ライターとしてインターンをしている渡邉です。突然ですが、あなたは「ハッカー」や「ハッキング」という単語を見て何を想像しますか。
- クレカや個人情報を盗む
- アノニマスの仮面
- 黒いパーカー
- 怪しい人
- ダークウェブ
おそらく、広く知られているイメージは上記のようなものが一般的でしょう。ニュースを見ると、たびたびハッカーによる被害が報告されています。世間一般で知られているハッカーは、ハッキングスキルを犯罪に利用する「ブラックハッカー」と呼ばれる存在です。
ITが浸透してしまった現代、ブラックハッカーたちの影響力が増していくことは避けられません。今回は、阿部ひろき著『ホワイトハッカー入門』をもとに、ブラックハッカーから身を守る知識を学びます。
出典:https://book.impress.co.jp/books/1119101182
サイバーウェーブでは、社員が自己研鑽のための書籍購入を補助する「スキルアップ支援制度」があります。『ホワイトハッカー入門』はこの制度を利用して手にしました。
ホワイトハッカーとは
ホワイトハッカー(Ethical Hacker)とは、ハッキングの知識や技術をセキュリティのために使うハッカーを指します。いわば、サイバー攻撃から企業を守る正義の味方です。
ホワイトハッカーの主な仕事は、システムの脆弱性を評価してリスクに対応すること。ITが普及した今日、ホワイトハッカーはさまざまな場面で求められています。
- 適切な対策方法の助言
- 監視における緊急事態の判断
- 鑑識調査や情報解析
- 社内セキュリティ意識の向上
ホワイトハッカーになるには
ホワイトハッカーは、医師や弁護士のように資格がないと就けない職業ではありません。ハッキングの知識や技術をセキュリティのために使えるならば、誰もがホワイトハッカーです。
しかし、個人が持つハッキングスキルを適切に評価できる人が少ないのも事実。自身が持つハッキングスキルを対外的に示す方法として、資格の取得があります。国家機関で働く場合、資格の取得は避けられません。
日本国内で取得できる代表的なホワイトハッカーの資格は、以下の4つです。
| 資格名 | 種類 | 発行元 |
| CEH | 民間資格(ANSI認定) | EC‐Council(アメリカ) |
| CISSP | 民間資格(ANSI認定) | ISC(アメリカ) |
| CompTIA Security+ | 民間資格(ANSI認定) | CompTIA(アメリカ) |
| 情報処理安全確保支援士 | 国家資格 | IPA(日本) |
出典:阿部ひろき『ホワイトハッカー入門』(インプレス社 2020)
基本的なハッキングフロー
ハッキングの基本的な流れは、以下の3段階です。
- 事前準備
- 攻撃
- 後処理
フェーズ1|事前準備
事前準備フェーズの目的は、ターゲットに関する情報の収集と整理です。事前準備フェーズでは、3つの作業を行います。
- 偵察(Reconnaissance)
- スキャニング(Scanning)
- 列挙(Enumeration)
偵察(Reconnaissance)
偵察で行う作業は、ターゲットが公開している情報の収集です。主な公開情報は、以下の2つが挙げられます。
- 売上などの公開情報
- ドメインなどのネットワーク情報
スキャニング(Scanning)
スキャニングで行う作業は、ターゲットのネットワークやサーバーに関する情報収集です。偵察で得た情報は、スキャニングで使います。
列挙(Enumeration)
列挙で行う作業は、偵察とスキャニングで収集した情報の整理です。列挙の目的は、ターゲットの脆弱性を特定・推測し、情報や攻撃手段を探ること。脆弱性に関する情報が足りない場合は、情報収集に戻ります。
攻撃に必要な情報が集まったら、次は攻撃フェーズです。
フェーズ2|攻撃
攻撃フェーズでは、ターゲットの脆弱性に対してハッキングを仕掛けます。特定されないように素早く終えることが重要です。事前の情報収集は念入りに行いましょう。攻撃フェーズでは、2つの作業を行います。
- アクセス権の取得(Gaining Access)
- 権限昇格(Privilege Elevation)
アクセス権の取得(Gaining Access)
アクセス権の取得では、パスワードクラッキングでターゲットの懐に入るためのカギを入手します。クラッキングとは、悪意のあるハッキングのこと。管理者権限を奪取できるとなお良いです。
ターゲットの懐に入れたら、以下の2つをもとに攻撃手法を考えます。
- どのようなサービスが動いているか
- 脆弱性が特定できたか
権限昇格(Privilege Elevation)
アクセス権を取得したら、権限昇格に利用できる脆弱性を特定し、管理者権限を奪取します。権限昇格は、後処理の可否が決まる重要な作業。権限昇格に失敗すると、後処理は困難です。
