誰でもハッキングが出来る時代から考察する「ハッキング対策」

こんにちは、株式会社シフト　データアナリスト担当『Ｈ』です！

本日のテーマは「ハッキング対策」です。

◆テーマ：『ハッキング対策』

1.「ハッカー」とは？

2.「ハッキング」の種類

3.「ハッキング対策」に必要なものはなにか？

4.まとめ

1.「ハッカー」とは？

「ハッキング」という言葉はよく聞きますが、どのような手法で「データ」を不正に取得できるのか？

まずは、「ハッカー」の意味から紹介していきましょう。

【ハッカ－】
「プログラミング技術が飛び抜けている人」「プログラムのエキスパート」「機密情報を悪意をもって探り出す」等を指す。
同じ様な性質を持つ人間を「クラッカー」「アタッカー」「ヴァッンダル」「フリーカー」「スクリプトキディ」「ワナビ」「ニュービー」
「ブラックハット」などと呼ばれるものある。

「ハッキング」という言葉には、「システムの解析」「プログラミングを改修」することも指しているので
必ずしも悪い人だけではありません。

逆に「クラッカー」は「プログラミング」を攻撃したりする悪意を持った人を指します。

卓越した「プログラミング技術」を持っていることがわかります。

では、「ハッカー」はどのような手法で「ハッキング」しているのでしょうか。

次に「ハッキングの種類」についてご紹介致します。

2.「ハッキング」の種類

【クロスサイトスクリプティング】

ユーザーがサイトにアクセスした際に「動的ページ」の「脆弱性」を利用する手法です。
ユーザーはお問い合わせした後に、強制的に外部のページに飛ばして「ウィルス」等をダウンロードさせたりします。

Cookieの情報も盗むことが可能で、今まで閲覧していたページも盗み取ることも可能です。

【クロスサイトリクエストフォージェリ】

URLとクリックしたくなるようなテキストを貼り付けて、ユーザーにクリックさせる。
クリック後は、掲示板等で不適切なテキストを自動で書き込みさせるようになります。

テキストだけではなく、「個人情報」等のデータも配信させるものもあります。

【クリックジャッキング】

サイトのページの後ろ部分に悪意あるサイトのページを重ねる手法です。
通常ページで閲覧後に悪意ページを押したようになり、悪意ページをリンクしたことになります。
これにより、認識のないうちに「個人情報」を「漏えい」させてしまっております。

【SQLインジェクション】

データベースを構築する際に必要な言語の一つでもある「SQL」を悪用して不正にデータを書き換えたりする手法です。

【強制ブラウズ】

URLに英単語を入力して、サーバーにある各種フォルダを盗み見る手法です。
サーバーに上がっているデータで「User」というフォルダがあり、アクセスを許可している状態ですと
世界中からアクセス可能になります。それをハッキングする手法です。

上記は、サイト自体を攻撃をして「個人情報」を盗み取る手法です。

「ハッキング」は、サイトではなくサイトを管理している管理者などになりすまして
「不正ログイン」する手法もあります。

なりすましの種類

【ブルートフォースアタック】

サイトの管理画面でID・PASSをランダムで入力を繰り返す手法です。
機械的に行い、万が一に一致してしまった際に「個人情報漏えい」につながります。
同じようなもので「辞書攻撃」「リスト型攻撃」と呼ばれる手法もあります。

「ハッキング」「なりすまし」からサイトを守るためには何が必要なのでしょうか。
続いては「ハッキング対策」についてご紹介致します。

3.「ハッキング対策」に必要なものはなにか？

１）ID・PASSは分かりにくものにし、使い回さない

これは簡単なようで中々頭の痛い問題です。
何度もログインするものですので、短くわかりやすいものを使用してしまいがちです。

パスワードに設定するのに向いているのは、
意味があるものではなくランダムのものにして
なおかつ英文字は大文字を小文字を混ぜておき、
プラスで記号並びに数字の羅列を混ぜておくと良いかと思います。

サイトは管理画面だけではなく、データを上げる際に使用する「FTP」や「DB」の
ID・PASSも併せて変更しておくとより良いかと思います。

２）グローバルIPのみの制限に変更する

「なりすまし」等には、ログインさせてはいけない環境を作ることが必要です。

そのためには、「グローバルIP」を設定し管理者のみでしかアクセスできない様にするのが
無難だと思います。

こちらもID・PASSと同じ様に「FTP」や「DB」なども併せて変更する事が重要です。

その他には、「二段階認証」や「ワンタイムパスワード」等を使用して
「セキュリティ」を高めていくのも重要です。

３）パーミションをかけてファイルやフォルダの制限を厳しくする

フォルダやファイルを閲覧できないようにパーミションをかけて、
それぞれのファイルやフォルダにアクセス権限をかけて閲覧不可にすることで
「ユーザー側」「管理側」共に「情報漏えい」する機会を減らすことが重要です。

４）ブラウザからファイルを閲覧させないようにする

URLにファイル名を入力して、強制ブラウズのように「情報」を閲覧させないために、
ファイル一覧を表示されない設定にされないかを確認しておくことが重要です。

５）サイト並び管理画面も暗号方式にする

暗号方式として「SSL通信」というものがあります。
サーバーとの通信状況を「暗号化」することで第三者から閲覧することができなくなります。

６）セキュリティソフトを使う

これは当たり前のことですが、忘れてしまいがちのことがであります。

「ウィルス定義ファイル」の更新です。
これが最新版になっていないと、被害にあうケースもあるのできちんと更新しておきましょう。

またスキャンもパソコン全体かけておくこともオススメです。

７）パソコンは最新版になっているかを確認

パソコン自体のアップデートされていないと、「ハッキング」される可能性が増えてしまいます。

またパソコンだけではなく「サーバー」「DB」「管理画面」等のアップデートがある際は、
後回しにするのではなく、機会がある際にアップデートしておく事がオススメです。

８）サーバーはセキュリティ対策がきちんとしたものを選ぶ

価格によっても様々ですが、「セキュリティ対策」がしっかりとしたものを
選択した方が無難と言えます。

安かろうで選ぶだけではなく、しっかりと比較をしてから選択するのが重要です。

９）バックアップ

どれだけ、きちんと対応しても１００％ではありません。
どんな事があっても、対応できる様にするために「バックアップ」は必要不可欠です。

きちんと対処を行うことで、「ハッキング対策」は整えることができます。
ぜひきちんと対策を打って「ハッキング対策」されないサイト運営を行いたいものです。

まとめ

1.「ハッカー」が全て悪い仕業を行っている訳ではない

2.「ハッキング対策」は「サイト攻撃」と「なりすまし」して情報を盗み出す手法がある

3.手法は多いもののきちんと対策を打てば、「ハッキング対策」されにくいサイトを作ることができる

最近話題の「ハッキング対策」ですが、「最新情報」をきちんと把握して対策することで「ハッキング対策」は
軽減することができるという事が分かりました。

被害にあわない為に、「対策」の見直し「バックアップ」は継続的に行っていく事が重要な事が分かりました。

気づいた時では、遅いので前もって対策を行うように意識付けをしないといけないですね。

「Web業界」にいる以上、一つの事に因われずに幅広い情報を収集することが必要だと思いました。

まだまだ、「Web業界」でも知らない事が多いなと実感する内容となりました。

是非、次回の記事も楽しみにしていてくださいね！！