ハッカー(はっかー)
ハッカー(はっかー)
- 本来は、「コンピュータや電気回路一般に精通するための努力を惜しまない人」や「その知識を生かして技術的問題点を解決する人」のことであり、巷で言われる「コンピュータに不正侵入して、データを盗んだり改竄・破壊したりする人」ではない。
- ちなみに、「コンピュータに不正侵入して、データを盗んだり改竄・破壊したりする人」のことを正しくは「クラッカー」という。
ハッカーによる情報の取得方法について
- ハッカー(クラッカー)がどのようにして情報を得るかについて述べてゆく。
ソーシャルエンジニアリング攻撃
- 犯罪で使う場合は「IT技術を使わずにハッキングする方法」という意味になる。実際にどのような方法で情報を取得するかというと
- スキャビンジング
- 「ゴミ箱あさり」という意味で、不要になって捨てた重要機密の書いてある紙や、不要になって捨てたコンピュータに取り付けたままのハードディスク、裏紙として利用されたOA用紙…という不要になった人にとっては「ゴミ」としか思えないものから、データを盗み出すこと。
- 「ゴミ箱あさり」という意味で、不要になって捨てた重要機密の書いてある紙や、不要になって捨てたコンピュータに取り付けたままのハードディスク、裏紙として利用されたOA用紙…という不要になった人にとっては「ゴミ」としか思えないものから、データを盗み出すこと。
- ショルダーハッキング
- 銀行のATMから現金を引き出す際、肩口から画面を覗き指の動きを見ることで暗証番号を盗み取ること。下手に高度な技術を使うより、確実な方法である。近年、ショルダーハッキング対策として、ATMにバックミラーが取り付けられた。(下図参照)
- これの派生として、「人のメモを見る」、「話を聞く」という方法がある。
よくあるパターンが、「パスワードをメモした付箋を見る」といったものである。私がいた会社の上司がパソコンにユーザ名とパスワードを記入したものをテプラで作成し、パソコンの天板に貼り付けていたのを見かけたことがある。本人としては、「忘れないため」にやった行為だが、ハッカーからすれば「鍵を差したままのドア」に見えるので、ユーザ名はともかく「パスワードを天板に書き込む」といった行為はくれぐれもやらないように!
- 銀行のATMから現金を引き出す際、肩口から画面を覗き指の動きを見ることで暗証番号を盗み取ること。下手に高度な技術を使うより、確実な方法である。近年、ショルダーハッキング対策として、ATMにバックミラーが取り付けられた。(下図参照)
- 権威を使う
- ショルダーハッキングの派生であり、パスワードを忘れた上司・管理職が自分の立場・権限を生かして、コンピュータ管理者からパスワードを聞き出す方法。
- どのようなものかというと…
上司:おい、央介
私:なんでしょうか?
上司:○○だけどさ、パスワード忘れたから教えてよ
私:パスワードですか?いいですよ
あなたのPCのパスワードは△△△△ですね。メモ置いときます上司:了解
- 仕事場でよく見られる光景(?)だが、本来はセキュリティ上このようなことは絶対にやってはいけないのである。なぜなら、上司が聞き出したパスワードをほかの人(同僚など)が聞いていて、パソコンの知識を持っていたらそのパスワードを使ってパソコンに
ログインし、機密を盗み出すことができてしまうからである。
- 本当は、このように対応しなければならない。
上司:おい、央介
私:なんでしょうか?
上司:○○だけどさ、パスワード忘れたから教えてよ
私:管理者だからお教えすることはできますが、
規則なので、それはできません。上司:いいから教えろ!
私:大変申し訳ありませんが、規則なので守ってください。
上司:(ちっ…使えん奴だな)で、どうすればいいんだ?
私:パスワード紛失届を提出してください。
パスワードを×××にしますので、これでログインしてください。上司:そのあとは?
