ハッカーがサイトをハッキングする方法とは?手口を解説!

security_624

日々、さまざまなサイトがハッキングを受けたり、情報漏えい事件などで話題になります。しかし、どのような手口でハッキングされたのでしょうか?

その方法と、対策についてまとめました。サイト運営者の方はもちろんのこと、利用者の方もしっかり対策しておくことをおすすめします。

1. サイトで実行されるハッキングの手口

サイト内において実行されるハッキングで、よく使われる手口を解説します。セキュリティ対策が不足しているサイトだと、これらの手口でたやすくハッキングされてしまいます。

1-1. SQLインジェクション

SQLとは、データベースの管理・操作を実行するプログラミング言語です。このSQLを悪用してデータベースに不正な操作をおこなうのがSQLインジェクションになります。

security_162SQL・HTMLインジェクションとは?2つの脆弱性による被害
近年、Webサイトの悪用による個人情報漏えい、マルウェアの拡散などの被害が急速に増加しています。信用問題にかかわるWebセキュリティ対策に力を入れる企業が増えてい...

1-2. クロスサイトスクリプティング(XSS)

攻撃者がサイト利用者のブラウザ上で、任意の操作を実行できる脆弱性です。サイト訪問者を強制的に別のサイトへ飛ばしてウイルスをダウンロードさせたり、お問合せフォームなどの入力時にキーボードの入力内容をキャプチャし、外部送信することも可能です。

また、Cookieの盗難も可能で、盗んだCookieを使用することで、お問合せフォームの確認ページなど利用者が表示していたページを、攻撃者に盗み見られる(乗っ取られる)可能性があります。

security_1111クロスサイトスクリプティング(XSS)とは | 対策と被害事例
「クロスサイトスクリプティング」(略称、XSS)とはどのような脆弱性をご存じですか?Webサイトを運営しているならサイトにこの脆弱性がないかチェックしておくことは...

1-3. クロスサイトリクエストフォージェリ(CSRF)

攻撃者が掲示板などに興味を引くような文言と一緒にURLを貼り、これをクリックすると意図しない書き込みや操作をしてしまうという攻撃です。構造はクロスサイトスクリプティングと少し似ています。

以前にあったケースでは、掲示板に「指定の文言を書き込んで送信するURL」が書き込まれ、これをクリックするだけで、たとえば犯行予告のような書き込みを自動でおこなってしまうというものがありました。

この手口が使われると、上記のようにURLをクリックするだけで意図しない書き込みをしてしまうほか、個人情報のデータを送信するURLであれば、情報漏えいや金銭的な被害につながる可能性もあります。

1-4. クリックジャッキング

通常のサイトのページの後ろに、罠を設置した悪意あるサイトのページを重ねるという攻撃手法です。通常ページで、見たところ問題のないリンクを押したにも関わらず、重ねてある罠サイトのリンクを押したことになってしまいます。

罠サイトのリンクを押すと、入力した情報を罠サイト側に送信してしまうとか、掲示板などに意図しない書き込み(宣伝もしくは犯行予告など)をさせられるといった被害が考えられます。サイトが重ねられているのは見た目で判断できません。知らないうちに被害を受けてしまうのが特徴です。

security_320クリックジャッキング攻撃の仕組みと対策方法
ある日気づいたらSNSのプライバシー情報の公開設定が変更されていたといった経験はありませんか?クリックジャッキング攻撃という攻撃手法により、Webサイトを利用して...

1-5. 強制ブラウズ

サイトURLに英単語を入力することで、サーバー上にあるフォルダをのぞき見る攻撃方法です。具体的にいうと、「http://○○/」というサイトURLだった場合、アドレスバーに「http://○○/admin/」と入力して管理ページを探ったりします。

たとえば、サーバー上に管理ページヘのID・パスワードを含む「password」というフォルダを置いていて、かつアクセス制限をかけていないと、「http://○○/password/」と入力するだけで第三者もその情報を閲覧することができてしまいます。

2. ハッキングを目的とした不正ログインの手口

上記のように、サイトからおこなうハッキング手口のほか、サイト管理者・ユーザーになりすまして不正ログインする手口をご紹介します。これらを総称して、パスワードクラックと呼びます。

2-1. 総当たり攻撃

ブルートフォースアタックともいいます。ログインフォームにツールを使用してID・パスワードをランダム入力・試行する方法です。

ランダム入力されたID・パスワードの組み合わせがたまたま一致すると、管理画面もしくは会員ページに不正ログインされ、悪意ある操作(個人情報を盗んだり、金銭を奪うなど)がおこなわれる可能性があります。

2-2. 辞書攻撃

総当たり攻撃と同様、ツールを使っておこなう攻撃です。辞書に登録されている単語を使ってID・パスワードを入力・施行します。

覚えやすいからと、思いついたカンタンな単語をID・パスワードに設定していると、すぐに見破られてしまうので注意が必要です。

2-3. リスト型攻撃

過去に他サイトでID・パスワードを盗まれた経験があると、リスト化されて業者間で取引される場合があります。そのリストを購入した業者が不正ログインに使用するケースをいいます。

security_118不正アクセスの対策!手口と事例を知って被害を防ぐ
インターネットを利用していて、決して他人事ではないのが「不正アクセス」です。不正アクセスとは、ハッカーなどの悪意ある第三者が個人・企業のパソコンやサービスへ...

3. ハッキングするのはハッカーじゃない!?

あまり多くの方には知られていないものの、じつは身近なハッキング手口が「ボット攻撃」です。どういうものなのか、解説していきます。

3-1. ボットとは?

