ホーム
Topics
ハッキング
更新日:2024年8月16日
投稿者:Matthew Kosinski
ハッキング(サイバー・ハッキング)とは、型破りな手段や違法な手段を使って、デジタル・デバイス、コンピューター・システム、またはコンピューター・ネットワークに不正にアクセスすることです。典型的な例は、セキュリティーの脆弱性を悪用し、ネットワークに侵入してデータを盗むサイバー犯罪者です。
しかし、ハッキングとは必ずしも悪意を持って行われるわけではありません。個人のスマートフォンからカスタム・プログラムを実行する消費者も、厳密に言えばハッカーと言えるからです。
悪意あるハッカーたちは、犯罪者たちがサイバー攻撃を仕掛けたり、犠牲者を脅迫したり、マルウェアや盗んだデータを互いに販売し合ったりすることで利益を得る巨大なサイバー犯罪経済を構築しています。すべてのサイバー犯罪の世界的な被害は、2027年までに約24兆米ドルに達すると予想されています。1
悪意のあるハッキングは壊滅的な結果をもたらす可能性があります。個人は個人情報の盗難、金銭の盗難などに直面し、組織はシステムのダウンタイム、データ漏洩、その他の損害に見舞われる可能性があり、そのせいで顧客離れや、収益の減少、評判の低下、罰金やその他の法的罰則などにつながってしまいます。IBMのデータ侵害のコストに関する調査によると、組織にとってのデータ侵害の平均コストは488万米ドルという結果が出ています。
ハッキングのもう一方の側面として、サイバーセキュリティー・コミュニティーは、セキュリティー対策をテストし、欠陥を特定し、対処し、サイバー脅威を防止するために、犯罪目的ではなくむしろ良い目的を持つ倫理的ハッカーへ、依存するようになってきています。このような倫理的ハッカーは、企業セキュリティーのシステム強化を支援したり、法執行機関と協力して悪意あるハッカーを排除したりするなどして生計を立てています。
サイバー攻撃とは、コンピューター・システムやそのユーザーに損害を与えようとする意図的な取り組みであり、ハッキングとは、認可されていない手段を通じてシステムにアクセスしたりシステムをコントロールしたりする行為のことです。主な違いは、サイバー攻撃は常にターゲットに損害を与えるものですが、ハッキングには良いもの、悪いもの、または中立的なものがあることです。
悪意のあるアクターは、ハッキング技術を使用してサイバー攻撃を開始することができ、実際にこの技術を使用して攻撃することが頻繁にあります。たとえば、システムの脆弱性を悪用してネットワークに侵入してランサムウェアを仕掛けることなどです。
一方、倫理的なハッカーはハッキング技術を使用して組織の防御強化を支援します。これは基本的にサイバー攻撃とは逆のものです。
もう1つの重要な違いは、ハッキングというのが必ずしも違法ではないことです。ハッカーがシステムの所有者、またはシステムの所有者から許可を得ている場合、そのハッキング行為は合法です。
対照的に、サイバー攻撃は標的の同意がなく、積極的に危害を及ぼすことを目的としているため、ほぼ常に違法とみなされます。
データ侵害の財務上の影響に関する最新情報を入手できます。組織の評判と収益を守る方法を紹介します。
ハッカーは、その動機と施策に基づいて、主に3つのカテゴリーに分類されます。
害を及ぼすためにハッキングする悪意のあるハッカー
企業を危害から守るためにハッキングする倫理的なハッカー
「良い」ハッキングと「悪い」ハッキングの境界線を曖昧にする自警団ハッカーまたは「グレー・ハット」ハッカー
悪意のあるハッカー(「ブラック・ハット・ハッカー」と呼ばれることもある)とは、個人的または金銭的な利益のために被害者に危害を加える、悪意のある理由でハッキングを行うサイバー犯罪者のことです。
悪意のあるハッカーの中には、サイバー攻撃を直接行う者もいれば、悪意のあるコードやエクスプロイトを開発してダークウェブ上で他のハッカーに販売する者もいます。(例として、ランサムウェア・アズ・ア・サービス(サービスとしてのランサムウェア)の取り決めを参照してください。)これらハッカーは単独で活動することも、ランサムウェア・ギャング、詐欺組織、その他の組織グループの一員として活動することもあります。
悪意あるハッカーの最も一般的な動機は金銭的利益です。彼らがお金を「稼ぐ」ために行う主な行為は以下のとおりです。
ログイン認証情報、クレジットカード番号、銀行口座番号、社会保障番号などの機密データや個人データを盗み、他のシステムへの侵入や、個人情報の盗難や販売に使用します。
