ハッキングの進化
歴史的に見て、最初は挑戦の楽しみ、あるいは自分のコンピュータ知識やシステムを騙す能力のテストとして始まったかもしれないものが、人気のあるデバイス、アプリケーション、オペレーティング システムの 1 つのバグによって数十億ドル規模の産業に変わってしまいました。あるいは、システムは発見者にその努力に対して 6 桁の金額を支払うことができます。
今日、セキュリティハッカーのスキルは、企業、法執行機関、国家、犯罪組織などから高く評価されています。 私たちは常に変化しており、一方では サイバーセキュリティ の防御に弱点が探られ、他方ではそれらのハッキング技術や手順に対抗するための対策が開発されています。
ハッキングは悪いことばかりでも、良いことばかりでもありません。 たとえば、企業は自社の製品やサービスで見つかった脆弱性に対してハッカーに支払うバグ報奨金プログラムを作成しています。 同様に、ホワイトハットハッカーは、セキュリティ保護の弱点を見つけるために、企業に侵入テストサービスを提供し、ブラックハットハッカーに見つかる前にこれらのギャップを埋めることができます。
ハッキングの金銭的側面を複雑にしているのは、個々のハッカーの政治的動機と利益です。 たとえば、法執行機関や国家のために働くハッカーは、これらの組織や政府の目標に沿った利害関係を持っている可能性があります。 また、ソフトウェアやサービスへの無料アクセスを促進するハッキング文化もあります。 さらに、ハクティビスト(Anonymousなど)は、共通の政治的目標と利益を中心に団結したグループです。
ハッカーの脅威
脆弱性はハードウェア、ソフトウェア、ネットワーク、人員、さらには物理的なサイトにも存在します。 また、定期的な監査やセキュリティが不足している組織のプロセスにも見られます。
脆弱性は既知と未知に分類できます。 理想的には、脆弱性が見つかった場合、その脆弱性が公に知られる前に、責任を持って所有者に開示され、修正され、パッチが利用可能になります。
既知の脆弱性はデータベースに入力され、スコアが提供されます。 たとえば、CVSS (共通脆弱性スコアリング システム) は、攻撃ベクトル (ネットワークと物理的アクセス)、攻撃の複雑さ、ユーザーの操作が必要かどうか、攻撃に特権アクセスが必要かどうかをランク付けする重大度評価を提供します。
サイバー攻撃の影響も重大度スコアに含まれます。これには、範囲(1つのシステムか複数のシステムか)、攻撃の結果として利用可能な情報の機密性と整合性、そして最後に、リソースの可用性への影響が含まれます( CVSSユーザーガイド の採点基準を参照)。
脆弱性重大度スコアは、ユーザーがシステムを評価し、更新を計画するのに役立ちます。 脆弱性が公開されてからユーザーが影響を受けるシステムにパッチを適用するまでには、ブラックハットハッカーにとってはまだチャンスが残されています。 残念ながら、悪意のあるハッカーは発見された脆弱性を責任を持って公開せず、発見されるまで使用します。
ハッカーの成功は、次のようないくつかの要因に左右されます。
- 攻撃対象領域の複雑さ: 組織の攻撃対象領域は、使用するシステムの数によって定義されます。 クラウド インフラストラクチャとサービスの使用が増加し、5G ワイヤレス テクノロジの進歩により、BYOD デバイスとデジタル接続されたモノのインターネット (IoT) の数が増加し、より多くのシステムがインターネットに接続されるにつれて、この状況は拡大し続けています。
- 入手可能な情報: 匿名性とインターネットもハッカーに有利に働きます。 人々は自分の家族や活動に関する情報をソーシャルネットワーキングサイトに自由に投稿し、ハッカーは他のソースからPIIやPHI情報を購入することができます。 多くの場合、これらの攻撃の目的は、ユーザーの資格情報を盗み、それらを使用してアカウントに直接アクセスしたり、ユーザーをだますことです。 フィッシング攻撃の一種であるビジネスメール詐欺 (BEC) は、攻撃者に数百万ドルの利益をもたらす可能性があります。
ハッキングの種類 - ブラックハット、ホワイトハット、グレーハット
ハッカーは、いくつかの異なる方法で分類できます。 最も一般的な内訳の1つは、ハッカーがどのように、そしてなぜ活動するかに焦点を当てています。
- ブラックハット:ブラックハットハッカーは、許可なく悪意のある目的で攻撃を行います。
- ホワイトハット: ホワイトハットハッカーは、攻撃を実行し、発見された脆弱性を特定して倫理的に報告することを試みる許可を持っています。
- グレイ ハット: グレイ ハット ハッカーは攻撃の許可を持っていませんが、通常、発見された脆弱性を標的の組織に報告する目的で攻撃を実行します。
ハッカーは、知識のレベルと根本的な動機に基づいて分類することもできます。 たとえば、スクリプトキディはツールに依存するエントリーレベルのハッカーですが、より高度なハッカーは組織犯罪や国家などで働く可能性があります。
ハッキングを防ぐ方法
サイバー攻撃は、個人や組織など、あらゆる人を標的にすることができます。 個人が攻撃から身を守るために実行できる簡単な手順には、次のようなものがあります。
- モバイルおよびエンドポイント セキュリティソリューションを使用する:消費者中心のセキュリティ ソリューションを導入して、サイバー脅威からデバイスを保護します。
- ソフトウェアを更新する: パッチが適用されていない脆弱性の悪用は、一般的な攻撃ベクトルです。 ブラウザと OS の自動更新が有効になっていることを確認します。
- 悪意のあるリンクに注意:電子メール、SMSメッセージ、またはQRコード内のリンクを自動的にクリックしないでください。 疑わしい場合は、サイトを検索して URL を確認してください。
- 個人データの保護:個人データ(支払いカードデータ、電話番号など)を、本人確認なしに誰にも開示しないでください。
- 安全なパスワードを使用する: 簡単に推測できるデフォルトのパスワードや単純なパスワードは絶対に使用しないでください。 特に金融サイトや電子メールでは、可能な場合は多要素認証 (MFA) を有効にします。
企業は、攻撃対象領域が広く、より価値のある標的であるため、サイバー攻撃の標的になる可能性が高くなります。 ビジネスにおける重要なハッキング対策には、次のようなものがあります。
- セグメンテーション:ネットワークのセグメンテーションにより、攻撃者がネットワークを通過することがより困難になります。 ビジネス ニーズに基づいてネットワーク セグメントを定義し、正当な業務運営への影響を最小限に抑えながらネットワーク セキュリティを最大化します。
- 信頼するが検証する: 多くのサイバー攻撃は、過剰な権限と、ユーザー、アプリケーション、またはシステムが「信頼されている」という前提を悪用します。 ゼロトラストセキュリティの原則を実装し、リクエストをケースバイケースで評価します。
- セキュアな IoT : IoT は爆発的に普及していますが、これらのデバイスは安全でないことで有名です。 企業環境に対するこの一般的な攻撃ベクトルを遮断するには、IoT デバイスのセキュリティを確保することが不可欠です。
- セキュリティを有効にする: セキュリティ ソリューションは、有効にし、監視し、アクティブに管理している場合にのみ役立ちます。 企業は、セキュリティソリューションが完全に機能していることを確認する必要があります。
- 計画を立てる: セキュリティをプロセスとして捉える: セキュリティは 1 回限りの作業ではありません。 組織のセキュリティ体制を時間をかけて成熟させるための計画を立てます。
Feedback