デジタルの戦場: 倫理的ハッカーと悪意のあるハッカー
## 導入
2011 年にシティバンク (シティグループ) がサイバー攻撃を受け、約 270 万ドルが盗難されたことをご存知ですか?
攻撃者は、Web サイト上の単純なデータ侵害を利用しただけです。彼らはそれが検出されるまで、数か月間悪用されていました。 36万以上の口座が影響を受けたため、銀行は大きな被害を受けており、それを取り除くのは非常に困難でした。
## まとめ
情報セキュリティの誕生
過去 20 年間で、コンピューター サイエンスは大幅に成長しました。多くのことが発見され、多くの点が改善されました。今日のコンピューターとテクノロジーは、少なくともその形式と機能において、初期に存在していたものとは何の関係もありません。それが、これまで簡単に到達できなかった新たな宝物を生み出したのです。それがあれば多くのことが違っていたでしょう。それは 情報 です。
情報の重要性は人命を救うほど高まっています。それは私たちの日常生活でも非常に重要であり、さまざまな形で見られます。この記事では、デジタル情報、つまりコンピューターに保存されている情報について説明します。これを データ と呼びます。
学校、病院、銀行、政府、軍隊、スーパーマーケットなど、データはどこにでもあります。したがって、基本的には世界中の誰もがデータを持っています。その重要性は人によって、また使用法によって異なります。それは時には非常に重要なことかもしれません。
残念ながら、この世に完璧なものは存在しないため、この情報へのアクセスが侵害される可能性があります。その主な原因は、さまざまな形の人的要因によるものです。それは、エラー、ミス、または場合によっては単なる過失のいずれかである可能性があります。これにより、デジタル システムにセキュリティ ホールが残る可能性があります。これらのホールを 脆弱性 と呼びます。
そして、悪意を持ってこれらの脆弱性を利用し、自分たちのために標的にしようとする人々がたくさんいます。彼らはハッカーと呼ばれています。
ハッカーは犯罪者とみなされますが、それは決して間違いではありません。彼らの行為の結果は、金銭の損失や多くの人々の生活の破滅など悲惨なものになる可能性がありますが、無視できない軽微な損害が発生する場合もあります。これらの結果のいくつかについては後ほど見ていきます。
彼らの存在により、彼ら (ハッカー) と戦う人々が存在し、情報セキュリティに注意を払うことが避けられなくなりました。
彼らは エシカル ハッカーと呼ばれ、基本的にハッカーの攻撃 (サイバー攻撃としても知られる) を防止または最小限に抑えることが彼らの仕事です。彼らはデジタル世界をより安全な場所にするために活動している人々です。
### サイバー攻撃
したがって、サイバー攻撃は、以前にも紹介したように、ハッカーの行為です。ハッカーは、さまざまな悪意のある目的でデータを盗んだり、不正な変更を実行したり、さらには破壊したりするためにシステムを攻撃します。
これらの攻撃のほとんどは、次の 3 つのカテゴリのいずれかに分類できます。
システムに対する攻撃
この場合、脆弱性は通常、システムの技術的なミスによって引き起こされます。ハッカーは、システムとその仕組みに関する知識を利用して、それを自分に有利に利用する無防備な方法を見つけ出し、リソースまたはシステム全体に不正アクセスする可能性があります。
私たちは一般的に次のことについて話します。
-
ゼロデイ エクスプロイト (最近発見された、パッチが適用されていない脆弱性。つまり、最新バージョンのシステムにまだ存在していることを意味します)。
-
CVE (脆弱性エクスプロイトのコード) は、古いシステムに関連する概念の証明です。
-
中間者攻撃、サービス妨害 (DOS)、分散型サービス妨害 (DDOS) など。
人に対する攻撃
デジタル システムで最も脆弱な点は人間であることは広く知られています。その中で最も予測不可能な俳優です。実際、企業で働く人々に対して多くのサイバー攻撃が実行され、重要なデータが漏洩したり、多くのシステムで悲惨な行為が行われたりしています。
ここで公開したい引用があります
