Web関連

ひと目に触れないクラッキング対策について

0

k-mori_1507141.jpg

今回はWebサイトのセキュリティについて書きたいと思います。

時事ネタで言うと日本年金機構の情報漏えいが世間を騒がせていますね。少し前だとベネッセの情報漏えいもありました。

Web制作やシステム構築を行っている我々からすると「自社のクライアントでも同様の事が起きているのではないか!?」と、非常に気になるニュースです。

ウィルスの感染やWebサーバーへの侵入、ホームページの改ざんなど備えなければならないセキュリティ対策はたくさんありますが、今回は「クラッキング対策」について書きたいと思います。

クラッキングとは

不性アクセスやハッキング、クラッキングという言葉を聞いたことはありませんでしょうか?一般的には他人のパソコンや外部のサーバーにネットワーク経由で侵入し、情報を抜き取ったり、改ざんしたりする事を指していると思われがちですが、この二つの言葉は厳密に言うとちょっと違うものです。

ハッキング

他人のパソコンや外部のサーバーへの侵入そのものを目的とした行為を指します。
ハッキングという言葉自体は悪意のある行為というわけではない。

クラッキング

他人のパソコンや外部のサーバーへ侵入し情報の取得や改ざん、破壊などの攻撃を目的とした行為を指します。
つまり、悪意のある行為がクラッキングです。

ハッキングの技能は元来深い知識と高度な技術を必要とするものであり、そのような技術者をハッカー(hacker)と呼び尊敬される存在であった。

ハッキングの技能は元来深い知識と高度な技術を必要とするものであり、そのような技術者をハッカー(hacker)と呼び尊敬される存在であった。

しかし、中にはこれら技術を悪用する者もいた。初期には電話のただ掛けなどであったが、コンピュータが普及しだした頃からソフトウェアのコピーガード破り(および不正コピー)やウェブページの改竄をする者などが現れてきた。これらの悪用行為をクライム・ハッキング(Crime Hacking)、またはCrackingという(クラッキング参照のこと)。悪用する者もまた、自らを「ハッカー」と称したため、ハッカーとはこのような者たちである、と言う認識が広まり、現在もハッカーとクラッカーが同一視される事が多い。

ハッキングとクラッキングどちらも、”他人のパソコンや外部のサーバーへ侵入”するという行為自体には違いはありません。

代表的なクラッキング手口

クラッキングには様々な方法や種類があります。

DoS攻撃(Denial of Service attack)

インターネット経由で大量のデータや不正なパケットを送りつけて大きな負荷をかけてパンク・ダウンさせる攻撃や、アプリケーションやサーバーの脆弱性を付いて、例外処理を発生させてサービスを止めてしまう攻撃があります。
また、踏み台と呼ばれるクッラキングされたコンピュータから標的のサーバーに向けて行う攻撃を「DDoS攻撃(Distributed Denial of Service attack)」と言います。単一のコンピュータからのアクセスではなく踏み台となった数千というコンピュータからの攻撃なので防ぐことが難しいのが特徴です。

ソーシャルエンジニアリング(social engineering)

利用者や管理者などの会話を近くで、盗み聞きや盗み見などの方法でセキュリティ情報を入手しアクセスする方法です。例えばECサイトを例に取った場合、利用者になりすましてサポートセンターに問い合わせを行い、パスワードの変更依頼をかけて、新しいパスワードでログイン出来るようにする、と言った方法があります。本人確認が不十分だったり機密情報の取り扱い管理が不十分だとこのような方法で不正アクセスを許してしまう可能性があります。

クロスサイトスクリプティング(XSS:cross site scripting)

悪意を持ったユーザーがWebサイトのフォームなどから、JavaScriptなどのスクリプトを入力した時に、適切にWebサイト側で処理する仕組みが無いと、スクリプトがそのままHTMLに埋め込まれてしまい、ページを閲覧したユーザーのコンピュータで実行されてしまうという手法です。
スクリプトの内容によってはCookieの盗聴が可能なため、ログイン情報を取得できたり不正にショッピングサイトを利用することができたり、SNSなどのサービスを乗っ取ることが可能になります。

まとめ

Web周りの攻撃手口はイタチごっこという面もあり年々巧妙になっています。

知らない間に自社のホームページが乗っ取られて、ある日突然改ざんされていたり、情報流出をしてしまったり・・・
犯罪に巻き込まれるケースや甚大な損害を被る可能性にもなりますので、こういった多種多様なクラッギングの対策を行うことは必須だと考えています。

Webサイトのコンテンツも重要ですが、普段ひと目に触れない部分もしっかりと考え、対策をしていきましょう。

0

RFIDってなに?知らないと損します!前のページ

関係あるのは映像業界だけじゃない!押し寄せる超・高解像度「4K解像度」の波!次のページ

ピックアップ記事

  1. 新しい販売形態であるDtoCについて考えてみる
  2. AIに求められているものは、実は意外な物だった
  3. 大手企業も注目するMaaS(Mobility as a Service)とは何か…
  4. 新型コロナウイルスで日本の働き方改革が起こる

関連記事

  1. Web関連

    ちょっと前にはやったWEBコンシェルジュの今

    コンシェルジュと言えば、思い出すのは高級ホテル。顧客の様々な要望に親身…

  2. Web関連

    一石三鳥!?マルチデバイスに対応したブラウザ「Blisk」

    今、ホームページはマルチデバイスに対応しているのが当たり前になってきて…

  3. Web関連

    多言語翻訳Web制作は今や常識。あの人気スポットも!?

    今回は、訪日外国人観光客に人気のスポットとそのWebサイトをご紹介しま…

  4. Web関連

    関係あるのは映像業界だけじゃない!押し寄せる超・高解像度「4K解像度」の波!

    みなさんは「4K解像度」という言葉はもうご存知ですか?テレビなどの画面…

  5. Web関連

    CMS構築としての静的サイトジェネレータの活用について

    Webサイト制作や運用を行っているとセキュリティやサーバー負荷を考えな…

  6. Web関連

    「紙の本、読んでますか?」デジタルファーストとブックラスト

    毎朝の通勤時間、いつも耳に流れているロックンロール…

自治体向けDX推進サービス

AIさくらさん for 自治体DX

おすすめ記事

最近の記事

  1. 人間拡張×AIで非接触なデジタル化を推進する
  2. ヘルスケアはAI先生にみてもらう時代
  3. withコロナは非接触技術で生活しよう!
  4. デジタル接客+AIで非接触を推進する
  5. 遠隔診療や遠隔医療普及のポイントはAIと5G

アーカイブ

  1. Web関連

    みんな大好き!スターウォーズの見どころを語ってみた
  2. Web関連

    【人工知能・AI×インバウンド】災害時必ず必要になる情報収集手段
  3. Web関連

    面白いスマホサイトとは?動きが面白いスマホサイトまとめ
  4. AIさくらさん

    デジタル接客+AIで非接触を推進する
  5. Web関連

    サイト制作の見積もりに必要な事、知ってますか?
PAGE TOP