倫理的ハッキングとは、ネットワークまたはコンピューター・システムのセキュリティーの脆弱性を発見、理解、修正する目的で、友好的な関係者がハッキング技術を使用することです。
倫理的なハッカーは、悪意のあるハッカーと同じスキルを持ち、同じツールと戦術を使用しますが、その目標は常に、ネットワークやそのユーザーに害を及ぼさずにネットワーク・セキュリティーを向上させることです。
倫理的ハッキングは多くの点で、現実世界のサイバー攻撃に備えたリハーサルのようなものです。組織は倫理的ハッカーを雇って、自らのコンピューター・ネットワークに模擬攻撃を仕掛けさせます。これらの攻撃中に、倫理的なハッカーは、実際のサイバー犯罪者がどのようにしてネットワークに侵入するのか、そしてネットワークに侵入するとどのような被害を与えるのかを実証します。
組織のセキュリティー・アナリストは、この情報を使用して脆弱性を排除し、セキュリティー・システムを強化し、機密データを保護できます。
「倫理的ハッキング」と「ペネトレーション・テスト」という用語は、同じ意味で使用されることがあります。しかし、ペネトレーション・テストは倫理的ハッカーが用いる手段のひとつに過ぎません。倫理的ハッカーは、脆弱性評価、マルウェア分析、その他の情報セキュリティー・サービスを行うこともできます。
IBM X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
データ侵害のコストに関する調査に登録する
倫理的ハッカーは、自分の行動が企業に損害を与えるのではなく、企業に役立つように、厳格な倫理規定に従っています。国際電子商取引コンサルタント評議会(EC評議会)など、倫理的なハッカーを訓練または認定する多くの組織は、独自の正式な倫理規定を公開しています。定められた倫理はハッカーや組織によって異なる場合がありますが、一般的なガイドラインは次のとおりです。
- 倫理的ハッカーは、ハッキングする企業から許可を得る:倫理的ハッカーは、ハッキングする組織に雇用されているか、その組織と提携しています。彼らは企業と協力して、ハッキングのタイムライン、使用される手法、テストされるシステムと資産などの活動の範囲を定義します。
- 倫理的ハッカーは害を及ぼさない: 倫理的ハッカーは、ハッキングしたシステムに実際の損害を与えたり、見つけた機密データを盗んだりすることはありません。善意のハッカーがネットワークをハッキングするのは、本物のサイバー犯罪者がとりうる行動を実証するために過ぎません。
- 倫理的ハッカーは調査結果を秘密にする: 倫理的ハッカーは、ある企業の脆弱性やセキュリティー・システムに関して収集した情報を、その企業とだけ共有します。また、これらの調査結果を活用した、企業のネットワーク防衛改善活動を支援します。
- 倫理的ハッカーは法律の範囲内で活動する: 倫理的ハッカーは、合法的な方法でのみ情報セキュリティーを評価します。悪意のハッカーと提携したり、悪意のあるハッキングに参加したりすることはありません。
この倫理規定に関連して、他に2種類のハッカーが存在します。
明白に悪意のあるハッカー
「ブラック・ハット・ハッカー」とも呼ばれる、悪意のあるハッカーは、個人的な利益、サイバーテロ、またはその他の目的でサイバー犯罪を犯します。具体的には、コンピューター・システムをハッキングして、機密情報を盗んだり、資金を盗んだり、業務を妨害したりします。
非倫理的な倫理的ハッカー
「グレー・ハット・ハッカー」とも呼ばれるこれらのハッカーは、倫理的な目的のために、非倫理的な手法を使用したり、違法行為を行ったりします。例として、エクスプロイトのテストを行う許可なしにネットワークや情報システムを攻撃することや、ソフトウェアの脆弱性を公然と利用し、ベンダーに修正を促すことなどが挙げられます。こうしたハッキングは善意に基づいてはいますが、その行為によって、悪意のある攻撃者が新たな攻撃ベクトルに誘導される可能性もあります。
倫理的ハッキングは正当なキャリアパスです。倫理的ハッカーのほとんどは、コンピューター・サイエンス、情報セキュリティ、または関連分野の学士号を取得しており、多くの場合、PythonやSQLなどの一般的なプログラミング言語やスクリプト言語を知っています。
