サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

クラッキングとは?具体的手口やハッキングとの違い、対策について徹底解説



クラッキングという言葉を検索した方々は「クラッキング」は知らなくても、「ハッキング」なら聞いたことがあるという人は多いかと思います。

皆さんが抱いているハッキングのイメージは「不正に他人にコンピュータに侵入する」「プログラムを破壊する」といったものではないでしょうか。しかし、本当のところはどうなのでしょうか。また、クラッキングはこれとどのように違うのでしょうか。

今回の記事では「クラッキング」と「ハッキング」の違いから、クラッキングの概要から対策まで整理しましたのでご覧ください。

クラッキングとは?ハッキングとの違い

クラッキングとは、Wikipediaでは

クラッキング(クラック、英: Cracking)とは、コンピュータネットワークに繋がれたシステムへ不正に侵入したり、コンピュータシステムを破壊・改竄するなど、コンピュータを不正に利用すること。
引用Wikipedia

と定義されています。ちなみに、ソフトウェアの改ざんなどもクラッキングに含まれます。

ここで、疑問が湧いた方も多いのではないでしょうか。「ハッキングとどう違うの?」

一般的に理解されているハッキングは、システムへの不正侵入や改ざんのことです。しかし、実は、ハッキングとは「コンピューターについて高い技術を用いて調査研究すること」を指します。悪い意味はないのです。

つまり、クラッキングが犯罪などの悪い意味を持っているのに対して、ハッキングは本来悪い意味はありません。

クラッキングの方法

悪意を持った第三者によってコンピュータへの不正侵入やデータ改ざんなどが行われるクラッキング。システムやデータの安全性を確保するためには、クラッキングの脅威から確実にシステムを保護する必要があります。

具体的に保護するためには、クラッキングの手口を知ることが不可欠です。この犯罪行為はいったいどのように行われるのでしょうか。

具体的に、不正アクセスの方法としては以下のような手口が取られることが多いようです。

IDとパスワードを盗み出してログインする

IDをパスワードを盗み出す方法としては色々ありますが、最も身近な脅威としては「ソーシャルエンジニアリング」が挙げられます。

ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、インターネットなどの情報通信技術を使わずに入手する方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものが多くあります。

いつどこからパスワードが悪意ある攻撃者に漏れてしまうかわかりませんので、そのような点を意識してパスワードの管理が必要です。

ツールを使って総当たりでパスワードを特定する

総当たり攻撃では特に「ブルートフォースアタック」と言われる攻撃が有名です。

ブルートフォースアタックとは?
ブルートフォースアタック(総当たり攻撃)とは、「ブルートフォース(brute force)」という言葉の意味(「強引な」とか「力ずく」)を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。

またそのほかにも、「パスワードリスト攻撃」などでもパスワードを盗み出すサイバー攻撃として、多くの被害をもたらしています。

パスワードリスト攻撃とは?
ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法であるため、プログラムによる検出が難しい点が特徴です。

OSやソフトウェアの脆弱性を悪用する

これはサイバー攻撃全般に言えることですが、攻撃者がOS・ソフトウェアの脆弱性を突いてくるサイバー攻撃になります。

マルウェアなどに感染させる

こちらも全てのサイバー攻撃に言えることです。情報などを盗み出すために、マルウェアへの感染を行いその被害を拡散させるものが多くあります。

これらの手口で不正にシステムやネットワークに侵入した上で、改ざんなどの悪事を働くという流れになります。

クラッキングは犯罪?

ところでクラッキングは犯罪行為なのでしょうか。「他人のシステムやネットワークに不正侵入する」「データの改ざんを行う」などの行為を考えると犯罪行為であると考えることも出来ますが、実際のところはどうなのでしょうか。

法律的に見ていくと、まず「他人のシステムやネットワークに不正侵入する」行為は、不正アクセス禁止法に違反するもので、3年以下の懲役または100万円以下の罰金刑に処されるということになっています。

不正侵入の場合は、不正アクセス禁止法が適用されますが、改ざんについてはどうでしょうか。Webサイトなどデータの改ざんは刑法に基づく電子計算機損壊等業務妨害罪が敵湯されます。したがって、こういったクラッキング行為は明確な犯罪であると言えます。

参考不正アクセス禁止法とは?事例・判例から通報対策まで徹底解説

クラッキングされるとどうなる?

自分が使っているシステムやネットワークが、もしクラッキングされたらどうなるのでしょうか。

例えば、以下のようなことが考えられます。

  • 不正に侵入された結果、情報が盗み出される
  • Webサイトなどが改ざんされる
  • システムが破壊され、業務停止せざるを得なくなる

こういったことは、ひとたび発生してしまうと非常に大きな問題となります。

クラッキング事例

実際にクラッキングを受けて被害にあった事例にはどういったものがあるのでしょうか。ここでいくつか例に掲げて見てみましょう。

ケース1:WordPressサイトへの不正アクセスと改ざん

ある企業の例ですが、WordPressでサイトを運営していたところ、改ざんによりデータがすべて削除されるという事例が発生しました。他にも別の企業では、改ざんによりアダルトサイトへ飛ばされるようになったといった事例もあります。

ケース2:不正アクセスによる顧客情報の流出

2016年に外国為替取引サービスを提供する株式会社マネースクエア・ジャパンで発生した事例で、不正アクセスにより約11万件の顧客情報の流出が発生しました。

クラッキングへの対策方法

システムやネットワークに侵入されるだけでなく、データの改ざんなど大きな被害につながることもあるクラッキング。被害を防ぐためにはどういった対策をすれば良いのでしょうか。

クラッキングへの対策は大きく以下の3つとなります。

セキュリティ対策ソフトの導入

多くの企業で最低限ここまでは行なっているかと思います。セキュリティソフトは必須の対策ですし、バージョンなども最新のものにしておきましょう。
参照セキュリティソフト比較|選び方と主要5ソフト比較

OSやソフトウェアのアップデート

OSやソフトウェアの脆弱性が明らかになった際には、必ずセキュリティパッチを当てるなど、バージョンの最新化が必要になりますので、いつも最新版にしておくことは心がけておきましょう。

WAF、ファイヤーウォール等の設置

侵入対策としてWAFやファイヤーウォールなどのツールを入れることは重要です。下記の記事を参考に、あなたの会社でも必要な場合は導入することをお勧めいたします。

また、これらの対策についてはセキュリティ企業などが行なっている「診断サービス」を活用することも良い方法です。このサービスでは、情報システム全体の堅牢性や問題のある箇所を診断、解決策を提示してくれます。こういったものを利用するのも安全でクラッキングに対して強いシステムを構築するために良い方法です。

まとめ

クラッキングとは、悪意のある第三者がシステムやネットワークに不正に侵入し、情報の取得や改ざんを行うものです。これによって個人情報の漏えいや、Webサイトの改ざんなど大きな問題となる事象が発生しています。

こういった問題に対応するには、今回紹介したように日頃からしっかりとしたセキュリティ対策を行うとともに、常に診断サービスなどを利用したチェックと改善が欠かせません。セキュリティの問題は一旦発生すると、非常に大きな問題となる可能性があります。そうならないためにもしっかりとした対策を行いましょう。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。