近年、パソコンやスマートフォンなどを対象としたハッキングの手口は年々高度化・巧妙化しており、専門知識が無い中での対策や対処はますます困難になっています。
万が一、ハッキング被害を受けた場合、金銭被害や長期間の業務停止をはじめ、甚大な影響を受けることもあります。
本記事では、ハッキングについて解説し、手口や被害、対処法について詳しく解説します。
ハッキングとは
「ハッキング」とは、コンピューターやネットワークに高度な技術や知識を駆使してアクセスや操作を行う行為を指します。したがって、セキュリティの強化のために、コンピューターをハッキングして脆弱性を探知する行為もハッキングに該当します。このようにシステムの改善やセキュリティの向上のためにハッキングを行う人物は「ホワイトハッカー」と呼ばれ、セキュリティ強化などを担当します。
一方で悪意を持って不正アクセスや、ウイルス(マルウェア)感染、データの盗難などを行うためにハッキングすることは、「クラッキング」と呼ばれます。こちらは「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」に抵触し、実行した場合は日本の現行法で「3年以下の懲役又は100万円以下の罰金」が科されます。
ハッカーの目的
「ホワイトハッカー」の場合はシステムの脆弱性を見つけてセキュリティを強化することが目的になります。一方でクラッキングを行う「クラッカー」の場合は目的が多岐にわたります。セキュリティの厳しいシステムにハッキングをしかける愉快犯や復讐、産業スパイでハッキングを行う人物もいますが、多くは金銭目的による犯行です。個人情報を盗んでクレジットカードなどを不正利用する、企業の機密情報を盗み出して競争相手に売り渡す、ランサムウェアを仕掛けて金銭を要求するなどの手口が挙げられます。
代表的なハッキングの手口
ハッキングには様々な手口がありますが、ここでは特に代表的な物を7つ紹介します。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、マルウェアやウイルスなどを使用せずに、パスワードや機密情報を持ち出す手法です。
例えば、取引先や情報システム部門の担当者など、信頼できる人物を装って電話をかけ、システムにログインするパスワード等を聞き出すといった手口があります。
マルウェア
マルウェアは、悪意のあるソフトウェアの総称です。代表的な例として、以下の物が挙げられます。
- ワーム
- トロイの木馬
- ランサムウェア
感染する原因としては、電子メールの添付ファイル、偽のソフトウェアのダウンロード、悪意のあるウェブサイトからファイルのダウンロードなど、さまざまな手段が挙げられます。
これらがシステムに侵入すると、システムが破壊されたり、データが盗まれることがあります。マルウェアに関しては、こちらの記事で詳しく解説しています。
ゼロデイ攻撃
脆弱性とは、プログラムの不具合や設計上のミスなどが原因で発生し、パソコンのシステムやソフトウェアに存在するセキュリティ上の弱点を言います。ゼロデイ攻撃は、脆弱性を悪用した攻撃手口になります。
しかし、ゼロデイ攻撃は、ソフトウェア開発者も認識していない脆弱性を悪用するため、事前に予防することが難しく、対処法も提供されていないため、専門知識が無いと対処が難しい攻撃になります。
ゼロデイ攻撃からシステムを守るには専門家による脆弱性診断を受けることが一番効果があるとされます。システムに脆弱性がないか気になるのであればセキュリティの専門家に相談しましょう。
ブルートフォースアタック(総当たり攻撃)
ブルートフォースアタック(Brute Force Attack)は、IDやパスワードに総当たりでアクセスし、システムのハッキングを試みる手法です。
コンピューターが自動でパスワードを入力していくことによって、パスワードを解除できるまでログインを行います。
またブルートフォースアタックに似た手口として、パスワードの作成に特定の単語が使われる傾向にあることや、過去に漏洩したパスワードをリスト化し、不正アクセスを試みる方法もあります。これを「辞書攻撃」と呼びます。
SQLインジェクション
SQLインジェクションは、自社で運用しているサイトなど、ウェブアプリケーションを攻撃し、情報を抜き出す手口です。
自社のウェブサイトがSQLインジェクションで攻撃された場合、顧客の個人情報やクレジットカード情報が盗まれ、多額の損害賠償が発生する可能性があります。
また、データベースの改ざんされた場合、サイトの運用ができなくなり、収益が減少することも考えられます。
ゾンビコンピュータ化
攻撃者によって、乗っ取られた端末を「ゾンビコンピュータ」と言います。
スパムメールや、偽物のウェブサイトを経由して、ボットと呼ばれるプログラムを仕込まれ、第三者が遠隔操作できる状態になります。
ゾンビコンピュータになると、他の端末に被害が拡大したり、利用者が知らないうちにサーバーに攻撃を行い、ダウンさせる「DDoS攻撃」が発生することが考えられます。
水飲み場攻撃
