ハッカーの侵入対策！ハッキングによる被害や対策とは

サイバー攻撃が激化するなか、もはやハッキングによる被害は対岸の火事ではなく、企業、個人を問わず誰にでも起こりうるものになりました。ハッキングによって被害が起きてからでは遅いので、あらかじめサイバー攻撃に対して対策を講じておく必要があります。

サイバー攻撃対策では、どのような方法で攻撃され、どのような被害を受けるのかを知ったうえで、予防的措置を取るのが確実です。ハッカーやハッキングについて正しく理解し、有効な対策を講じるために、この記事ではハッキングによる被害や対策について解説していきます。

ハッキングとは？

現在は、専門的な技術を悪用して犯罪をおこなう人をハッカー、そのような行為をハッキングと呼ぶことが多くなりましたが、どちらも元の意味とは異なります。

ハッカーは、プログラミング技術が飛び抜けたエキスパートや、機械に対する専門的知識を持つ技術者を指します。必ずしも犯罪をおこなう人を指すわけではなく、区別するために本来の意味のハッカーをホワイトハッカー、悪意をもって機密情報などを盗むハッカーのことをクライムハッカー（クラッカー）と呼ぶことがあります。

ハッキングは、システムの解析やプログラミングの改修を指す言葉であり、こちらも必ずしも悪意のある行為とは限りません。区別するために、本来の意味のハッキングをハッキングと呼び、悪意のある解析や改ざんをクライムハッキング（クラッキング）と呼ぶことがあります。

違法なハッキングは犯罪ですが、本来の意味のハッキングは堅牢なセキュリティを持つシステム開発には欠かせない作業です。たとえば、運用しているシステムのセキュリティ強度や脆弱性を確認するため、企業がホワイトハッカーにハッキングを依頼し、脆弱性を発見したホワイトハッカーに報奨金を支払う企業もあります。

また、政府の組織が協賛する、日本最大級のセキュリティコンテストである「SECCON」のようなハッキング技術を競うコンテストも存在します。このコンテストでは、ホワイトハッカーたちが技術を磨いて挑戦するため、セキュリティ技術の向上につながります。

ハッキングの被害

ハッキングの被害は、大きく分けて4種類あります。いずれの被害も甚大で、ビジネスに致命的なダメージを与えるだけでなく、利用者や関係のない人にまで被害が広がることもあります。それぞれの被害例を見ていきましょう。

Webサイト改ざん

Webサーバーに侵入し、Webサイトの画像を差し替えたり、ウイルスに感染させるコードを混入したり、リンクの遷移先をウイルスが仕込まれているサイトに変更したりするといった改ざんがあります。

これらは、流出したアカウントID・パスワードが不正に利用されることや、Webサイトを運用するCMS（コンテンツマネージメントシステム）の脆弱性を狙った攻撃を受けることで発生します。また、サイトを設置しているサーバー側のセキュリティに問題があるケースもあります。

サーバーの停止

Webサイトやアプリケーションが設置されたサーバーが直接攻撃されることで、サーバーが停止する被害です。ショッピングサイトが停止することで売上が減少したり、アプリケーションに通信遅延が発生してユーザビリティが低下したりします。オンラインゲームのサーバーが狙われることもあります。

Webサイトの改ざんと同じ方法で内部に侵入し、サーバーの設定を変更することもあります。しかし、多くの場合は外部から大量のアクセスリクエストを送りつけてサーバーをダウンさせる、DDoS攻撃と呼ばれる手段が取られます。

DDoS攻撃は侵入に比べると比較的難易度が低く、費用対効果が高いため、サイバー攻撃の代表的手法の一つになっています。

別の攻撃に悪用する

侵入したパソコンやサイトを踏み台にして、さらに他者を攻撃するケースです。攻撃者の素性を隠すため、バックドア型のウイルスで乗っ取ったパソコンから、本命である企業のサーバーなどに侵入します。

また、ダウンロード時に感染するウイルスをWebサイトに仕込み、自動でダウンロードを実行するドライブ・バイ・ダウンロードという手法で攻撃するための踏み台として、Webサイトが利用されるケースもあります。

