文/上野宣、近藤大介 イラスト/元気社
◆ソーシャルハッキング
最後に「ソーシャルハッキング」について、触れておきたい。ソーシャルハッキングとは、これまで説明してきたような、コンピュータを使ったハッキングとは異なる。ソーシャルとは「社会」といった意味であり、コンピュータの技術とは関係のない部分でハッキング行為をすることである。具体的に言えば、言葉の駆け引きによって相手を騙したり、実世界で行動を起こすことなどがソーシャルハッキングに相当する。
ソーシャルハッキングとはハードウエアやソフトウエアの弱点を突くのではなく、ソーシャルエンジニアリング(社会工学)によって必要な情報を得ることである。様々な方法があり、代表的な手法というものは存在しないが、ここではいくつかのソーシャルハッキングの例を挙げておく。
実際の侵入の手口の中には、こうしたソーシャルハッキングによる場合が多い、ということもしっかり押さえておこう。
●電話によるパスワード聞き出し
サーバー管理者などに電話をかけて、利用者もしくは組織の一員であることを伝えて「パスワードを忘れたのですが、教えてもらえないでしょうか?」と聞く。これは使い古された手法なので、いまだに教える管理者がいるとは思えないが、逆に管理者を装って利用者にパスワードを聞き出す手もあるので注意が必要だ。
●仲良くなる
「仲良くなる、が不正侵入に関係するの?!」と、一見疑うだろう。無理もない。しかし、侵入のターゲットとするサーバーの管理者や、そのサーバーの利用者と仲良くなることで、パスワードに用いそうな情報を聞き出すという手口だ。例えば、生年月日や好きなタレント・映画・キャラクターの名前などである。仲良くなることで得た情報を元に、パスワードを推測して侵入に用いる。
●組織の一員となる
この方法も実はスゴイ。極端な例であるが、産業スパイなど、目的が大きなものであるならばありえる話だ。組織の一員になれば、目的とするサーバーに侵入するための障害は部外者に比べてかなり少ないものになるだろう。システムエンジニアやプログラマーの能力が高ければ、それを売りモノにして契約社員などで狙った組織に知らん顔して入り込む。真面目なフリをしながら、裏ではハッキングしまくるのである。
●ショルダーハッキング
ショルダーハッキングとは、「肩越しにハッキングする」という意味。管理者や利用者がパスワードを入力しているのを肩越しに見て、キーボードの打鍵などを記憶することである。単純な方法だが、比較的ゆっくりと打鍵するユーザーならば、ある程度読み取ることができる。
●端末の直接利用
他人がログインしたまま席を立った場合などに、その端末を利用して悪さをするのがこれ。「まさかそんなことはないだろう!」というのが、侵入者の目のつけどころで、比較的短時間でもバックドアやキーボードキャプチャーなどのツールを仕掛けたりできるので、気をつけなければならない。実生活で言えば、ほんの数分のゴミ出しの間に、玄関に鍵をかけないでおいたら侵入されて盗られたといったケースである。
●住所変更届け
パスワード忘れや、個人情報変更の際に郵便を使って通知してくるような仕組みの場合に有効な手段である。情報を取得したいユーザーの住所を知っていることが前提であるが、郵便局に住所変更届を勝手に出してしまうというものだ。これによって以後の郵便は、変更された住所に届く。この住所などを私設私書箱などにしておけば、その人の様々な情報を手に入れることができる。
以上、不正侵入の主な手口として、「ポートスキャン」から「ソーシャルハッキング」まで8つを取り上げて紹介してきた。次回は、こうしたハッキングやクラッキングを防ぐための具体的な取り組み方などについて、解説していく予定である。
これがハッキング&クラッキングの手口だ!
「侵入の手口/8.ソーシャルハッキング」 Page:1/1
◆ソーシャルハッキング
最後に「ソーシャルハッキング」について、触れておきたい。ソーシャルハッキングとは、これまで説明してきたような、コンピュータを使ったハッキングとは異なる。ソーシャルとは「社会」といった意味であり、コンピュータの技術とは関係のない部分でハッキング行為をすることである。具体的に言えば、言葉の駆け引きによって相手を騙したり、実世界で行動を起こすことなどがソーシャルハッキングに相当する。
ソーシャルハッキングとはハードウエアやソフトウエアの弱点を突くのではなく、ソーシャルエンジニアリング(社会工学)によって必要な情報を得ることである。様々な方法があり、代表的な手法というものは存在しないが、ここではいくつかのソーシャルハッキングの例を挙げておく。
実際の侵入の手口の中には、こうしたソーシャルハッキングによる場合が多い、ということもしっかり押さえておこう。
●電話によるパスワード聞き出し
サーバー管理者などに電話をかけて、利用者もしくは組織の一員であることを伝えて「パスワードを忘れたのですが、教えてもらえないでしょうか?」と聞く。これは使い古された手法なので、いまだに教える管理者がいるとは思えないが、逆に管理者を装って利用者にパスワードを聞き出す手もあるので注意が必要だ。
●仲良くなる
「仲良くなる、が不正侵入に関係するの?!」と、一見疑うだろう。無理もない。しかし、侵入のターゲットとするサーバーの管理者や、そのサーバーの利用者と仲良くなることで、パスワードに用いそうな情報を聞き出すという手口だ。例えば、生年月日や好きなタレント・映画・キャラクターの名前などである。仲良くなることで得た情報を元に、パスワードを推測して侵入に用いる。
●組織の一員となる
この方法も実はスゴイ。極端な例であるが、産業スパイなど、目的が大きなものであるならばありえる話だ。組織の一員になれば、目的とするサーバーに侵入するための障害は部外者に比べてかなり少ないものになるだろう。システムエンジニアやプログラマーの能力が高ければ、それを売りモノにして契約社員などで狙った組織に知らん顔して入り込む。真面目なフリをしながら、裏ではハッキングしまくるのである。
●ショルダーハッキング
ショルダーハッキングとは、「肩越しにハッキングする」という意味。管理者や利用者がパスワードを入力しているのを肩越しに見て、キーボードの打鍵などを記憶することである。単純な方法だが、比較的ゆっくりと打鍵するユーザーならば、ある程度読み取ることができる。
●端末の直接利用
他人がログインしたまま席を立った場合などに、その端末を利用して悪さをするのがこれ。「まさかそんなことはないだろう!」というのが、侵入者の目のつけどころで、比較的短時間でもバックドアやキーボードキャプチャーなどのツールを仕掛けたりできるので、気をつけなければならない。実生活で言えば、ほんの数分のゴミ出しの間に、玄関に鍵をかけないでおいたら侵入されて盗られたといったケースである。
●住所変更届け
パスワード忘れや、個人情報変更の際に郵便を使って通知してくるような仕組みの場合に有効な手段である。情報を取得したいユーザーの住所を知っていることが前提であるが、郵便局に住所変更届を勝手に出してしまうというものだ。これによって以後の郵便は、変更された住所に届く。この住所などを私設私書箱などにしておけば、その人の様々な情報を手に入れることができる。
以上、不正侵入の主な手口として、「ポートスキャン」から「ソーシャルハッキング」まで8つを取り上げて紹介してきた。次回は、こうしたハッキングやクラッキングを防ぐための具体的な取り組み方などについて、解説していく予定である。
これがハッキング&クラッキングの手口だ!
「侵入の手口/8.ソーシャルハッキング」 Page:1/1
Comments