「人間の愚かさにパッチはない」
つまり、ハッカー自身が人々をハッキングすることに成功した場合、何もできないということです。ここでは、フィッシングなどの多くのテクニックを使用して人の心理をハッキングすることを目的としたソーシャル エンジニアリングについて詳しく説明します。
人を介したシステムへの攻撃
この場合、攻撃の目的は通常、データを破壊したり、システムを誤動作させたりすることです。これは、人々にマルウェアと呼ばれる悪意のあるコンピューター プログラムを使用させることによって行われます。
これらは、データを破壊したり、その形式を完全に変更して使用不能にしたり、さらには漏洩して重大な結果を引き起こすプログラムです。そしてそれが仕事です
-
ウイルス: システムまたはネットワーク上で非常に急速に拡散するプログラム
-
ランサムウェア: 強力なアルゴリズムを介してデータを暗号化し、データを取り戻すために身代金を要求するマルウェア。
-
トロイの木馬、ワームなど
-
一方、スパイウェア のように、マルウェアはアイドル状態のままでデータのみを盗む可能性があります。
そしてご覧のとおり、これらは何らかの形でシステムに組み込まれる人的エラーによってのみ達成されます。
いくつかの重大なサイバー大惨事
過去 10 年間、世界では重大な結果をもたらした数多くのサイバー攻撃が知られています。
これにより、組織はシステムのセキュリティをより重視するようになりました。
最もよく知られているもののいくつかを以下に示します。
- ソニー・ピクチャーズ ハック (2014)
2014 年のソニー・ピクチャーズ エンタテインメントへのサイバー攻撃は北朝鮮によるものとされ、未公開映画や従業員の機密情報などの機密データが流出しました。 「ガーディアンズ・オブ・ピース」という偽名で活動していた犯人らは、北朝鮮指導者の暗殺に関わる架空の陰謀を題材にした映画「ザ・インタビュー」の公開を中止するようソニーに要求した。
- WannaCry ランサムウェア (2017)
WannaCry は世界的なランサムウェア攻撃であり、特に古い Windows バージョンを使用しているコンピュータを探し出しました。この悪意のあるプログラムは急速に広がり、世界中の組織と個人の両方に影響を与えました。 NSA から盗んだセキュリティの脆弱性を悪用して被害者のファイルを暗号化し、データの復号化のために身代金の支払いを要求しました。重大な被害が発生する前に、セキュリティ研究者が攻撃を停止するメカニズムを偶然特定しました。
- SolarWinds サイバー攻撃 (2020)
SolarWinds サイバー攻撃は、著名な IT 管理会社である SolarWinds を標的とした、複雑に計画されたサプライ チェーン侵害でした。襲撃者は SolarWinds のソフトウェア アップデートを侵害し、政府機関や著名な企業を含むさまざまな組織のシステムへのアクセスを提供しました。この攻撃はロシアのAdvanced Persistent Threat (APT) グループに関連していた。
- Log4j (2021)
20 年の歴史を持つ確立された Java ユーティリティである Log4j は、2021 年 12 月に Log4Shell という重大な脆弱性の発見という極めて重要な瞬間に遭遇しました。この欠陥により、認証されていない、スキルの低い悪意のある攻撃者がアプリケーションを制御することが可能になり、高額な費用がかかるセキュリティ侵害につながりました。
- Twitter (2022 年、ソーシャル エンジニアリング攻撃により 540 万人のユーザー アカウントが盗まれる)
2022 年 8 月 5 日、Twitter は驚くべき発表を行い、「devil」という偽名で活動するハッカーがゼロデイ脆弱性を悪用したことを明らかにしました。この侵害により、電話番号や電子メール アドレスなどの個人識別情報をソーシャル メディア プラットフォーム上のユーザー アカウントに結び付けることが可能になりました。