フェーズ3|後処理
後処理フェーズの目的は、ハッキングの痕跡を隠し、ターゲットを自分の所有物にすること。後処理フェーズでは、2つの作業を行います。
- アクセスの維持(Maintaining Access)
- 痕跡の消去(Cleaning Tracks)
アクセスの維持(Maintaining Access)
ターゲットを自分の所有物にするためには、自由にアクセスできる状態を作らなければなりません。必要に応じてバックドア※やマルウェア(後述)を仕込みます。
痕跡の消去(Cleaning Tracks)
痕跡の消去では、仕込んだバックドアやマルウェアが見つからないように隠蔽し、痕跡を消します。痕跡を消去されると、攻撃者の特定は困難です。ホワイトハッカーは、痕跡を消去される前に攻撃者を特定しなければなりません。
攻撃特定性によるハッキングフローの違い
攻撃特定性の高さによってハッキングの流れが異なります。
- 攻撃特定性が高い場合
- 攻撃特定性が低い場合
攻撃特定性が高い場合のハッキングフロー
攻撃者を特定しやすいハッキングは、ターゲットに対する攻撃の成功率が重視されます。ハッキングの成功率を高めるためには、事前準備が欠かせません。
攻撃特定性が高い攻撃は、インサイダー(部内者)の可能性が高いです。インサイダーの特定方法には、以下の2つがあります。
- 誰がこの情報にアクセスできたか
- 攻撃の動機を持つ可能性があるのは誰か
対策は、事前準備フェーズのスキャニングに対する監視を強化すること。スキャニングは、攻撃フェーズの成否を決める重要な作業です。攻撃者は、確実で効率の良い攻撃手法を探すことに注力します。
裏を返せば、攻撃者は高確率でスキャニングを行うということ。スキャニングは、攻撃者の特定にうってつけのタイミングです。
攻撃特定性が低い場合
攻撃者を特定しづらいハッキングは、前述のハッキングフローに従わないことがあります。攻撃特定性が低いハッキングの主な目的は、以下の2つです。
- 手に入れたツールを試してみたい
- 新たな攻撃手段として利用したい
攻撃者がターゲットを選ぶときの最低条件は、自分のハッキングスキルが通用すること。攻撃特定性が低いハッキングの場合、スキャニング → 攻撃やいきなり攻撃を仕掛けてくることもあります。
攻撃特定性が低いハッキングは、既存の脆弱性が入り口です。脆弱性がなければ、攻撃特定性が低いハッキングは通用しません。既存の脆弱性はすべて排除しておきましょう。
身近にあるハッキングの入り口
ハッキングのターゲットは、大企業や官公庁、その関係者だけではありません。私たち一般人や中小企業もハッカーに狙われています。私たちの身近にあるハッキングの入り口は、以下の4つが代表的です。
- マルウェア(ウイルスなど)
- ソーシャルエンジニアリング
- 公開情報
- フリーWi-Fi
マルウェア
マルウェア(Mal-Ware)とは、Malicious Software(悪意のあるソフトウェア)の略。ユーザーに不利益をもたらすことを目的に作られたソフトの総称です。マルウェアには、さまざまな種類があります。
| ウイルス | 他のアプリケーションに寄生し、実行により動作する |
| ワーム | 自身が単体のアプリケーション |
| ランサムウェア | 攻撃を行い、止める代償に金銭を要求する |
| ボット | DDoS攻撃※に利用されるパケット送信アプリケーション |
| バックドア | アクセス権の維持に使用される攻撃者用の侵入口 |
| ルートキット | 事後活動段階で使われるさまざまなアプリケーションパッケージ |
| スパイウェア | 対象端末のさまざまな情報を収集するアプリケーション |
| アドウェア | 広告を表示するアプリケーション |
出典:阿部ひろき『ホワイトハッカー入門』(インプレス社 2020)
マルウェアの基本的な感染経路は、ファイルのダウンロードです。ダウンロードしたファイルを開くことで端末に感染します。添付ファイルは開く前にスキャンし、黒の場合は削除しましょう。
ソーシャルエンジニアリング
ソーシャルエンジニアリングは、人間の心理的な隙や行動のミスにつけ込んで情報を入手する手法です。ソーシャルエンジニアリングの主な手法には、以下の5つが挙げられます。
- なりすまし
- ショルダーハッキング
- トラッシング
- インサイダー脅威
- フィッシング
なりすまし
なりすましは、ターゲットの関係者を装って情報を盗み出す手法です。攻撃者は、重要顧客やシステム管理人を装って近づき、パスワードやIDを盗み出します。
つきましては、御社のデータに損害がないかを確認させていただきたいのですが、よろしいでしょうか。こちら側の不具合で御社にお手数をおかけするのは申し訳ありませんので、よろしければこちらで代行いたします。