IBM X-Force 脅威インテリジェンス・インデックスによると、サイバー攻撃による最も一般的な影響はデータ窃盗であり、攻撃の32%で発生しています。
ランサムウェア攻撃や分散型サービス妨害(DDoS)攻撃を使用して、被害者が身代金を支払うまでデータ、デバイス、または業務運営を人質にとる恐喝行為を働きます。脅威インテリジェンス・インデックスに よると、インシデントの24%で発生する恐喝は、攻撃による影響の中で2番目に多い影響です。
企業スパイ活動を行い、クライアント企業の競合他社から知的財産やその他の機密情報を盗み出します。
悪意あるハッカーは、金銭的利益以外に動機がある場合もあります。例えば不満を抱いた従業員が、昇進を逃した腹いせに雇用主のシステムをハッキングしたりする場合です。
倫理的ハッカー(「ホワイト・ハット・ハッカー」とも呼ばれる)は、自らのコンピューター・ハッキング・スキルを駆使して、企業がセキュリティーの脆弱性を発見して修正し、脅威アクターがそれらを悪用できないように支援します。
倫理的ハッキングは合法的な職業です。倫理的ハッカーは、セキュリティー・コンサルタントとして、あるいはハッキング対象の企業の従業員として働いています。信頼を築き、自らのスキルを証明するために、倫理的ハッカーはCompTIAやEC評議会などの機関から認定を取得し、厳格な行動規範に従います。ハッキングを行う前には必ず許可を得て、いかなる損害も与えず、調査結果の秘密を厳守します。
最も一般的な倫理的ハッキングサービスの1つは、ウェブ・アプリケーション、ネットワーク、またはその他の資産に対して模擬サイバー攻撃を仕掛け、その弱点を見つけるペネトレーション・テストと呼ばれるものです。弱点が見つかれば、資産の所有者と協力して、それらを改善します。
倫理的ハッカーは、脆弱性評価を行ったり、脅威インテリジェンスを収集するためにマルウェアを分析したり、安全なソフトウェア開発ライフサイクルに参加したりすることもあります。
グレー・ハット(またはグレー・ハット・ハッカー)は、倫理的ハッカーにも悪意あるハッカーにも属さないタイプのハッカーです。このハッカーは許可なしにシステムに侵入しますが、ハッキングした組織を支援するため、そして場合によってはその見返りに何かを受け取るために侵入します。
「グレー・ハット」という名前は、これらのハッカーが道徳的なグレーゾーンで活動しているという事実に由来しています。これらのハッカーは、ハッキングした企業に、システム内で見つかった欠陥について伝えます。そして、報酬や仕事のオファーと引き換えに脆弱性の修正を申し出る場合があります。このハッキングは善意に基づいたものではあるものの、悪意あるハッカーに新しい攻撃ベクトルが誤って伝わってしまう可能性があります。
アマチュア・プログラマーの中には、単に楽しみのため、知識を得るため、または難解なハードルを突破して悪名を得るためにハッキングを行う人もいます。たとえば、生成AIの台頭により、AIモデルをジェイルブレイクして新しいことを試してみる趣味程度のAIハッカーが急増しました。
「ハクティビスト」とは、社会的および政治的問題に注目を集めるためにシステムをハッキングする活動家のことです。おそらく最もよく知られているハクティビスト集団は、緩やかなつながりの集まりだとみられる「アノニマス」で、ロシア政府などの標的に対して攻撃を仕掛けています。
また、国家が公式に支援するハッカーも存在します。多くの場合、国家安全保障の名のもと、敵対者をスパイしたり、重要なインフラを混乱させたり、誤った情報を拡散したりするために政府と協力します。
これらのハッカーが倫理的であるか悪意があるかは、見る人の判断によります。例えば、米国とイスラエル政府によって実行されたと考えられているイランの核施設に対するスタックスネット攻撃を考えてみましょう。イランの核開発計画を安全保障の脅威とみなす人であれば、その攻撃を倫理的と考えるかもしれません。
つまるところ、ハッカーの行為というのは、システムの設計者が意図していなかった方法でシステムにアクセスすることです。そしてハッカーが取る方法は、ハッキングの目的とターゲットにしているシステムによって異なります。
フィッシングメールを送信して攻撃者からパスワードを盗むという単純な方法もあれば、何か月間もネットワークに潜む高度持続型脅威(APT)のような複雑な方法もあります。
最も一般的なハッキング方法には、次のようなものがあります。
