が想定される
- クラッキングに対しては、「脆弱性診断の実施」「エンドポイントセキュリティの強化」「不正アクセス検知システムの導入」「ネットワーク機器の設定の見直し」「OS・ソフトウェアの定期的なアップデート」といった対策が有効
企業や組織のシステムがクラッキング被害を受けると、情報漏洩や社会的信用の低下、さらには金銭的な損失といった重大なリスクが発生します。
これを防ぐためには、「OSやソフトウェアのアップデート」といった基本的な対策を徹底するとともに、定期的な脆弱性診断を実施し、自社のセキュリティリスクを把握することが重要です。
堅牢なセキュリティ体制を構築し、継続的に強化していく姿勢が求められます。
おすすめ記事