水飲み場攻撃とは、特定のターゲットグループが頻繁に訪れるウェブサイトにマルウェアを仕込むことで、そのグループを感染させる手法です。攻撃者はまずターゲットが利用するウェブサイトを特定し、そのサイトに侵入して悪意のあるコードを埋め込みます。ターゲットが改ざんされたサイトにアクセスすると、マルウェアが自動的にダウンロードされ、感染が広がります。この手法は、ターゲットが信頼しているサイトを利用するため、感染に気づきにくく、防御が難しいという特徴があります。
ここまで紹介した手口は、専門家の知見の下で事前に対策を行い、発覚した場合は直ちに感染経路や被害データの特定を行う必要があります。個人での作業は膨大な時間が必要になるため、調査会社に相談することをおすすめします。
ハッキングが起きた場合に考えられる被害
パソコンやスマートフォンなどがハッキングされることによって起きる被害は以下の通りです。
個人情報の流出や機密情報の流出
不正アクセスやマルウェア感染などによってパソコンやスマートフォンがハッキングされると、ログインID、パスワード、クレジットカード番号、生年月日などの個人情報が流出する場合があります。企業であれば、業務や経営に関係する機密情報などが流出する可能性も発生します。
企業の場合は更に、改正個人情報保護法に基づき顧客の個人情報が漏えいした、もしくは漏えいした可能性がある場合、個人情報保護委員会に報告と通知が義務付けられています。
安全管理措置の不備など重大な過失があった場合や、報告を怠った場合は、罰金を支払わなければならず、違反した場合は最大1億円の罰金が科される可能性があります。
金銭被害
パソコンやスマートフォンがハッキングされ、個人情報が盗まれるとクレジットカードの不正利用や不正送金などの被害に遭う可能性があります。個人であっても被害額が数百万〜数千万円に及ぶ場合もあるので、不正なアプリのインスト―ルやハッキングにつながるフィッシング詐欺などには注意したいところです。
一方で企業がハッキングの被害に遭った場合、会社の信頼に関わるため、関係企業から取引を停止されたり、新規顧客を獲得できず、売上が下がるだけでなく、情報漏洩の被害者たちの対応や損害賠償請求への対応などが必要になることがあります。
特に悪質なのがランサムウェアの感染で、データを暗号化されて機器を使えなくしたうえで身代金を要求されます。解除と引き換えに身代金を要求されますが、身代金を支払っても暗号が解除されない場合があります。ランサムウェアに対応できたとしても、システムの復旧にはコストと時間がかかります。
踏み台攻撃への利用
ハッキングされたパソコンやスマートフォンを遠隔操作して、別の機器へハッキングなどのサイバー攻撃を行うことを踏み台攻撃と言います。踏み台攻撃に遭うと不特定多数にスパムメールの送信や、不正アクセスの経路として利用される場合があります。
Webサイトの改ざん
Webサイトの脆弱性をついたハッキングが行われると、内容やリンクなどを改ざんされ、最悪の場合はマルウェアのスクリプト(プログラム)が埋め込まれることもあります。2023年にはWeb改ざんを行ってクレジットカード情報を不正入手したことで逮捕者も出ました。WEB改ざんの被害にあった対処法については以下のリンクに詳しく掲載されているので、Web改ざんについて詳しく知りたい方や実際に被害を受けた方はぜひご確認ください。
出典:日本経済新聞
ハッキング事件の代表例
毎年多くのハッキング事件が発生しています。以下はその代表例です。
1999年に初めて起きた世界規模の攻撃
ウイルスの一種であるメリッサは、数時間のうちに瞬く間に拡散し、初めて世界規模で流行しました。
このマクロウイルスは電子メールシステムを介して拡散し、被害額は80億円にも上り、多くの企業が多額の経済的損失に悩まされました。
2017年のWannaCryランサムウェア攻撃
WannaCryはWindowsを標的とし、世界規模で猛威を振るったランサムウェアです。
2017年から大規模サイバー攻撃が開始され、100を超える国と数十万台のパソコンが感染した後、復旧のための身代金を要求する手法で世界中に被害を与えました。
被害が拡大した原因として、アップデートをしていない端末が狙われたことが指摘されており、セキュリティ対策の重要性が認識される機会となった事件です。
2023年のLockBitによる名古屋港ランサムウェア攻撃
直近の国内の大規模なハッキング事件は2023年7月4日に発生した名古屋港のランサムウェア攻撃です。主犯はロシアを拠点とするサイバー犯罪集団の「LockBit」とされています。このランサムウェア攻撃によってコンテナターミナルを管理するサーバーのデータが暗号化されました。ランサムウェア攻撃の影響として、船舶37隻、約2万本のコンテナ搬出入にスケジュールの遅延が発生しています。セキュリティ対策やランサムウェア感染対応に不備があったことが問題として取り上げられました。
ハッキングに効果的な対策方法
ハッキング被害から守る為には、日常的なセキュリティ対策が不可欠です。