ハッキングには標準のMacまたはMicrosoftオペレーティング・システムを使用できますが、多くのハッカーは、認証情報クラッカーやネットワーク・スキャナーなどのオーダーメイドのハッキング・ツールを搭載した、カスタマイズされたオペレーティング・システム(OS)を使用しています。
例えば、ペネトレーション・テスト用に設計されたオープンソースのLinuxディストリビューションであるKali Linuxは、倫理的ハッカーの間で人気があります。
ハッカーはさまざまなツールを使用してターゲットについて学習し、悪用できる弱点を特定します。
例えば、パケット・スニファーはネットワーク・トラフィックを分析し、トラフィックの送信元、送信先、およびトラフィックに含まれるデータを特定します。ポート・スキャナーは、ハッカーが接続できる、開いているポートと使用可能なポートについてデバイスをリモートでテストします。脆弱性スキャナーは既知の脆弱性を検索し、ハッカーがターゲットへの侵入口を素早く見つけられるようにします。
悪意のあるソフトウェア、マルウェアは、悪意あるハッカーが使うソフトウェアで、彼らの主要な武器です。X-Force 脅威インテリジェンス・インデックスによると、サイバー攻撃の43%がマルウェアに関連しています。
最も一般的なマルウェアのタイプには次のようなものがあります。
ランサムウェアは、被害者のデバイスやデータをロックし、ロックを解除するために身代金の支払いを要求します。
ボットネットは、ハッカーの制御下にある、インターネットに接続されたマルウェアに感染したデバイスのネットワークです。ボットネット・マルウェアは、一般に保護力が弱いため、モノのインターネット(IoT)デバイスを標的にすることがよくあります。ハッカーはしばしばボットネットを利用して、分散型サービス妨害(DDoS)攻撃を仕掛けてきます。
トロイの木馬はユーザーを騙すために便利なプログラムを装ったり、正規のソフトウェア内に隠れて、トロイの木馬をインストールさせます。ハッカーはこれを使用して、ユーザーに気づかれないように密かにデバイスへリモートアクセスしたり、追加のマルウェアをダウンロードしたりします。
スパイウェアは、パスワードや銀行口座の詳細などの機密情報を秘密裏に収集し、攻撃者に送り返します。
他の一般的なマルウェア株を阻止する方法がサイバーセキュリティ―・チームに浸透したため、情報窃取型マルウェアがサイバー犯罪者の間で特に人気が高まりました。脅威インテリジェンス・インデックスによると、2022年から2023年にかけてインフォスティーラー(情報窃盗犯)の活動は266%増加しました。
ソーシャル・エンジニアリング攻撃は、人々を騙してハッカーに金銭やデータを送らせたり、機密システムへのアクセスを許可させたりします。一般的なソーシャル・エンジニアリング戦術には次のようなものがあります。
詐欺メールやその他のメッセージを使用するフィッシング攻撃。例として、ビジネスメールの侵害などの詐欺行為があります。
特定の個人を標的とするスピア・フィッシング攻撃。多くの場合、ソーシャル・メディアで公開されているページの詳細を使用して信頼を得ます。
ハッカーがマルウェアに感染したUSBドライブを公共の場所に配置するベイティング攻撃。
恐怖を利用して被害者にハッカーの望むことを強要するスケアウェア 攻撃。
ハッカーは常に、最も抵抗性の低い方法を探しています。多くの企業ネットワークの場合、従業員の認証情報を盗むことが抵抗の少ない方法になります。IBM X-Force 脅威インテリジェンス・インデックスによると、有効なアカウントの悪用は最も一般的なサイバー攻撃ベクトルであり、全インシデントの30%を占めています。
従業員のパスワードを入手したハッカーは、許可されたユーザーになりすましてセキュリティー・コントロールをすり抜けることができます。ハッカーはさまざまな手段でアカウント認証情報を入手できます。
スパイウェアやインフォスティーラーを使ってパスワードを収集したり、ユーザーを騙してソーシャル・エンジニアリングを通じてログイン情報を共有させたりすることができます。認証情報クラッキング・ツールを使用して、ブルートフォース攻撃を開始(潜在的なパスワードを機能するまで自動的にテスト)したり、すでに盗まれている認証情報をダークウェブから購入したりもできます。