高いスキルを持ち、Nmapのようなネットワーク・スキャンツール、Metasploitのようなペネトレーション・テスト・プラットフォーム、Kali Linuxのようなハッキング用特殊オペレーティング・システムなど、悪意のあるハッカーと同じハッキングツールや方法論に熟練しており、そのスキルを強化し続けています。
他のサイバーセキュリティー専門家と同様、倫理的ハッカーは通常、資格認定を取得し、自らのスキルと倫理に従う意志を証明します。多くは倫理的ハッキングのコースを受講するか、その分野に特化した認定プログラムに登録しています。ごく一般的な倫理的ハッキング認定には、次のようなものがあります。
Certified Ethical Hacker(CEH):国際的なサイバーセキュリティー認証機関であるEC評議会が提供するCEHは、最も広く認知されている倫理的ハッキング認証の1つです。
CompTIA PenTest+:この認定はペネトレーション・テストと脆弱性評価に重点を置いています。
SANS GIACペネトレーション・テスター(GPEN):SANS InstituteのGPEN認定は、PenTest+と同様、倫理的なハッカーのペネトレーション・テスト・スキルを確認するものです。
倫理的ハッカーが提供するさまざまなサービス
ペネトレーションテスト
ペネトレーション・テスト(または「侵入テスト」)は、セキュリティー侵害をシミュレートしたものです。テスト実施者は、企業システムに不正アクセスする悪意のあるハッカーを模倣します。もちろん、テスト実施者が実害を加えることはありません。実施者はテストの結果を、企業が実際のサイバー犯罪者から身を守ることに役立てます。
ペネトレーション・テストは、次の3段階で行われます。
1. 偵察
偵察段階では、ペネトレーション・テストの実施者が、会社のネットワークにあるコンピューター、モバイル・デバイス、Webアプリケーション、Webサーバー、およびその他の資産に関する情報を収集します。この段階は、テスト実施者がネットワーク全体のフットプリントをマッピングするため、「フットプリンティング」と呼ばれることもあります。
テスト実施者は、手動または自動化された手法で偵察を行います。ヒントを求めて、従業員のソーシャル・メディアのプロフィールやGitHubページをくまなく調べる場合もあります。場合により、Nmapなどのツールを使用して開いているポートをスキャンしたり、Wiresharkなどのツールを使用してネットワーク・トラフィックを検査したりします。会社が許可している場合は、ソーシャル・エンジニアリング戦術により、従業員をだまして機密情報を共有させることもあります。
2. 段階的攻撃
ペネトレーション・テストの実施者は、ネットワークの概要と利用できる脆弱性を把握すると、システムをハッキングします。テストの範囲によっては、さまざまな攻撃が試みられる可能性もあります。このテストでごく一般的に使用される攻撃には、次のようなものがあります。
– SQLインジェクション:テスト実施者が悪意のあるコードを入力フィールドに入力し、ウェブページまたはアプリを取得して機密データを開示させようとします。
– クロスサイト・スクリプティング:テスト実施者が、企業のウェブサイトに悪意のあるコードを埋め込もうとします。
– サービス拒否攻撃:テスト実施者が、サーバー、アプリ、その他のネットワーク・リソースにトラフィックを大量に送信してオフラインにしようとします。
– ソーシャル・エンジニアリング:テスト実施者は、フィッシング、おとり、プリテキスティング、またはその他の戦術を使用して、従業員をだましてネットワーク・セキュリティーを侵害します。
攻撃中、テスト実施者は、悪意のあるハッカーが既存の脆弱性をどのように利用しうるか、また、ネットワークへの侵入後、ネットワーク全体をどのように移動しうるかを調査します。加えて、ハッカーがどのような種類のデータや資産にアクセスできるかを調べます。さらに、既存のセキュリティ対策がその活動を検出または阻止できるかどうかもテストします。
攻撃の最後に、テスト実施者はテストの痕跡を隠します。これには2つの目的があります。まず、サイバー犯罪者がネットワーク内でどのように潜伏するかを示すためです。第2に、悪意のあるハッカーが倫理的ハッカーの後を追って密かにシステムに侵入するのを防ぐためです。