パスワードの管理
パスワードは最低でも10文字以上、数字や大文字、特殊文字を組み合わせたものが推奨されます。
アカウントごとに別のパスワードを設定してパスワードの使いまわしは避けましょう。更にハッキングの対策を強化したい場合は二要素認証や定期的にパスワードを更新することをおすすめします。
セキュリティソフトの活用
市販のセキュリティソフトウェアを導入することで、ハッキング、不正アクセス、マルウェア感染などの脅威から機器を保護できます。主なセキュリティソフトの機能として不正アクセスをブロックできるファイアウォールや、ウイルススキャン、フィッシングサイトのブロック機能などが挙げられます。なお、WindowsOSのパソコンに導入されている「Windows Defender」など実質無料で利用できるものもあるため、新たにセキュリティソフトを導入する際は機能が重複しないようにすると良いでしょう。
定期的なシステムアップデート
OSを最新版にアップデートすると、脆弱性やバグの修正などが行われてセキュリティを強化することが可能です。ハッキングにはシステムのバグや脆弱性が利用されるため、現在使用しているシステムが最新版でないのなら、定期的にアップデートを行いましょう。特にメーカーのお知らせやインターネット上に脆弱性の情報が掲載されている場合、放置するとハッキングの被害に遭う恐れが高くなるため、すぐにアップデートを行いましょう。
不審なメールは開かない
差出人不明のメールや、ウイルス感染、サービスの停止を勧告するメールの中には、フィッシング詐欺やマルウェア感染を狙うリンクや添付ファイルが含まれていることが多いです。特にフィッシング詐欺では、信頼できる企業や知人になりすましたメールを送り、ユーザーに個人情報やクレジットカード番号などを入力させようとします。これにより、攻撃者は不正に情報を取得し、アカウントの乗っ取りや金銭的被害を引き起こします。
また、メールに添付されたファイルやリンクを開くと、コンピュータにウイルスやスパイウェアがインストールされる場合もあり、こちらもシステムの制御を奪われたり、個人情報が盗まれるリスクがあります。特に企業を中心に狙うランサムウェアは、1か月以上の業務停止に陥る場合もあるため、メールの送信者が不明であったり、内容が不自然だったりする場合は、リンクをクリックしたり、添付ファイルを開いたりしないようにしましょう。
フリーWi-fiを利用しない
フリーWi-Fiは通信が暗号化されず、セキュリティが脆弱であることが多いため、使い方次第で通信の内容が第三者に閲覧されてしまう場合もあります。パソコンやスマートフォンのハッキングには中間者攻撃(MITM)や偽のWi-Fiの設置といった手口を用いて、ユーザーの個人情報やログイン資格情報を盗もうとする場合があります。
フリーWi-fiを使ったハッキングを防ぐには、フリーWi-Fiの利用を避け、利用する場合は、パスワードや暗証番号の入力は行わず、VPN(仮想プライベートネットワーク)を使用して通信を暗号化するのが効果的とされます。
端末のフォレンジック調査を行う
端末がハッキングされた場合、フォレンジック調査を行うと、どのような経路で、どの情報が漏えいしたのか、被害の全容を正確に把握することができます。
フォレンジック調査とは、証拠を収集、分析、保全するための専門的な手法と技術で電子端末を調査することです。しかし、自力で調査を行うと、調査対象範囲が正確でなかったり、証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
フォレンジック調査会社では、インシデント対応のプロが証拠保全から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出などを行います。特にIPA作成の情報セキュリティサービス基準適合サービスリストに掲載された調査会社であれば、経済産業省が策定したサービス基準をクリアしているため、一定以上の調査技術があると言えるでしょう。
調査業者を選ぶポイントや費用の相場などはこちらの記事でも詳しく解説しています。ぜひ参考にしてみてください。
>【比較】フォレンジック調査とは?費用や事例からおすすめ会社の選び方を徹底解説
おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計23,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
ハッキングによって情報漏えいが発生し、対処を誤った場合、多額の金銭被害や大規模な情報漏洩事件に発展することもあるため、日常的なセキュリティ対策と適切な対処が必要になります。今回紹介したフォレンジック調査はハッキング被害の再発防止だけでなく、ハッキングされたか疑わしい場合でも端末の調査ができるサービスです。特に企業の場合は情報漏洩が発生した場合、被害者への対応なども同時に行う必要があるため、フォレンジックサービスを利用すると調査と被害者への対応を効率的に行うことが可能です。