現在、防御側がサイバー脅威と戦うために人工知能(AI)を使用しているように、ハッカーもターゲットを悪用するために人工知能(AI)を使用しています。この傾向は、ターゲットにAIツールを使用するハッカーと、AIアプリの脆弱性を狙うハッカーの2つの形で現れます。
ハッカーは生成AIを使用して悪意のあるコードを開発し、脆弱性を見つけ、エクスプロイトを作成することができます。ある研究では、ChatGPTのように広く利用可能となっている大規模言語モデル(LLM)は87%のケースでワンデイ脆弱性をエクスプロイトできる(ibm.com外部へのリンク)ことが判明しました。
また、X-Force 脅威インテリジェンス・インデックスによると、ハッカーはLLMを使用してフィッシング・メールをわずかな時間で作成でき、手作業では同じEメールを作成するのに16時間かかるのに対し、ほんの5分で済みます。
これらのAIツールは、ハッキング・プロセスの大部分を自動化することで、ハッキング分野への参入障壁を下げることができ、プラスとマイナスの結果の両方をもたらします。
AI攻撃対象領域の拡大に関しては、AIアプリの採用が増えることで、ハッカーが企業や個人に危害を加える手段が増えています。例えば、データ・ポイズニング攻撃は、低品質なデータや意図的に歪められたデータをトレーニングセットに忍び込ませることで、AIモデルのパフォーマンスを低下させることができます。プロンプト・インジェクションは、悪意のあるプロンプトを使用してLLMを騙し、機密データを漏洩させたり、重要な文書を破壊したり、さらに悪い結果を招いたりします。
Man-in-the-middle、中間者攻撃(MITM)は、Adversary-in-the-middle(AITM)とも呼ばれ、ハッカーがユーザー間のメールやWebブラウザとWebサーバー間の接続など、2者間の機密性の高い通信を盗聴する攻撃です。
たとえば、DNSスプーフィング攻撃は、ユーザーを正規のWebページからハッカーが制御するWebページへとリダイレクトします。ユーザーは自分が実際のサイトにいると思い、ハッカーはそこでユーザーが共有する情報を密かに盗むことができます。
クロス・サイト・スクリプティング(XSS)などのインジェクション攻撃は、悪意のあるスクリプトを使用して正規のアプリやウェブサイトを操作します。例えば、SQLインジェクション攻撃では、ハッカーはSQLコマンドを一般向けのユーザー入力フィールドに入力することで、ウェブサイトに機密データを漏えいさせます。
ファイルレス攻撃は「Living off the Land(環境寄生型)」とも呼ばれ、ハッカーがすでに侵害した資産を使用してネットワークを 横方向に移動し たり、さらなる損害を与えたりする手法です。たとえば、ハッカーがマシンのコマンドライン・インターフェースにアクセスした場合、多くの痕跡を残すことなく、デバイスのメモリー内で悪意のあるスクリプトを直接実行できます。
1980年代初頭、「The 414s」として知られるハッカーのグループが、ロスアラモス国立研究所やスローン・ケタリングがんセンターなどの有名な標的に侵入しました。The 414sによる実際の被害はそれほど大きくはなかったものの、彼らのハッキングは、米国議会に悪意のあるハッキングを正式に犯罪とするコンピュータ詐欺および乱用法を可決させるきっかけとなりました。
最初のコンピュータ・ワームの 1 つである Morrisワームは、1988年にインターネット上で実験的にリリースされました。このワームにより、意図された以上の被害がもたらされ、何千台ものコンピューターが余儀なくオフライン状態になり、ダウンタイムと修復に関連して推定1,000万米ドルのコストが発生しました。
ワームのプログラマーであるRobert Tappan Morrisは、コンピューター詐欺および乱用法に基づいて重罪の有罪判決を受けた最初の人物です。
2021年、ハッカーがColonial Pipeline社のシステムをランサムウェアに感染させ、同社は米国東海岸の燃料の45パーセントを供給するパイプラインの一時停止を余儀なくされました。ハッカーはダークウェブで見つけた従業員のパスワードを使用してネットワークにアクセスしました。Colonial Pipeline社は、データへのアクセスを取り戻すために500万米ドルの身代金を支払いました。
2024年、決済システム企業のChange Healthcare社が大規模なデータ侵害に見舞われ(ibm.com外部へのリンク)、米国の医療業界全体の請求システムに混乱が生じました。ハッカーは、何百万人もの人々の個人データ、支払い情報、保険関連記録、その他の機密情報を入手しました。
