ポイント●ハッカーは高度なスキルを善意に利用する技術者,クラッカは高度なスキルを悪意に利用する技術者●侵入者は外部からとは限らない。内部にも配慮が必要 ●侵入者のタイプが異なれば攻撃の仕方も異なる。防御は多面的に考える必要がある |
 |
情報システムに侵入してくる人や攻撃してくる人は,人それぞれでスキルが違い,目的も異なります。明確に区別することはできませんが,ある程度の区切りで愛称(?)が付いていますので,最初にこちらを紹介しておきましょう。
ハッカーとクラッカの違い
まず,有名な用語として「ハッカー(Hacker)」と「クラッカ(Cracker)」があります。RFC※1や国際標準などでも取り上げられていて,広く通用する用語ですが,これらの用語の違いを明確に意識していない人も多いかと思います。
RFC1983では以下のように定義されています。
|
hacker A person who delights in having an intimate understanding of the internal workings of a system, computers and computer networks in particular. The term is often misused in a pejorative context, where "cracker" would be the correct term. See also: cracker. cracker A cracker is an individual who attempts to access computer systems without authorization. These individuals are often malicious, as opposed to hackers, and have many means at their disposal for breaking into a system. See also: hacker, Computer Emergency Response Team, Trojan Horse, virus, worm. |
ハッカーは,システム,コンピュータ,あるいはコンピュータ・ネットワークの内部の働きを理解して楽しむ人,少し言い換えると,「コンピュータやネットワークに関してスキルが高い人たち」というように書かれています。そして,その後ろに「悪い意味として誤用されることもあるが,それはクラッカのことである(~が正しい語である)」と続いています。
これに対してクラッカは,「認可なしでコンピュータ・システムにアクセスしようとする個人である」と書かれています。
さらに,国際標準であるISO/IEC 2382-1:1993や,これに対応している日本工業規格JIS X0001:1994では,以下のように定義されています。
|
(1)ハッカー:高度の技術をもった計算機のマニア (2)ハッカー:高度の技術をもった計算機のマニアであって,知識と手段を駆使して,保護された資源に権限を持たずにアクセスする人 |
クラッカという言葉はここにはありませんが,(1)がいわゆるハッカー,(2)がクラッカのイメージになります。ほかに,ハッカー(スキルの高い人)のうち,その技術を善意に利用する人をホワイト・ハッカーと呼ぶこともあります。
以上のような定義を総合すると,どちらも技術的スキルは高い個人を指し,ハッカーは悪意がないのに対して,クラッカには悪意があるといったところになるでしょう。ただ世間一般では,クラッカという用語があまり浸透していないため,悪意を持ったスキルの高い個人に対してもハッカーという用語を当てはめているケースが多々あります。
スキルが低い侵入者もいる
侵入者は必ずスキルが高いとは限りません。スキルはそれほど高くなく,インターネット上にある悪意のあるツール(スクリプト)を利用して,いたずらや興味本位で不正アクセスなどを試みるタイプの人もいます。これらの個人はスクリプト・キディなどと呼ばれます。
また,産業スパイのように金銭目的の侵入者(不正侵入のプロフェッショナル)や,サイバーテロリストのように軍事的あるいは政治的な目的でネットワーク・インフラへの攻撃を目論むような人も考えられます。
ここまでをまとめると,図1のようになります。
図1 さまざまな侵入者・攻撃者の分類
|
ところで,既出のカテゴリ以外でセキュリティ管理者が気を配らなければならない攻撃・侵入者がいます。いったいどんな人たちでしょうか。