つきましては、IDとパスワードをお借りしてもよろしいでしょうか。
出典:阿部ひろき『ホワイトハッカー入門』(インプレス社 2020)
なりすましの対策は、相手からきた電話やメールでIDなどを聞かれたときは絶対に教えないこと。IDやパスワードに限らず、電話番号や住所などの個人情報も同様です。
中には、なりすましではない本人からの案件もあります。しかし、疑って損はありません。前述の文面のように、言葉巧みに私たちの不安を煽る内容はプロの手法です。相手から「情報を教えてくれ」という電話やメールがきたときは、必ず”本人”に確認を取りましょう。
ショルダーハッキング
ショルダーハッキングは、入力したIDやパスワードなどを肩越しに覗き見る手法です。オフィスや公共の場所で入力している情報は、誰かに覗かれている可能性があります。警戒して損はありません。
ショルダーハッキングの対策は「パスワードマネージャー」や「生体認証」を利用し、情報を手動で入力しないこと。手動で入力しなければならない場合は、周りを確認しましょう。
トラッシング
トラッシングは、ゴミ箱に捨てられた書類や記憶装置から情報を手に入れる手法です。攻撃者は清掃業者を装ってオフィスに侵入し、捨てられたゴミを漁ります。
トラッシングの対策は、廃棄する書類や記憶装置は粉々あるいは物理的に破壊すること。しかし、一般的なシュレッダーで粉々にした書類は、プロの手で復元可能です。
多少値は張りますが、書類を復元不可能になるまで粉々にできるシュレッダーを活用しましょう。記憶装置は、ハンマーや電動ドリルで破壊できます。
インサイダー脅威
インサイダー脅威とは、部内者(インサイダー)によるセキュリティ上の侵害を指します。インサイダー脅威によるセキュリティ被害は、全体の約20%~30%程度。外部からの攻撃に比べると高い割合ではありません。しかし、インサイダー脅威の被害額は外部からの攻撃とほぼ同等です。
インサイダーによる攻撃のパターンは、ほとんどが以下の2つに分けられます。
- 攻撃者がインサイダーになる
- インサイダーを協力者にする
特に注意したいのは、攻撃者が派遣社員としてインサイダーになること。派遣会社によっては、派遣する社員の職歴や身元をしっかりと調査していない場合があるのです。調査を行っていない場合、偽名を使うなど、個人の特定を避ける対策が取れてしまいます。
インサイダー脅威の対策は、攻撃につながる動機を作らないこと。従業員の抱えている不満が攻撃の動機につながる可能性は否定できません。従業員の満足度を上げ、動機の芽を摘みましょう。
フィッシング
フィッシングは、攻撃者が用意した悪意のあるサイトにターゲットを誘導する手法です。フィッシングは以下の用途で使われます。
- マルウェアの配布
- IDやパスワードを盗む
- 個人情報を盗む
あなたも、1度は通販サイトやクレカ会社を装ったスパムメールを見たことがあるでしょう。攻撃者は以下のような文言で私たちを釣り、入力した情報を奪うのです。
- 「あなたのカードは制限されています。今すぐ修正してください」
- 「お得なクーポンをプレゼント!今すぐログインしてください!」
- 「最新のiPhoneが当たりました!個人情報を入力してください!」
フィッシングメールを見破ることは、決して難しいことではありません。以下のポイントに注目すると簡単に見破ることができます。
- 差出人のメールアドレス
- 宛名
- 件名
- 文字化け
- 翻訳ミス
- リンク先のURL
eメールだけではなく、SNSのダイレクトメッセージを使う攻撃者も多いです。おいしい情報に釣られず、文面をよく観察しましょう。
近年では、正規の文面を忠実に再現したものが送られてくることもあります。知らない相手からのメールやメッセージは、警戒するに越したことはありません。
公開情報
攻撃者は、私たちがWebサイトやSNSで公開している情報も狙っています。攻撃者に狙われている公開情報は、以下の3種類です。
- Webサイトで公開している情報
- 公開せざるを得ない情報
- 個人がSNSやブログで公開している情報
Webサイトで公開している情報
「Webサイトで公開している情報」とは、企業や団体があえて公開している情報を指します。代表的なWebサイトで公開されている情報は、以下の7つです。
- URL
- ドメイン
- 所在地
- 電話番号
- 役員や社員の名前
- 取引先
- 連絡用メールアドレス
上記の情報を公開する以上、攻撃者の標的になることは避けられません。しかし、事業を行う以上は公開したほうが良いのも事実。非公開にしても問題ない情報は、なるべく非公開にしておきましょう。
公開せざるを得ない情報