この脆弱性によってもたらされた機会を利用して、ハッカーはその後オンライン フォーラムで膨大なデータセットを公開し、その価格を 30,000 ドルに設定しました。このバグの存在は 2021 年 6 月に公に知られ、500 万人以上のユーザーに影響を与えました。
このインシデントに対して、Twitter は迅速に行動し、影響を受けたアカウント所有者に直接連絡を取り、指導を提供しました。彼らはユーザーに対し、アカウントへの不正アクセスに対する必須の保護手段として 2 要素認証を実装するよう促しました。
エシカルハッカー
前述したように、テクノロジー分野でのハッカーの台頭により、組織はシステムのセキュリティを強化するソリューションを検討するようになりました。
したがって、パッチを適用したり修正したりするために、これらのシステムをレビューし、脆弱性を検出するのにお金がかかるポジションや仕事を見つける必要がありました。こうした立場に就いている人々は、実際には倫理的ハッカーと呼ばれている人々です。
倫理的ハッキングは 2 つの主要なカテゴリに分類されます
-
攻撃的セキュリティ: 侵入テストまたは倫理的ハッキングとも呼ばれ、組織のシステムに対するサイバー攻撃をシミュレートして脆弱性や弱点を特定する手法です。攻撃的セキュリティの主な目標は、悪意のある攻撃者が悪用する前に、セキュリティ問題を積極的に発見して対処することです。
-
防御セキュリティ: 組織のシステム、データ、ネットワーク インフラストラクチャを潜在的な脅威から保護することに重点を置いています。その主な目的は、不正アクセス、データ侵害、その他のセキュリティ インシデントを防ぐことです。
倫理的ハッキングでは通常、システムを保護する際に異なるアプローチやチームが必要になります。その一部は次のとおりです。
-
レッド チーム化: は、組織のシステム、プロセス、防御のセキュリティをテストおよび評価するための構造化された系統的なアプローチです。これには、サイバー攻撃やその他の脅威をシミュレートして、組織のセキュリティ体制、脆弱性、全体的な回復力を評価することが含まれます。レッド チームの主な目的は、組織のセキュリティ能力について公平かつ現実的な評価を提供し、従来のセキュリティ テスト方法では明らかにならない可能性のある弱点を特定することです。
-
ブルー チーム: ブルー チームは、組織のデジタル資産、システム、データをサイバー脅威から保護する責任を負い、同時にセキュリティ インシデントの検出と対応にも取り組みます。攻撃や敵対的な活動をシミュレートするレッド チームとは対照的に、ブルー チームは主に組織のセキュリティ体制の維持と改善に関心を持っています。
-
パープル チーミング: は、組織内のレッド チームとブルー チームの両方の取り組みを組み合わせた、サイバーセキュリティへの協力的かつ統合的なアプローチです。パープル チーミングの目標は、これら 2 つのチーム間のコミュニケーション、知識共有、共同テストを促進することで、組織全体のセキュリティ体制を向上させることです。
下の図に示すように、より専門化された他のタイプのチームもあります。
情報の世界での役割の重要性に関しては、侵入テストやアプリケーション レビューなどの情報セキュリティ分野のサービスの提供を専門とする組織や企業が複数あります。
バグ報奨金ハンティング プログラム (システムで発見した脆弱性を報告した個人に報酬を与える企業が立ち上げたプログラム) の登場により、この分野の組織だけでなくフリーランサーも興味深い増加を見せています。
### 結論
結論として、デジタル情報が重要なリソースであり続ける限り、倫理的なハッカーと非倫理的なハッカーの間の戦争を終わらせることはできないと言わざるを得ません。
誰もが、技術的な知識をまったく必要としない情報セキュリティの実践を認識する必要があります。また、倫理的なハッカーの需要が高く、すぐに学び始めるためのリソースがたくさんあるため、サイバー セキュリティの分野でのキャリアを持つことを考えるのは興味深い選択です。それでは、この記事の最後に、あなたに質問があります。フィッシングなどのサイバー攻撃の影響を受けたことはありますか? あるいは、すでにランサムウェアやウイルスの影響を受けていますか?それについてお知らせください!