クラッキングという言葉を検索した方々は「クラッキング」は知らなくても、「ハッキング」なら聞いたことがあるという人は多いかと思います。

皆さんが抱いているハッキングのイメージは「不正に他人にコンピュータに侵入する」「プログラムを破壊する」といったものではないでしょうか。しかし、本当のところはどうなのでしょうか。また、クラッキングはこれとどのように違うのでしょうか。

今回の記事では「クラッキング」と「ハッキング」の違いから、クラッキングの概要から対策まで整理しましたのでご覧ください。

クラッキングとは?ハッキングとの違い

クラッキングとは、Wikipediaでは

クラッキング(クラック、英: Cracking)とは、コンピュータネットワークに繋がれたシステムへ不正に侵入したり、コンピュータシステムを破壊・改竄するなど、コンピュータを不正に利用すること。
引用Wikipedia

と定義されています。ちなみに、ソフトウェアの改ざんなどもクラッキングに含まれます。

ここで、疑問が湧いた方も多いのではないでしょうか。「ハッキングとどう違うの?」

一般的に理解されているハッキングは、システムへの不正侵入や改ざんのことです。しかし、実は、ハッキングとは「コンピューターについて高い技術を用いて調査研究すること」を指します。悪い意味はないのです。

つまり、クラッキングが犯罪などの悪い意味を持っているのに対して、ハッキングは本来悪い意味はありません。

クラッキングの方法

悪意を持った第三者によってコンピュータへの不正侵入やデータ改ざんなどが行われるクラッキング。システムやデータの安全性を確保するためには、クラッキングの脅威から確実にシステムを保護する必要があります。

具体的に保護するためには、クラッキングの手口を知ることが不可欠です。この犯罪行為はいったいどのように行われるのでしょうか。

具体的に、不正アクセスの方法としては以下のような手口が取られることが多いようです。

IDとパスワードを盗み出してログインする

IDをパスワードを盗み出す方法としては色々ありますが、最も身近な脅威としては「ソーシャルエンジニアリング」が挙げられます。

ソーシャルエンジニアリングとは?
ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、インターネットなどの情報通信技術を使わずに入手する方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものが多くあります。
参考ソーシャルエンジニアリングとは?具体的な手法から対策を考える

いつどこからパスワードが悪意ある攻撃者に漏れてしまうかわかりませんので、そのような点を意識してパスワードの管理が必要です。

ツールを使って総当たりでパスワードを特定する

総当たり攻撃では特に「ブルートフォースアタック」と言われる攻撃が有名です。

ブルートフォースアタックとは?
ブルートフォースアタック(総当たり攻撃)とは、「ブルートフォース(brute force)」という言葉の意味(「強引な」とか「力ずく」)を表すような攻撃手法のことで、ユーザのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法の事を言います。
参考ブルートフォースアタック(総当たり攻撃)とは?そのやり方・実際にかかる時間・対策方法は?

またそのほかにも、「パスワードリスト攻撃」などでもパスワードを盗み出すサイバー攻撃として、多くの被害をもたらしています。

パスワードリスト攻撃とは?
ネットユーザーの大半が複数のサイトで共通したID・パスワードを用いる傾向を利用した攻撃方法で、この攻撃は他の不正アクセスと異なり、正規のログイン方法を試みる手法であるため、プログラムによる検出が難しい点が特徴です。
参考パスワードリスト攻撃とは?被害の原因と対策方法

OSやソフトウェアの脆弱性を悪用する

これはサイバー攻撃全般に言えることですが、攻撃者がOS・ソフトウェアの脆弱性を突いてくるサイバー攻撃になります。

マルウェアなどに感染させる

こちらも全てのサイバー攻撃に言えることです。
情報などを盗み出すために、マルウェアへの感染を行いその被害を拡散させるものが多くあります。
参考マルウェアとは?その種類・感染経路と対策を徹底解説

などなど、

こういった手口で不正にシステムやネットワークに侵入した上で、改ざんなどの悪事を働くという流れになります。

クラッキングは犯罪?

