こんにちは、ライターの中山と申します。突然ですが「ハッキング」って、IT系ニュースとかで耳にはするけど、具体的な手口や方法についてはよく分からなくないですか?
「なんとかインジェクション」とか「なんちゃらスクリプティング」とか「なになに攻撃」とか、英語でも日本語でも難しい言葉ばかり使われるし、文系人間には字面から中身が想像できない! 少なくとも、「DoS攻撃がドスドス攻撃することではない」のはなんとなく分かるのですが。
ということで、筆者の職場であるfreeeの同僚エンジニア2人に、ハッキングの手口を野球に置き換えて説明してもらうことにしました。
そもそもハッキングとは
ハッキングとはそもそもなんぞや……ですが、これは本来はコンピュータを使って悪さをする行為だけを指すわけではありません。もともとはコンピュータスキルに長けた人が行う高度なエンジニアリングのことを広く指す言葉です。最近では「○○をハックする」といった使い方も目にしますね。
これに対して、他人のサーバなどに侵入して悪さをする不正行為などのことをクラッキングと呼びます。ハッキングとクラッキングは、厳密には区別されるべきものですが、世間一般ではハッキング=コンピュータの専門的知識を用いた不正行為、ハッカー=悪い人、と認識されているのもまた事実。本記事の中では、不正行為を主目的とした狭い意味での「ハッキング」を取り上げます。
では本題に入りましょう。
登場人物
- エンジニア1: 野球に詳しい
- エンジニア2: セキュリティに詳しい
- 中山(筆者): 野球にもセキュリティにも詳しくない
フィッシング
フィッシング
ユーザーからユーザー名、パスワード、クレジットカード情報等の情報を奪うために行われる詐欺行為。信頼されている主体になりすましたメールによって、偽のWebサーバに誘導して行われることが多い。
エ1: 「なりすましだね。ネット版オレオレ詐欺的なものかな」
中: 「釣りのフィッシング? ルアー的な(意味をかけてる)?」
エ2: 「名前の由来については諸説あるようだけど、関係はありそうだね」
エ1: 「盗みたいのはIDとパスワード。例えば、銀行の偽サイトを作って、そこを踏ませて入力させると……」
エ2: 「被害者に自覚がないと訴えられない」
中: 「なにそれ怖い……じゃあ、野球にたとえてみて」
エ2: 「球場に偽の出入り口を作って敵チームを閉じ込めている間に、変装した偽チームに試合させる……かな。あるいは、ルパン三世みたいに、顔に特殊加工メークして変装して敵の先発ピッチャーになりすまし、ロッカールームに『ういーっす』って感じで自然に紛れ込む」
中: 「なるほど。で、自チームのためにフォアボール連発して押し出しさせまくるわけだ」
エ1: 「すぐ交代させられるだろ」
ショルダーハッキング
ショルダーハッキング
ログイン時のキーボード上の手の動きを背後から盗み見て、パスワード等のアカウント情報を盗む行為。原始的な手法だがいまだになくならない。
エ2: 「これはイメージしやすいんじゃない? 野球にもすんなり当てはめられそう」
中: 「外野席から双眼鏡キャッチャーのサインを盗み見る?」
エ1: 「もっとシンプルでよくて、2塁のランナーがキャッチャーサインを盗み見てベンチに伝えればOK」
中: 「そうか、投手の握りを肩越しに盗み見るのもショルダーハッキングだ」
エ2: 「そうだね」
エ1: 「これはまともにたとえられたな」
DoS攻撃
DoS攻撃
正式名称はDenial of Service attack。情報セキュリティにおける可用性を侵害する攻撃手法。Webサービスを稼働させるサーバやネットワーク等のリソースに意図的に過剰な負荷をかけたり脆弱性を突くことでサービスを妨害する攻撃のこと。
中: 「ドスドス攻撃するわけじゃないよね」
エ2: 「いや、あながち間違ってなくて、わりとドスドスしてるかも」
中: 「まじか。ドスドスする行為そのものが目的ではなく、あくまで目くらましの一種だと」
エ1: 「“チャックあいてるぞ”ってキャッチャーのささやき攻撃かな。『うそ、まじで』って股間を見た瞬間にストライクを投げ込む」
中: 「見事にバッターの注意をそらした」
エ2: 「これで三振取り放題だよ」
エ1: 「下劣極まりない行為だけどな」
DDoS攻撃
DDoS攻撃
正式名称は、Distributed Denial of Service attack。サーバの負荷を増加させ、サーバのサービスを低下させることを目的としたDoS 攻撃を悪質化させ、攻撃元を分散させたもの。
エ1: 「DoS攻撃の発展版で、これも本命は別にある」
中: 「ストライクを取るのに、バッターの気を散らす作戦の進化版か」
エ2: 「DoS攻撃が1対1だとすると、DDoS攻撃は1対多なの。標的に対して、一斉に負荷をかけて攻撃するイメージ」
中: 「ガンダムでいうところのジオングのオールレンジ攻撃かな?」
エ1: 「……違うな」
中: 「じゃあ、ララァ・スンがエルメスに搭載された移動砲台を意のままに遠隔誘導して攻撃するサイコミュ的な?」
エ1: 「言いたいことは分かるけど、それも違う。あと、野球から離れすぎ」
エ2: 「やじが近いかな。観客が“バッター! チャック開いてるぞー”ってバッターの集中力を奪ってビビらせて、打てないようにし向ける」
エ1: 「そうだね。バッターに三振させるのが本命の攻撃なわけだ」
ロギング
ロギング
管理が甘いコンピュータやネットワーク機器を狙って通信履歴等を一定の時間記録すること。
エ1: 「キーロガー、スパイウェア的なモノをイメージするといい。身近なところでは、キーボード入力を記録して、操作履歴を盗み、外部に送るってパターン」
中: 「え、物理的な入力を裏側で読みとられてるってこと?」
エ2: 「盗む以外にも、ロギングでパスワードを盗み、悪意あるソフトをダウンロードさせるってことも」
エ1: 「共有PCに仕込ませることもあるよ。例えばネットカフェにあるPCが狙われることも。今はユーザーが変わるごとに履歴をクリアにするから、問題は起きにくくはなっているけどね」
中: 「じゃあ、野球にたとえると?」
エ2: 「ベンチの敵チーム監督を延々とビデオ撮影して、監督の動きとプレイの結果を照らしあわせてサインを盗み取る行為かな」
エ1: 「それ、ふつうに昔から行われているのでは?」
Copyright © ITmedia, Inc. All Rights Reserved.