ハッキングとは、コンピュータ システムやネットワークに許可なくアクセスし、組織のシステム、ソフトウェア、人材などの脆弱性を悪用する行為です。
脆弱性の悪用は、トリックやソーシャル エンジニアリングを使用して誰かの資格情報を取得してその人としてログインする、他のハッカーが提供するサービスとしてのマルウェアを使用する、または脆弱性の概念実証コードを使用するなど、単純な場合があります。悪用して使用するのは非常に簡単で、他の人によって提供されています。
また、非常に技術的であり、ターゲットとなるシステムに関するより高度なスキルと知識が必要になる場合もあります。 ハッキング コンテストである Pwn2Own の優勝者は、複数の脆弱性を連鎖させてシステムやブラウザを乗っ取ることがよくあります。 同様に、標的型フィッシング攻撃やサプライ チェーン攻撃を成功させるには、被害者とソフトウェアの綿密な調査と数か月にわたる計画が必要です。
歴史的に見て、最初は挑戦の楽しみ、あるいは自分のコンピュータ知識やシステムを騙す能力のテストとして始まったかもしれないものが、人気のあるデバイス、アプリケーション、オペレーティング システムの 1 つのバグによって数十億ドル規模の産業に変わってしまいました。あるいは、システムは発見者にその努力に対して 6 桁の金額を支払うことができます。
今日、セキュリティハッカーのスキルは、企業、法執行機関、国家、犯罪組織などから高く評価されています。 私たちは常に変化しており、一方では サイバーセキュリティ の防御に弱点が探られ、他方ではそれらのハッキング技術や手順に対抗するための対策が開発されています。
ハッキングは悪いことばかりでも、良いことばかりでもありません。 たとえば、企業は自社の製品やサービスで見つかった脆弱性に対してハッカーに支払うバグ報奨金プログラムを作成しています。 同様に、ホワイトハットハッカーは、セキュリティ保護の弱点を見つけるために、企業に侵入テストサービスを提供し、ブラックハットハッカーに見つかる前にこれらのギャップを埋めることができます。
ハッキングの金銭的側面を複雑にしているのは、個々のハッカーの政治的動機と利益です。 たとえば、法執行機関や国家のために働くハッカーは、これらの組織や政府の目標に沿った利害関係を持っている可能性があります。 また、ソフトウェアやサービスへの無料アクセスを促進するハッキング文化もあります。 さらに、ハクティビスト(Anonymousなど)は、共通の政治的目標と利益を中心に団結したグループです。
脆弱性はハードウェア、ソフトウェア、ネットワーク、人員、さらには物理的なサイトにも存在します。 また、定期的な監査やセキュリティが不足している組織のプロセスにも見られます。
脆弱性は既知と未知に分類できます。 理想的には、脆弱性が見つかった場合、その脆弱性が公に知られる前に、責任を持って所有者に開示され、修正され、パッチが利用可能になります。
既知の脆弱性はデータベースに入力され、スコアが提供されます。 たとえば、CVSS (共通脆弱性スコアリング システム) は、攻撃ベクトル (ネットワークと物理的アクセス)、攻撃の複雑さ、ユーザーの操作が必要かどうか、攻撃に特権アクセスが必要かどうかをランク付けする重大度評価を提供します。
サイバー攻撃の影響も重大度スコアに含まれます。これには、範囲(1つのシステムか複数のシステムか)、攻撃の結果として利用可能な情報の機密性と整合性、そして最後に、リソースの可用性への影響が含まれます( CVSSユーザーガイド の採点基準を参照)。
脆弱性重大度スコアは、ユーザーがシステムを評価し、更新を計画するのに役立ちます。 脆弱性が公開されてからユーザーが影響を受けるシステムにパッチを適用するまでには、ブラックハットハッカーにとってはまだチャンスが残されています。 残念ながら、悪意のあるハッカーは発見された脆弱性を責任を持って公開せず、発見されるまで使用します。
ハッカーの成功は、次のようないくつかの要因に左右されます。
ハッカーは、いくつかの異なる方法で分類できます。 最も一般的な内訳の1つは、ハッカーがどのように、そしてなぜ活動するかに焦点を当てています。
ハッカーは、知識のレベルと根本的な動機に基づいて分類することもできます。 たとえば、スクリプトキディはツールに依存するエントリーレベルのハッカーですが、より高度なハッカーは組織犯罪や国家などで働く可能性があります。
サイバー攻撃は、個人や組織など、あらゆる人を標的にすることができます。 個人が攻撃から身を守るために実行できる簡単な手順には、次のようなものがあります。
企業は、攻撃対象領域が広く、より価値のある標的であるため、サイバー攻撃の標的になる可能性が高くなります。 ビジネスにおける重要なハッキング対策には、次のようなものがあります。
セキュリティはプロセスであり、組織や個人が直面する可能性が最も高いサイバー脅威に対処するために、セキュリティソリューションを選択する必要があります。 現在のサイバー脅威の状況について詳しくは、チェック・ポイントの2021 年サイバーセキュリティ レポート をご覧ください。
チェック・ポイントは、サイバー脅威に対する脆弱性を理解したい組織向けのソリューションも提供しています。 無料のセキュリティ チェックアップを利用して包括的な脆弱性を分析し、サイバー脅威に対するリモート ワーカーの脆弱性を評価してください。