私:ログインできたら、速やかにパスワードを変更してください。
変更できたら、パスワード変更届を提出してください上司:(ちっ…めんどくせーなー)わかったよ。
- ショルダーハッキングの派生であり、パスワードを忘れた上司・管理職が自分の立場・権限を生かして、コンピュータ管理者からパスワードを聞き出す方法。
- スキャビンジング+権威
- 「スキャビンジング」と「権威を用いて聞き出す」方法を組み合わせて使用すること。クラッカーが産業廃棄物業者の制服を入手して、会社に侵入しゴミを持ち出し、そこから情報を盗み取ったという事例が実際にあった。
これは「制服」が1つの権威となり、会社にいるということが不自然でなくなる。さらに、業者がごみを持って行く=日常の光景であり業者=会社に不可欠な仲間でもあるからだ。
このような盲点をついて堂々と情報を盗んでゆくのである。
- 「スキャビンジング」と「権威を用いて聞き出す」方法を組み合わせて使用すること。クラッカーが産業廃棄物業者の制服を入手して、会社に侵入しゴミを持ち出し、そこから情報を盗み取ったという事例が実際にあった。
- 廃棄パソコン
- 設備更新のため古いパソコンを廃棄するが、その時、内部の補助記憶装置(ハードディスクなどのこと)のデータをそのままにして「どん!」と集積場に置いてある場合が多々ある。クラッカーはハードディスクを抜き取ってそこからデータを盗み取る。
- その対策として、ハードディスクに穴をあけて使えなくしたり、データ破壊ソフトを使って「完全消去」を行ったり、水に浸して破壊したり…といったことを行うが、クラッカーは「完璧を求めず一部さえ取れれば儲けもの」という考えで動いているので、我々からしたら「ここまでやったから、もうデータを取り出すのは無理だろう」と思っていても、彼らはそこから一部を抜き取ることができるのである。
- 設備更新のため古いパソコンを廃棄するが、その時、内部の補助記憶装置(ハードディスクなどのこと)のデータをそのままにして「どん!」と集積場に置いてある場合が多々ある。クラッカーはハードディスクを抜き取ってそこからデータを盗み取る。
- スキャビンジング
パスワード攻撃
- 総当たり法(Brute Force Attack:粗暴な力任せの攻撃)
- 他人のパスワードや暗証番号を得るための方法の1つで、一番原始的だが一番確実な方法である。ただし、これが威力を発揮するには、次の条件がそろっていなければならない。
- パスワードの文字数が少ない
- 考えられるパスワードの組み合わせが少ないなど
- クラッカーが特に狙いをつけているのは、みんなが持っている銀行のキャッシュカードの暗証番号である。これは、0~9の10通りの数字を4つ組み合わせて作るもので、0000~9999まで1万通りの組み合わせしかない。上に示した2つの条件を満たしているため、考えられるすべての組み合わせを調べても時間がかからないからである。
- 他人のパスワードや暗証番号を得るための方法の1つで、一番原始的だが一番確実な方法である。ただし、これが威力を発揮するには、次の条件がそろっていなければならない。
- これから身を守るには?
- では、このような攻撃から自分の財産を守るにはどうすればよいのか?
方法はただ1つ。「定期的に暗証番号を変える」こと。
- クラッカーが総当たり法で暗証番号を調べているとき、暗証番号を変えるとまた1から暗証番号を調べなければならない。この期間を短くすることにより、クラッカーの「暗証番号を調べて一儲けしてやるぜ、ヒャッハー!」という気持ちを萎えさせるのである。
- これを発展させたのが、「ワンタイムパスワード」である。これは使い捨てのパスワードを使用することで、クラッカーがパスワードを試す機会を減らすというものである。
- では、このような攻撃から自分の財産を守るにはどうすればよいのか?