ところでクラッキングは犯罪行為なのでしょうか。「他人のシステムやネットワークに不正侵入する」「データの改ざんを行う」などの行為を考えると犯罪行為であると考えることも出来ますが、実際のところはどうなのでしょうか。

法律的に見ていくと、まず「他人のシステムやネットワークに不正侵入する」行為は、不正アクセス禁止法に違反するもので、3年以下の懲役または100万円以下の罰金刑に処されるということになっています。

不正侵入の場合は、不正アクセス禁止法が適用されますが、改ざんについてはどうでしょうか。Webサイトなどデータの改ざんは刑法に基づく電子計算機損壊等業務妨害罪が敵湯されます。

したがって、こういったクラッキング行為は明確な犯罪であると言えます。

参考不正アクセス禁止法とは?事例・判例から通報対策まで徹底解説

クラッキングされるとどうなる?

自分が使っているシステムやネットワークが、もしクラッキングされたらどうなるのでしょうか。

例えば、以下のようなことが考えられます。

  • 不正に侵入された結果、情報が盗み出される
  • Webサイトなどが改ざんされる
  • システムが破壊され、業務停止せざるを得なくなる

こういったことは、ひとたび発生してしまうと非常に大きな問題となります。

クラッキング事例

実際にクラッキングを受けて被害にあった事例にはどういったものがあるのでしょうか。ここでいくつか例に掲げて見てみましょう。

ケース1:WordPressサイトへの不正アクセスと改ざん

ある企業の例ですが、WordPressでサイトを運営していたところ、改ざんによりデータがすべて削除されるという事例が発生しました。他にも別の企業では、改ざんによりアダルトサイトへ飛ばされるようになったといった事例もあります。

ケース2:不正アクセスによる顧客情報の流出

2016年に外国為替取引サービスを提供する株式会社マネースクエア・ジャパンで発生した事例で、不正アクセスにより約11万件の顧客情報の流出が発生しました。

クラッキングへの対策方法

システムやネットワークに侵入されるだけでなく、データの改ざんなど大きな被害につながることもあるクラッキング。被害を防ぐためにはどういった対策をすれば良いのでしょうか。

クラッキングへの対策は大きく以下の3つとなります。

セキュリティ対策ソフトの導入

多くの企業で最低限ここまでは行なっているかと思います。セキュリティソフトは必須の対策ですし、バージョンなども最新のものにしておきましょう。
参考セキュリティソフトの選び方と売れ筋ソフト徹底比較

OSやソフトウェアのアップデート

OSやソフトウェアの脆弱性が明らかになった際には、必ずセキュリティパッチを当てるなど、バージョンの最新化が必要になりますので、いつも最新版にしておくことは心がけておきましょう。
参考セキュリティパッチとは?現状の確認と適用方法解説

WAF、ファイヤーウォール等の設置

侵入対策としてWAFやファイヤーウォールなどのツールを入れることは重要です。
下記の記事を参考に、あなたの会社でも必要な場合は導入することをお勧めいたします。
参考WAF(ウェブアプリケーションファイアウォール)の種類と選び方のポイント

また、これらの対策についてはセキュリティ企業などが行なっている「診断サービス」を活用することも良い方法です。このサービスでは、情報システム全体の堅牢性や問題のある箇所を診断、解決策を提示してくれます。こういったものを利用するのも安全でクラッキングに対して強いシステムを構築するために良い方法です。
参考セキュリティ・脆弱性診断無料ツール・有料サービスの比較と選び方

まとめ

クラッキングとは、悪意のある第三者がシステムやネットワークに不正に侵入し、情報の取得や改ざんを行うものです。これによって個人情報の漏えいや、Webサイトの改ざんなど大きな問題となる事象が発生しています。

こういった問題に対応するには、今回紹介したように日頃からしっかりとしたセキュリティ対策を行うとともに、常に診断サービスなどを利用したチェックと改善が欠かせません。

セキュリティの問題は一旦発生すると、非常に大きな問題となる可能性があります。そうならないためにもしっかりとした対策を行いましょう。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。