Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

開発者はハッカーに勝てるか? 脆弱性とセキュリティの話

エンジニアが生き残るためのテクノロジーの授業 第5回

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2016/11/23 14:00

 本連載では、ITエンジニアが時代の波に飲み込まれず、ITの世界で生き残っていくための知識を解説していきます。第4回のテーマは情報セキュリティ。前回解説したようなデータ分析をビジネスに活用する意識が高まり、同時に個人情報の価値が上がっています。つまり、データは盗む価値があるともいえます。本稿では、攻撃に対抗するにはどうすればよいか、ハッカーの視点も交えながら考えます。

目次

新刊のお知らせ

 2016年12月17日に、この連載をベースにした新刊『エンジニアが生き残るためのテクノロジーの授業』が発売されました!

 ITとビジネスの関係、コンピュータ、ネットワーク、プログラミング、データベース、セキュリティ、人工知能など、本連載で解説した内容も含め、エンジニアなら誰もが知っておくべきテーマを一冊で学ぶことができます。

セキュリティ対策は主要なリスクマネジメント

何から何を守るのか?

 幅広い知識が求められ、「知らなかった」では済まされないのがセキュリティです。しかし、「完璧なセキュリティ」というものは存在しません。攻撃を受けることを前提として、どのような対策を取れるのか、エンジニアとして常に考えておかなければなりません。

 セキュリティを考えるとき、「何から何を守るのか」という部分が明確になっていないと、無駄な対策を実施してしまうことになります。そこでまずは、攻撃者の視点から何を狙っているのかを改めて考えてみましょう。

補足

 「ハッカー」という言葉は、「優れた技術を持つ人」という意味でも用いられ、悪意を持った攻撃者を「クラッカー」と呼んで区別することがありますが、ここでは一般的な使われ方に従い、システムを攻撃する人を「ハッカー」としています。

過去の攻撃者の目的

 2000年以前に多かったのが、画面にくだらないメッセージを表示するタイプのウイルスです。利用者を驚かすだけの単純なものから、ハードディスクのフォーマットやデータの削除、上書きなどにより利用者を困らせることが目的でした。

 ほかにも、組織のWebサイトを書き換え、政治的なメッセージを掲載するなど、社会的な騒ぎになることを楽しむ愉快犯がいました。これらの動機は技術力の誇示が中心で、主に不特定多数に対して攻撃を行っていました。

ハッカーは「もうかる仕事」に

 21世紀に入ると、個人情報の価値に注目が集まってきます。個人情報を削除するのではなく、組織の外部に持ち出し、名簿の売買によって攻撃者が利益を得るようになりました。個人情報の価値が高まるにつれ、残念ながらハッキングは「もうかる仕事」になりつつあります。

 こうなると、攻撃対象に気づかれないように、ひそかに攻撃が行われます。ウイルスへの感染に利用者が気づかず、情報漏えいの発見の遅れにもつながっています。

 また、外部からの攻撃以外にも、内部からの情報流出についても意識しなければなりません。システムを壊すのではなくデータを盗むことが目的になっている以上、システムだけでなくデータを守ることに力を注がなければなりません。

攻撃手法のトレンド

ウイルス感染の報告数は減少

 攻撃者は気づかれずに攻撃を続けるために、いろいろな工夫をしています。例えば、脆弱性の利用や標的型攻撃などがあります。ソフトウェアなどにセキュリティ上の不具合があることを「脆弱性」と呼びます。

 一般的な不具合は「バグ」と呼ばれ、想定と異なる動作をするために利用者が気づきますが、脆弱性の場合は一般の利用者がその存在を発見することは稀です。

 これまでのようにウイルスを送りつける方法では、利用者がそのウイルスを開かないと意味がありませんでした。しかしソフトウェアに存在する脆弱性を利用すれば、開かなくても利用者のPCをウイルスに感染させられます。

 ただし、多くの組織や個人がウイルス対策ソフトを導入し、一般的なウイルスについては検出できるようになったことや、そもそもウイルスに感染していることに気づかないことから、報告される感染件数は減少しています(図1)。

 

図1 「ウイルス届出件数の年別推移(2005年-2014年)」(独立行政法人情報処理推進機構(以下IPA)の資料をもとに作成)

図1 「ウイルス届出件数の年別推移(2005年-2014年)」
独立行政法人情報処理推進機構(以下IPA)の資料をもとに作成)

被害が急増中の「標的型攻撃」

 一方で増えているのが「標的型攻撃」です(図2)。これは特定の組織を狙った攻撃で、その組織が保有する顧客情報などを狙っています。メールの受信者が不信感を抱かないような文面を使い、送信者名も実在する組織や個人名を詐称するなど、巧妙ななりすましメールを送信し、添付したウイルスを開かせる手口です。

 実際に、人事部の担当者宛に履歴書を送ってきたように見せかけて、マクロウイルスが添付されていた例などがあります。これまでスパムメールなどは一目でそれと分かりましたが、こうなると判別が難しくなります。

図2 攻撃の目的と手法の変化
図2 攻撃の目的と手法の変化

  • LINEで送る
  • このエントリーをはてなブックマークに追加

著者プロフィール

  • 増井 敏克(マスイ トシカツ)

    増井技術士事務所 代表。技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験に多数合格。 ITエンジニアのための実務スキル評価サービス「CodeIQ」にて、情報セキュリティやアルゴリズムに関する問題を多数出題している。 また、ビジネス数学検定1級に...

バックナンバー

連載:エンジニアが生き残るためのテクノロジーの授業

おすすめ記事

All contents copyright © 2006-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5