- 辞書攻撃
- パスワードは総当たり法で調べることはことはできるが、それがクラッカーの望む「現実的な時間」で終わる可能性は低い。さらに、最低限の長さや複雑さも増す傾向にあるので、総当たり法でパスワードを解析する時間が長くなっている。
- 利用ガイドに「解読されにくいパスワードを入れましょう」と書いてあるが、これを守っている人はほとんどいない。また、人間が作ったパスワードは、意味のない英字や数字の並びではないので、意味のある言葉のみをえりすぐって試していく方が、短時間で正解にたどり着くわけである。
- そこで、クラッカーたちはそれをまとめた「辞書」をもとに、攻撃を開始する。これが辞書攻撃である。
- この「辞書」というのは、ジーニアスやオックスフォード、広辞苑といった辞書ではなく、「よくパスワードに使用される文字列集」のことである。
- たとえば、どのようなものかというと…
- user
- admin
- password
- pass
- root…など
- 誰もが使いそうな文字、初期設定時の仮パスワードなどをまとめたものである。また、特定の組織・人物を攻撃する場合は、あらかじめその人の生年月日や電話番号、好きな言葉、ペットの名前、親の名前、出生地、出身学校名などを登録しておく。
- 辞書攻撃がうまくいけば、一瞬でパスワードを解析することができてしまうが、辞書に載っていなければ解析することができないという欠点がある。
- パスワードは総当たり法で調べることはことはできるが、それがクラッカーの望む「現実的な時間」で終わる可能性は低い。さらに、最低限の長さや複雑さも増す傾向にあるので、総当たり法でパスワードを解析する時間が長くなっている。
- これから身を守るには?
- 非常に一般的な攻撃方法であるので、パスワードシステム利用者をとしては、辞書に掲載されていないような言葉をパスワードとして設定することが最も効果的である。
フィッシング
- 詳しくは、フィッシング詐欺を参照のこと。
- これから身を守るには?
- URLをきちんとチェックし、本来閲覧したいサイトかどうかを確認すること。
- ビット誤り(外部からのノイズや熱暴走などにより、ビットがひっくり返る現象)を起こさないよう、過酷な環境ではなく、「パソコンに優しい」環境で使用すること。
- ビット誤りが生じる可能性が高いスマートフォンといった携帯端末からアクセスするのではなく、パソコンからアクセスするように心がける。
- URLをきちんとチェックし、本来閲覧したいサイトかどうかを確認すること。
ロギング
- 正確には、「キーボードロギング」という。名前の通り、あなたが入力した際に使用したキーボードの位置を記憶するプログラムを仕掛け、そこからパスワードなどを盗み取る方法である。
- 使用したキーボードの位置をすべて覚えているので、ID、パスワード、暗証番号といったものがクラッカーにダダ漏れになる。文書作成ツールが紙と鉛筆からパソコンに移っている今日、これほど恐ろしい情報漏洩ツールはない。
- 構造としては、パソコン内で常に動いており、押されたキーの位置を記憶し続けるだけなので、ど素人の人間がプログラム作成方法を1か月程度本気になって学べば作れるような代物である。しかし、足がつきやすい。
- このようなものであるから、仕掛けたのがばれて捕まっても気にすることがない人間がいつでも使う可能性があることを頭に入れておくこと。
- これから身を守るには?
- 一番確実な方法は、パソコンといった装置を使わないこと。
- 実際にそのようなことをするのは、情報漏洩と同等のリスクを生じるので、パソコンを使用する際は、必ずセキュリティ対策ソフトを入れる(パソコンにインストールする)こと。
まとめ
- ハッカーが侵入する経路は身近なところに潜んでいることを知っておく。
- 「ハイテクを駆使して情報を盗み取る」だけでなく、「人間関係」や「人間心理」といったIT技術とは無縁な方法を駆使することでも情報を盗むことができるということを頭に入れておくこと。
- ハッカーからすれば「赤子の手をひねるような容易な方法」でも、使い方次第ではハッカーをてこずらせることができるということを知っておく。
参考文献 岡嶋裕史,ハッカーの手口,PHP研究所,2012,p19-p62
a:2394 t:1 y:0