3. 報告
テスト実施者は、ハッキング中のすべての行動を記録します。次に、利用した脆弱性、アクセスした資産とデータ、セキュリティー・システムを回避した方法を概説したレポートを情報セキュリティー・チームに提出します。倫理的ハッカーは、これらの問題に優先順位を付けて修正するための推奨事項も作成します。
脆弱性評価
脆弱性評価はペネトレーション・テストに似ていますが、脆弱性を悪用するまでには至りません。そうではなく、倫理的ハッカーは手動および自動化された手法で、システム内の脆弱性を見つけ、分類し、優先順位を付けます。そして、調査結果を企業と共有します。
マルウェア分析
倫理的ハッカーの中には、ランサムウェアやマルウェアの種類の分析を専門とする人もいます。彼らは新たにリリースされたマルウェアを研究してその仕組みを理解し、その結論を企業や幅広い情報セキュリティー・コミュニティと共有しています。
リスク管理
倫理的ハッカーは、高レベルの戦略的リスク管理を支援することもあります。つまり、新たに生まれた脅威を特定し、それらの脅威が企業のセキュリティー体制にどのような影響を与えるかを分析し、企業の対抗策の構築を支援することです。
サイバーセキュリティーを評価する方法はたくさんありますが、企業は倫理的ハッキングにより、攻撃者の観点からネットワークの脆弱性を把握することができます。倫理的ハッカーは、許可を得てネットワークをハッキングすることで、悪意のあるハッカーがさまざまな脆弱性をどのように悪用できるを示して、企業が最も重要な脆弱性を発見して排除できるように支援できます。
倫理的ハッカーの視点を加えることで、社内のセキュリティー・アナリストが見逃している脆弱性が判明する可能性があります。例えば、倫理的ハッカーは、ファイアウォール、暗号アルゴリズム、侵入検知システム(IDS)、拡張検知システム(XDR)、その他の対策と正面から向き合います。その結果、企業が実際にデータ侵害に遭うことなく、これらの防御策が実際にどのように機能するのか、そして何が不足しているのかを正確に知ることができます。
IBM X-Force Redは、アプリケーション、ネットワーク、ハードウェア、担当者に対してペネトレーション・テストを行い、最も重要な資産を攻撃にさらす脆弱性を発見して修正します。
ペネトレーション・テスト、脆弱性管理、敵対者シミュレーションなどの当社の攻撃的セキュリティー・サービスを利用して、デジタルおよび物理エコシステム全体をカバーするセキュリティー上の欠陥を特定し、優先順位を付けて修正します。
最も重要な資産が漏えいする可能性のある欠陥を特定し、優先順位を付け、修復を管理する脆弱性管理プログラムを採用します。
IBM Security X-Force Threat Intelligence Index 2023は、脅威アクターが攻撃を仕掛ける手法、そして攻撃が仕掛けられる前に事前対応で組織を保護する方法を理解するのに役立つ実用的な洞察を、CISOやセキュリティー・チーム、そしてビジネス・リーダーに提供します。
このレポートでは、脅威に関する洞察と、サイバーセキュリティーを強化し、損失を最小限に抑えるために必要となる推奨事項についてご紹介します。
セキュリティー・オペレーション・センターは、すべてのサイバーセキュリティー・テクノロジーと運用を統合および調整することにより、組織の脅威に対する検出力、対応力、予防力を向上させます。
IBMの研究者は、新たな脅威を発見し、深層生成モデル(DGM)と呼ばれる異なるタイプのAIモデルに対する実用的な防御策を開発しました。DGMは、複雑な高次元多様体からデータを合成できる新しいAIテクノロジーです。
ネットワーク・セキュリティーは、コンピューター・ネットワークをサイバー脅威から保護することに焦点を当てた、サイバーセキュリティーの分野です。ネットワーク・セキュリティーは、ネットワーク・インフラストラクチャー、リソース、トラフィックの整合性を保護して、これらの攻撃を阻止し、財務的および運用上の影響を最小限に抑えます。
攻撃領域管理(ASM)とは、組織の攻撃領域を構成するサイバーセキュリティーの脆弱性と潜在的な攻撃ベクトルを継続的に発見、分析、修復、監視することです。