ハッカーが作成したツールのことです(クローラー・巡回プログラムともいいます)。このボットはコンピューターウイルスと同様にパソコンへ感染し、感染者のパソコンを遠隔操作してさまざまな悪事をはたらきます。

security_1043

ボット感染したパソコン群は「ボットネットワーク(ゾンビクラスタ)」と呼ばれ、ボットを散布した攻撃者がボットネットワークに指示を出すと、一斉攻撃なども実行可能です。代表的なボットとしては、Spybot やSdbot、Agobot(Gaobot)などがあります。

3-2. ボットがおこなう攻撃

ボットに感染すると、攻撃者の指示であらゆる攻撃をさせられてしまいます。どのような攻撃かというと、以下のようなものが挙げられます。

  • スパムメールの送信
  • 感染したパソコン内でのスパイ活動(スパイウェアと同様)
  • DoS攻撃(複数台が実行するとDDoS攻撃になる)
  • 感染対象となるセキュリティが甘いパソコン、サイトの調査
  • ほかのパソコンへもネットを通じて感染

3-3. ボットの厄介な部分

ボットは感染しても気づきにくいように工作したり、検出されにくくするような機能を備えています。どのように厄介な部分があるのかをご紹介します。

  • セキュリティソフトを停止させる
  • システムファイルと区別しづらい名前で行動する
  • ウイルス対策サイトなどへのアクセスを妨害する
  • 追跡されると自動消滅する種類がある
  • 自身をバージョンアップさせる機能を持つ種類もある
  • ソースコードが公開されており、改造できるため亜種が増えている

3-4. ボットの感染経路

ボットはウイルスと同様の経路からはもちろん、さまざまな場所から感染することが知られています。以下が実際に報告された事例です。

  • メールに添付されたウイルスのファイルを実行
  • メールに記載されたウイルスサイトのURLをクリックして感染
  • ウイルスが含まれるサイトを見て感染
  • ほかのウイルスに感染したとき、そのウイルスを介して感染
  • Winnyなどのファイル交換(P2P)ソフトから感染

4. どのようなサイトが狙われやすい?

ハッキングと聞くと、大手企業やそのサイトを狙うというイメージがありませんか?しかし、実際のところはそうとも限りません。

4-1. セキュリティの甘いサイトを無差別攻撃

ハッカーは前項で紹介したようにボットネットワークを使って、セキュリティの甘いパソコンやサイトを一斉に検索・攻撃します。

4-2. 大手より中小企業のほうが狙われやすい!

大手企業で個人情報を漏えいした、というニュースを見ることが多いかもしれませんが、実際はその倍以上の事故が中小企業で発生しているといいます。原因は対策・認識の甘さです。

多くの大手企業は狙われる可能性を意識して、セキュリティの部署を設置したり、社員教育に力を入れています。しかし、中小企業は狙われないだろうと思い込み、とくに対策していないという企業が非常に多いです。このため、ボットから脆弱性を狙われてサイバー事故に遭ってしまいます。

4-3. 実際の被害数はもっと多い!

サイバー攻撃の被害を受けたこと自体は、申告する義務がありません。そのため、攻撃が起こったことを表沙汰にしていない企業も多いです。また、サイバー攻撃を受けていること自体気づいていない企業もあります。

サイバー攻撃でサイト改ざんされたにも関わらず、それに気づかず何年もサイトを稼働させていたという企業も実際に存在しています。このため、ニュースで見る大手企業の情報漏えい事故がすべてではありません。

中小企業が狙われた事例を聞いたことがないから、対策に力を入れる必要がないだろう・・・などと思っていると、気づいたときには大損害となってしまう可能性も十分にありえます。

5. サイトのハッキング・被害を防ぐ方法は?

サイトやパソコンのセキュリティ対策が甘いと、ボットに検出されて攻撃を受けます。つまり、強固な対策を講じておけば検出されにくくなり、攻撃を受けても被害を抑止することができるのです。サイト利用者も運営者も、これらの対策は必須といえます。

5-1. セキュリティソフトを導入する

セキュリティソフトを入れているという方は多いかもしれませんが、まだの方は入れておくことをおすすめします。ただ、入れたらそれでいいわけではありません。

セキュリティソフトにはアップデートというものがあり、これをインストールすることで最新のウイルスに対応することができます。新しいウイルスから身を守るために、こちらも忘れずアップデートしておいてください。

5-2. ソフトウェアをアップデートする

Windows OSやフラッシュプレイヤーなどのソフトは、つねにアップデートがおこなわれていて、旧バージョンにあった不具合などを最新バージョンで修正したりしています。

そのため旧バージョンのまま使用していると、不具合(脆弱性)がそのままになってしまうので、その部分を狙ったサイバー攻撃を受けるリスクが非常に高いです。使用しているソフトで最新バージョンが出たら、早めのアップデートをおすすめします。

また、ソフトのアップデートだけおこなえばよいわけではありません。WordPressなどサイトを構築するソフトも最新版にしないと、脆弱性を狙われかねません。忘れずに更新しておいてください。

5-3. セキュリティ診断をおこなう

サイトに脆弱性があると、ボットから狙われやすくなります。しかし、サイトの脆弱性は知識がないとまったくわかりません。

そこで、セキュリティ会社の診断サービスなどを利用して脆弱性を調べ、対策するという方法があります一度、サイトを調査してみてどの部分に脆弱性があるのかを確認しておくとよいでしょう。

まとめ

サイバー攻撃といえば、「ハッカーが大手企業を狙っている」と思っていた方は多かったのではないでしょうか。たしかに、ハッカーは大手企業を狙うことがあります。しかし、それよりもっと多いのがボットによる個人・中小企業をターゲットにした自動攻撃です。

他人ごとだと思うことなく、日ごろからセキュリティ対策をおこなって、個人情報や金銭などを狙われないように注意してください。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >