倫理的ハッキングとは、友好的な関係者がハッキング技術を用いて、ネットワークやコンピューター・システムのセキュリティーの脆弱性を発見し、理解し、修正することです。
倫理的なハッカーは、悪意あるハッカーと同じスキル、同じツールと戦術を使用しますが、その目標は常に、ネットワークやそのユーザーに害を及ぼさずにネットワーク・セキュリティーを向上させることにあります。
倫理的ハッキングは多くの点で、現実世界のサイバー攻撃に備えたリハーサルのようなものです。組織は倫理的ハッカーを雇って、自らのコンピューター・ネットワークに模擬攻撃を仕掛けさせます。これらの攻撃中に、倫理的ハッカーは、実際のサイバー犯罪者がどのようにしてネットワークに侵入するのか、そしてネットワークに侵入後どのような被害を与えるのかを実証します。
組織のセキュリティー・アナリストは、この情報を使用して脆弱性を排除し、セキュリティー・システムを強化し、機密データを保護できます。
「倫理的ハッキング」と「ペネトレーション・テスト」という用語は、同じ意味で使用されることがあります。しかし、ペネトレーション・テストは倫理的ハッカーが用いる手段のひとつに過ぎません。倫理的ハッカーは、脆弱性評価、マルウェア分析、その他の情報セキュリティー・サービスを行うこともできます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
倫理的ハッカーは、自分たちの行動が企業に損害を与えるのではなく、企業に役立つように、厳格な倫理規定に従っています。国際電子商取引コンサルタント評議会(EC評議会)など、倫理的ハッカーを訓練または認定する多くの組織は、独自の正式な倫理規定を公開しています。定められた倫理はハッカーや組織によって異なる場合がありますが、一般的なガイドラインは次の通りです。
この倫理規定に関連して、他に2種類のハッカーが存在します。
「ブラック・ハット・ハッカー」とも呼ばれる、悪意のあるハッカーは、個人的な利益、サイバーテロ、またはその他の目的でサイバー犯罪を犯します。具体的には、コンピューター・システムをハッキングして、機密情報を盗んだり、資金を盗んだり、業務を妨害したりします。
「グレー・ハット・ハッカー」とも呼ばれるこれらのハッカーは、倫理的な目的のために、非倫理的な手法を使用したり、違法行為を行ったりします。例として、エクスプロイトのテストを行う許可なしにネットワークや情報システムを攻撃することや、ソフトウェアの脆弱性を公然と利用し、ベンダーに修正を促すことなどが挙げられます。こうしたハッキングは善意に基づいてはいますが、その行為によって、悪意のある攻撃者が新たな攻撃ベクトルに誘導される可能性もあります。
倫理的ハッキングは正当なキャリアパスです。倫理的ハッカーのほとんどは、コンピューター・サイエンス、情報セキュリティ、または関連分野の学士号を取得しており、多くの場合、PythonやSQLなどの一般的なプログラミング言語やスクリプト言語を知っています。
高いスキルを持ち、Nmapのようなネットワーク・スキャンツール、Metasploitのようなペネトレーション・テスト・プラットフォーム、Kali Linuxのようなハッキング用特殊オペレーティング・システムなど、悪意あるハッカーと同じハッキングツールや方法論に熟練しており、そのスキルの向上に努めています。
他のサイバーセキュリティー専門家と同様、倫理的ハッカーは通常、資格認定を取得し、自らのスキルと倫理に従う意志を証明します。多くは倫理的ハッキングのコースを受講するか、その分野に特化した認定プログラムに登録しています。ごく一般的な倫理的ハッキング認定には、次のようなものがあります。
Certified Ethical Hacker(CEH):国際的なサイバーセキュリティー認証機関であるEC評議会が提供するCEHは、最も広く認知されている倫理的ハッキング認証の1つです。
CompTIA PenTest+:この認定はペネトレーション・テストと脆弱性評価に重点を置いています。
SANS GIACペネトレーション・テスター(GPEN):SANS InstituteのGPEN認定は、PenTest+と同様、倫理的なハッカーのペネトレーション・テスト・スキルを確認するものです。
倫理的ハッカーが提供するさまざまなサービス
ペネトレーション・テスト(または「侵入テスト」)は、セキュリティー侵害をシミュレートしたものです。テスト実施者は、企業システムに不正アクセスする悪意のあるハッカーを模倣します。もちろん、テスト実施者が実害を加えることはありません。実施者はテストの結果を、企業が実際のサイバー犯罪者から身を守ることに役立てます。
ペネトレーション・テストは、次の3段階で行われます。
偵察段階では、ペネトレーション・テストの実施者が、会社のネットワークにあるコンピューター、モバイル・デバイス、Webアプリケーション、Webサーバー、およびその他の資産に関する情報を収集します。この時ネットワーク全体のフットプリントのマッピングが行われるため、「フットプリンティング」と呼ばれることもあります。
テスト実施者は、手動または自動化された手法で偵察を行います。ヒントを求めて、従業員のソーシャル・メディアのプロフィールやGitHubページをくまなく調べる場合もあります。場合により、Nmapなどのツールを使用して開いているポートをスキャンしたり、Wiresharkなどのツールを使用してネットワーク・トラフィックを検査したりします。会社が許可している場合は、ソーシャル・エンジニアリング戦術により、従業員をだまして機密情報を共有させることもあります。
ペネトレーション・テストの実施者は、ネットワークの概要と利用できる脆弱性を把握すると、システムをハッキングします。テストの範囲によっては、さまざまな攻撃が試みられる可能性もあります。一般的に使用されるテスト攻撃には、次のようなものがあります。
– SQLインジェクション:テスト実施者が悪意のあるコードを入力フィールドに入力し、ウェブページまたはアプリを取得して機密データを開示させようとします。
– クロスサイト・スクリプティング:テスト実施者が、企業のウェブサイトに悪意のあるコードを埋め込もうとします。
– サービス拒否攻撃:テスト実施者が、サーバー、アプリ、その他のネットワーク・リソースにトラフィックを大量に送信してオフラインにさせようとします。
– ソーシャル・エンジニアリング:テスト実施者は、フィッシング、おとり、プリテキスティング、またはその他の戦術を使用して、従業員をだましてネットワーク・セキュリティーを侵害します。
攻撃中、テスト実施者は、悪意のあるハッカーが既存の脆弱性をどのように利用しうるか、また、ネットワークへの侵入後、ネットワーク全体をどのように移動しうるかを調査します。加えて、ハッカーがどのような種類のデータや資産にアクセスできるかを調べます。さらに、既存のセキュリティ対策がその活動を検出または阻止できるかどうかもテストします。
攻撃の最後に、テスト実施者はテストの痕跡を隠します。これには2つの目的があります。まず、サイバー犯罪者がネットワーク内でどのように潜伏するかを示すためです。第2に、悪意のあるハッカーが倫理的ハッカーの後を追って密かにシステムに侵入するのを防ぐためです。
テスト実施者は、ハッキング中のすべての行動を記録します。次に、利用した脆弱性、アクセスした資産とデータ、セキュリティー・システムを回避した方法を概説したレポートを情報セキュリティー・チームに提出します。倫理的ハッカーは、これらの問題に優先順位を付けて修正するための推奨事項も作成します。
脆弱性評価はペネトレーション・テストに似ていますが、脆弱性を悪用するまでには至りません。そうではなく、倫理的ハッカーは手動および自動化された手法で、システム内の脆弱性を見つけ、分類し、優先順位を付けます。そして、調査結果を企業と共有します。
倫理的ハッカーの中には、ランサムウェアやマルウェアの種類の分析を専門とする人もいます。彼らは新たにリリースされたマルウェアを研究してその仕組みを理解し、その結論を企業や幅広い情報セキュリティー・コミュニティと共有しています。
倫理的ハッカーは、高レベルの戦略的リスク管理を支援することもあります。つまり、新たに生まれた脅威を特定し、それらの脅威が企業のセキュリティー体制にどのような影響を与えるかを分析し、企業の対抗策の構築を支援することです。
サイバーセキュリティーを評価する方法はたくさんありますが、攻撃者の観点からネットワークの脆弱性を把握できることが倫理的ハッキングのメリットです。倫理的ハッカーは、許可を得てネットワークをハッキングすることで、悪意あるハッカーがさまざまな脆弱性をどのように悪用できるを示し、企業が最も重要な脆弱性を発見して排除できるように支援できます。
倫理的ハッカーの視点を加えることで、社内のセキュリティー・アナリストが見逃している脆弱性が判明する可能性があります。例えば、倫理的ハッカーは、ファイアウォール、暗号アルゴリズム、侵入検知システム(IDS)、拡張検知システム(XDR)、その他の対策と正面から向き合います。その結果、企業が実際にデータ侵害に遭うことなく、これらの防御策が実際にどのように機能するのか、そして何が不足しているのかを正確に知ることができます。