「公開せざるを得ない情報」とは、個人や企業が必ず公開しなければならない情報を指します。代表的な公開せざるを得ない情報は、以下の3種類です。
- Webサイトに関する情報
- ネットワーク情報
- ドメイン情報
- DNS情報
- 上場企業に関する情報
- 売上
- 人事異動
- 取引先情報
- 求人広告に関する情報
- 採用情報
- 職務内容
上記の情報は、原則として非公開にすることはできません。しかし、JPドメイン(.jp)の公開連絡窓口は非公開にできます。JPドメインの公開連絡窓口は、ドメイン会社の代理情報に変更できるのです。詳しくは、ドメイン会社のサイトをご覧ください。
個人がSNSやブログで公開している情報
SNSやブログで個人情報を公開している人は少なくありません。ターゲットのSNSやブログは、とても重要な情報源です。過去の投稿をさかのぼると、本人も忘れている重要な情報が出てくることがあります。
特にFacebookは、ターゲットの個人情報を集めやすいSNSのひとつ。試しに、職場や学校の名前をFacebookの検索欄に入れてみましょう。あなたの身近にいる人のアカウントが出てくくるかもしれません。
SNSやブログで公開されている情報は、基本的には世界中の人が見ることができます。あなたの個人情報を狙う攻撃者もその1人です。
個人を看板に商売をする事業者でもない限り、顔や実名を公開するメリットはありません。公開しても得をしない情報は、なるべく非公開にしておきましょう。
フリーWi-Fi
フリーWi-Fiは、飲食店や商業施設が無料で提供している無線LANです。あなたは、フリーWi-Fiが偽装できるということをご存知でしょうか。
提供されているフリーWi-Fiと同じSSIDとパスワードを設定したアクセスポイントを用意します。本物と間違えて繋いだ利用者の通信を盗聴できてしまうのです。同じ設定のアクセスポイントが複数ある場合、その空間にいる何人かは偽物に繋いでくれるでしょう。
アクセスポイントの偽装する手法は、別名「Evil Twin(双子の悪魔)」とも呼ばれます。Evil Twinの対策は、以下の3つです。
- そもそもフリーWi-Fiを利用しない
- 自分でモバイルWi-Fiを用意する
- VPNを使って通信を暗号化する
同じアクセスポイントが2つある場合、フリーWi-Fiの利用は避けましょう。フリーWi-Fiを利用しないことでパケットは消費されます。しかし、通信を盗聴されるよりはマシです。
ハッカーの手口を学ぶメリット
セキュリティエンジニアでなくとも、サイバーセキュリティを学ぶメリットは大きいです。ITの発展により、便利なツールが日々リリースされています。ネットを経由したサービスは、つねにハッカーが狙っていることを忘れてはいけません。
ハッカーから情報を守るためには、狙う側であるハッカーの手口を把握することが手っ取り早いです。私たちの身近には、さまざまなハッキングの入り口が存在します。サイバーセキュリティの知識は、頭の片隅に入れておいて損はありません。
ホワイトハッカー入門では、ハッキングの技術が体系的にまとめられています。まさに、ハッキングの教科書です。内容をすべて理解するためには、プログラムやサーバー構築の実務的な知識が必要だと感じました。
ホワイトハッカー入門の内容をすべて身に付けることで、ブラックやホワイトに関わらずハッカーになれます。「ハッキングやサイバーセキュリティに興味がある」という好奇心で読んでも面白い本です。
サイバーウェーブでは一緒に働く仲間を募集しています
サイバーウェーブでは一緒に働く仲間を募集しています。当社は創業20年を機に「第2の創業期」として、事業を拡大方針へと舵を切りました。会社が急拡大しており、若いメンバーやインターン生がどんどん入社しています。個人の成長は、勢いのある環境のなかでこそ加速されるものです。成長事業に参画できるチャンスです!
サイバーウェーブはコード1行1行に対してこだわりを持って、プロ意識をもったエンジニアを育てている、技術力に自信のあるシステム開発会社です。社内には、創業23年のノウハウの詰まった研修コンテンツや、安定したシステム開発をするための手順が整っています。実力のあるシステム開発会社だからこそ、経験を積みながら、実践的なシステム開発の技術も学ぶことができます。自信をもって主義主張ができる『飯が食える』エンジニアを目指していただきます。
エンジニアとしてしっかりと飯を食べていけるまでには、道のりは決して短くありません。長期で頑張り、エンジニアになるという強い思いがあれば、実戦的な開発経験と、周りの仲間とコミュニケーションしながら、しっかりと成長することができます。当社のノウハウを余すことなく活かし、技術力を大きく伸ばしていただきます。
ぜひ、エントリーをお待ちしております!
インターン採用
新卒・既卒・第二新卒採用