情報漏えい

不正に侵入されると、Webサイト・サーバーが停止したり改ざんされたりするだけでなく、データベースに保存されている顧客情報などを盗まれてしまうこともあります。

個人情報の流出は企業としては致命的なダメージであり、場合によっては多額の賠償金を求められる事態にまで発展します。

ハッカーによるハッキングの対策

ハッキングとその被害について説明したところで、ここからは必要な対策を4つ紹介します。

いずれも当然なされるべき対策ですが、実際にハッキングの被害を受けたところは、これらの対策を怠っています。いずれも、すぐにできる対策です。現在のセキュリティの状況を確認し、未対応のものは早急に手配するようにしましょう。

脆弱性対策

脆弱性とは、プログラムの設計ミスによって生まれるシステムの弱点のことです。脆弱性はハッキングの突破口として狙われやすいため、適切な対策が必要となります。特に、Office製品やアドビシステムズのFlash Player、Webブラウザ、OSは狙われやすく、Flash Playerは脆弱性の面で使用を避けることが推奨されています。

バーションが古いWebブラウザもセキュリティ上の脆弱性があるため、最新のものを使用するべきでしょう。Office製品やWindows OSは、定期的に脆弱性対策済のWindows Updateを配信しています。これらはOS側で更新の設定を変更していない限り、配信されたタイミングで適用されます。

このほかにも、使用しているアプリケーションなどに脆弱性が見つかった場合は、速やかにアップデートして対処することが必要です。放置していると、ハッキングを受ける危険性が高まります。

不正侵入の検出

ゲートウェイなどに設置することで、内部システムの通信状況を可視化できるソリューションが有効です。

侵入を試みるハッカーは高い権限を持つパソコンを探し、それを経由して下位のパソコンにアクセスしようとします。通常の操作では発生しない不審な通信を検出することで、不正侵入を試みる存在を早期に発見し、被害を未然に防ぐことができます。

ネットワーク機器などのパスワード確認

ハッカーはインターネットを経由して、室内にネットワークを引き込んでいるルーターや無線LANアクセスポイントなどに侵入してくることがあります。OA機器や室内監視用カメラ、Web会議用のカメラなどが侵入経路になることもあるため、ネットワークに接続している機器のセキュリティやパスワード管理には注意が必要です。

初期設定のパスワードのまま運用していると、同型の機器のパスワードをもとに攻撃されることがあるので、パスワードは必ず変更しておきましょう。

パスワードを工夫する

パスワードの組み合わせが単純だと、すぐに解析されて侵入されてしまいます。パソコンの性能は飛躍的に向上しているため、これまでは問題がなかった組み合わせでも、現在は容易に解析されて突破されてしまうことが考えられます。

ウイルス対策ソフトなど入れていても、解析しやすいパスワードを使用していると、その効果が発揮されません。文字や記号、大文字、小文字、数字を組み合わせて、容易に想像できないパスワードにする必要があります。

また、複数のサイトで同じパスワードを使い回すことは、非常に危険です。1つのサイトからIDとパスワードが漏洩すると、使い回しているほかのサイトにもログインされ、情報が盗まれてしまうからです。

対策を万全にしてハッカーの侵入を防ごう！

ハッカーの侵入対策は、セキュリティソフトの導入だけでは不十分です。相手はプログラムや機械に精通したプロフェッショナルであり、その知識を悪用することで不当な利益を得る犯罪集団です。脆弱性対策もこまめにおこなうことが、最も簡単で確実なハッカー対策といえますので、まずはここから対策を検討してください。

ホワイトハッカーによって発見された脆弱性に対しておこなわれた対策は、クライムハッカーに対抗する際にも有効です。個人の対策として、複雑なパスワードを使い分けたり、ネットワーク機器のパスワードを定期的に変更したりすることも効果的です。

対策をおこない、ハッカーの侵入を防ぐことで、自他ともに安全なネットワーク利用を心がけましょう。