Web関連

ひと目に触れないクラッキング対策について

0

k-mori_1507141.jpg

今回はWebサイトのセキュリティについて書きたいと思います。

時事ネタで言うと日本年金機構の情報漏えいが世間を騒がせていますね。少し前だとベネッセの情報漏えいもありました。

Web制作やシステム構築を行っている我々からすると「自社のクライアントでも同様の事が起きているのではないか!?」と、非常に気になるニュースです。

ウィルスの感染やWebサーバーへの侵入、ホームページの改ざんなど備えなければならないセキュリティ対策はたくさんありますが、今回は「クラッキング対策」について書きたいと思います。

クラッキングとは

不性アクセスやハッキング、クラッキングという言葉を聞いたことはありませんでしょうか?一般的には他人のパソコンや外部のサーバーにネットワーク経由で侵入し、情報を抜き取ったり、改ざんしたりする事を指していると思われがちですが、この二つの言葉は厳密に言うとちょっと違うものです。

ハッキング

他人のパソコンや外部のサーバーへの侵入そのものを目的とした行為を指します。
ハッキングという言葉自体は悪意のある行為というわけではない。

クラッキング

他人のパソコンや外部のサーバーへ侵入し情報の取得や改ざん、破壊などの攻撃を目的とした行為を指します。
つまり、悪意のある行為がクラッキングです。

ハッキングの技能は元来深い知識と高度な技術を必要とするものであり、そのような技術者をハッカー(hacker)と呼び尊敬される存在であった。

ハッキングの技能は元来深い知識と高度な技術を必要とするものであり、そのような技術者をハッカー(hacker)と呼び尊敬される存在であった。

しかし、中にはこれら技術を悪用する者もいた。初期には電話のただ掛けなどであったが、コンピュータが普及しだした頃からソフトウェアのコピーガード破り(および不正コピー)やウェブページの改竄をする者などが現れてきた。これらの悪用行為をクライム・ハッキング(Crime Hacking)、またはCrackingという(クラッキング参照のこと)。悪用する者もまた、自らを「ハッカー」と称したため、ハッカーとはこのような者たちである、と言う認識が広まり、現在もハッカーとクラッカーが同一視される事が多い。

ハッキングとクラッキングどちらも、”他人のパソコンや外部のサーバーへ侵入”するという行為自体には違いはありません。

代表的なクラッキング手口

クラッキングには様々な方法や種類があります。

DoS攻撃(Denial of Service attack)

インターネット経由で大量のデータや不正なパケットを送りつけて大きな負荷をかけてパンク・ダウンさせる攻撃や、アプリケーションやサーバーの脆弱性を付いて、例外処理を発生させてサービスを止めてしまう攻撃があります。
また、踏み台と呼ばれるクッラキングされたコンピュータから標的のサーバーに向けて行う攻撃を「DDoS攻撃(Distributed Denial of Service attack)」と言います。単一のコンピュータからのアクセスではなく踏み台となった数千というコンピュータからの攻撃なので防ぐことが難しいのが特徴です。

ソーシャルエンジニアリング(social engineering)

利用者や管理者などの会話を近くで、盗み聞きや盗み見などの方法でセキュリティ情報を入手しアクセスする方法です。例えばECサイトを例に取った場合、利用者になりすましてサポートセンターに問い合わせを行い、パスワードの変更依頼をかけて、新しいパスワードでログイン出来るようにする、と言った方法があります。本人確認が不十分だったり機密情報の取り扱い管理が不十分だとこのような方法で不正アクセスを許してしまう可能性があります。

クロスサイトスクリプティング(XSS:cross site scripting)

悪意を持ったユーザーがWebサイトのフォームなどから、JavaScriptなどのスクリプトを入力した時に、適切にWebサイト側で処理する仕組みが無いと、スクリプトがそのままHTMLに埋め込まれてしまい、ページを閲覧したユーザーのコンピュータで実行されてしまうという手法です。
スクリプトの内容によってはCookieの盗聴が可能なため、ログイン情報を取得できたり不正にショッピングサイトを利用することができたり、SNSなどのサービスを乗っ取ることが可能になります。

まとめ

Web周りの攻撃手口はイタチごっこという面もあり年々巧妙になっています。

知らない間に自社のホームページが乗っ取られて、ある日突然改ざんされていたり、情報流出をしてしまったり・・・
犯罪に巻き込まれるケースや甚大な損害を被る可能性にもなりますので、こういった多種多様なクラッギングの対策を行うことは必須だと考えています。

Webサイトのコンテンツも重要ですが、普段ひと目に触れない部分もしっかりと考え、対策をしていきましょう。

0

RFIDってなに?知らないと損します!前のページ

関係あるのは映像業界だけじゃない!押し寄せる超・高解像度「4K解像度」の波!次のページ

ピックアップ記事

  1. 大手企業も注目するMaaS(Mobility as a Service)とは何か…
  2. 新型コロナウイルスで日本の働き方改革が起こる
  3. AIに求められているものは、実は意外な物だった
  4. 新しい販売形態であるDtoCについて考えてみる

関連記事

  1. Web関連

    イラスト制作における時短への取り組み ~イラストのディレクションをしていて気づいた事~

    働き方改革が謳われるようになってから、様々な業務の効率化が急がれたり、…

  2. Web関連

    企業の存続はHRテックにかかっている?

    皆さん、HRテックという言葉を聞いたことがあるでしょうか。最近、よ…

  3. Web関連

    売れるECサイトをつくるためには天気を見よう!

    ECサイトの売り上げを上げるための方法について触れていきたいと思います…

  4. Web関連

    作りっぱなしにNO!PDCAを回して、効果的なWEBサイトにしよう   第1回:そもそも、PDCAを…

    そのWEBサイト、作りっぱなしになっていませんか?Webサイトを立ち…

  5. Web関連

    たかがキャラクター。されどキャラクター。~町おこし編~

    前回のコラム(たかがキャラクター。されどキャラクター。)では各企業がキ…

  6. Web関連

    今からでも遅くない!BtoB?BtoC?EC?ってなに?

    今回は「ECサイトってよく耳にするけど、正直何のことかよく分からない!…

おすすめ記事

最近の記事

  1. 持つべきなのか?運転免許証+マイナンバーカード
  2. RPAから始める業務効の自動化 働き方改革への選択肢の一つに…
  3. 【3分で解説】これから始まる自動車教習所のオンライン学科教習…
  4. 約1年間のウィズコロナ生活で大きく変わったもの
  5. スマートストアにより、小売業は激変する

アーカイブ

「いいね」を押された記事

  1. Web関連

    テンプレートセットを使ったフルスピードweb制作
  2. AI関連

    ウイルス感染の心配ゼロ!会話いらずでAIが接客対応を実現します
  3. Web関連

    正しい言葉遣い、出来ていますか?
  4. Web関連

    Web制作者必見!!お1人様用コンテンツの需要~旅行編~
  5. AI関連

    AIが作曲する時代が来るらしい
PAGE TOP