Change Healthcare社が処理を支援している取引の数は膨大であるため、このデータ侵害は全アメリカ人の3分の1に影響を与えたと推定されています。このデータ侵害に関連する総コストは10億米ドルに達する可能性があります。
重要な機能に関してコンピューター・システムに依存している組織(つまり企業のほとんど)は、ハッキングされる危険にさらされています。ハッカーのレーダーから逃れる方法はありませんが、企業はハッカーの侵入を困難にし、ハッキングが成功する可能性とコストを低減することは可能です。
「データ侵害のコストに関する調査」によると、盗まれ漏洩した認証情報は、データ侵害の最も一般的な攻撃ベクトルです。
強力なパスワードは、ハッカーが認証情報を盗むのを困難にします。多要素認証(MFA) や特権アクセス管理(PAM)システムなどの厳格な認証手段を導入すれば、ハッカーが盗んだパスワードだけではユーザーのアカウントを乗っ取ることができないようにすることができます。
ソーシャルエンジニアリング攻撃の認識、企業ポリシーの遵守、適切なセキュリティ制御の導入など、サイバーセキュリティーのベスト・プラクティスについて従業員をトレーニングすることで、組織はさらなるハッキングを防ぐことができます。データ侵害のコストに関する調査によると、トレーニングによりデータ侵害のコストを258,629米ドルも削減することができます。
ハッカーは多くの場合、簡単なターゲットを探し、既知の脆弱性を備えたネットワークに侵入することを選択します。正式なパッチ管理 プログラムを導入することで、企業はソフトウェア・プロバイダーからのセキュリティ・パッチを常に最新の状態に保つことができ、ハッカーの侵入を困難にすることができる。
データ侵害のコストに関する調査では、サイバーセキュリティーのためのAIとオートメーションに多額の投資を行っている組織は、データ侵害のコストを平均で188万米ドルも削減できることがわかりました。また、AIやオートメーションに投資していない組織よりも100日も早く侵害を特定し、封じ込めることができるという結果も出ています。
このレポートでは、AIとオートメーションは、攻撃対象領域管理、 レッドチーミング 、ポスチャー(体制)管理などの脅威防止ワークフローでデプロイすると特に有益であることが指摘されています。
ファイアウォールと侵入防御システム(IPS)は、ハッカーがネットワークに侵入するのを検知し、ブロックするのに役立ちます。セキュリティー情報およびイベント管理(SIEM)ソフトウェアは、進行中のハッキングを発見するのに役立ちます。ウイルス対策プログラムはマルウェアを検出して削除でき、エンドポイントの検知と対応(EDR)プラットフォームは複雑なハッキングに対する対応も自動化できます。リモートで働く従業員は、仮想プライベート・ネットワーク(VPN)を使用して、ネットワーク・セキュリティーを強化し、トラフィックを盗聴者から保護することができます。
データ侵害のコストに関する調査によると、データの保管場所に関係なく、データを一元管理している組織は、同様の管理を行っていない組織よりも迅速に侵害を特定し、封じ込めることができます。
データ・セキュリティー体制管理ソリューション、データ損失防止(DLP)ソリューション、暗号化ソリューション、安全なバックアップなどのツールは、転送中、保存中、使用中のデータを保護するのに役立ちます。
悪意あるハッカーに対する最良の防御策の1つは、倫理的ハッカーです。脆弱性アセスメント、ペネトレーション・テスト、レッドチーム、その他の倫理的ハッキング・サービスを利用するなら、ハッカーやサイバー脅威に悪用される前に、脆弱性や情報セキュリティー上の問題を見つけて修正することができます。
クラウドやハイブリッドクラウド上の最新のサイバーセキュリティー・ソリューションと機能を活用して、アクセス管理、ネットワーク・セキュリティー、エンドポイント・セキュリティーを強化します。
フィッシング、ビッシング、物理的なソーシャル・エンジニアリングの演習を通じて、従業員をテストします。
ハイブリッドクラウド全体でデータを保護し、コンプライアンス要件を簡素化します
1 2023年はサイバー犯罪が深刻さを増した一年でした。そこで、システムをより安全にする方法をご紹介します。世界経済フォーラム。2024年1月10日(ibm.com外部へのリンク)