• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

クラッキング手口の研究(第2回)

日経NETWORK 2003/03/04 日経NETWORK
出典:日経NETWORK2001年5月号43ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

図2 クラッカには二つのタイプがいる
クラッカは,大きく分けて,「愉快犯クラッカ」と「確信犯クラッカ」の二つのタイプがいる。愉快犯クラッカは,マシンに侵入すること自体を楽しむタイプ。確信犯クラッカは,侵入したサーバーを乗っ取って,そのサーバーを踏み台に,目的サーバーに侵入・攻撃する。
 興味本位にサーバーへ侵入する愉快犯クラッカは,インターネットで簡単に入手できるクラッキング・ツールなどを使って侵入する。インターネットには,クラッキング・ツールがあふれており,あまりスキルがないユーザーでも簡単にクラッキングできてしまうのである。ツールだけを使ってクラッキングを試みるクラッカは,「スクリプト・キディ」とも呼ばれ,愉快犯クラッカの代表である(図2[拡大表示])。

ターゲットを狙い撃ちする確信犯

 もう一つのクラッカのタイプは,確信犯クラッカ。


 B氏は,以前勤めていたS社に恨みを持っていて,いつか仕返しをしてやろうと心に決めていた。

 ターゲットは,自分が元いた会社のサーバーだ。ただし,犯行を完全なものにするためには,自分の正体を隠したい。そこで,まず犯行の隠れ蓑にするために,別のサーバーへ不正侵入することにした。つまり,踏み台にするサーバーを作るのである。

 B氏はインターネット上に公開されたサーバーの物色を開始。しばらくすると,あるサーバーが見つかった。比較的小さな企業であるT社のWebサーバーだった。

 「このWebサイト,ずいぶん作りが甘いな。管理者のスキルが低いか,いい加減な管理しかされていないようだ」。

 試しにそのサーバーにTelnetで接続してみると,IDとパスワードの要求が返ってくる。「Webサーバー上でTelnetサービスも動かしているとは,よほど管理が甘いサーバーだな」。そこで,簡単なIDとパスワードを入力して何回かログインを試したら,管理者権限でログインできた。

 「しめしめ」。

 さっそく,このマシンを踏み台サーバーに仕立てる。まずは自分の“足”を消す作業だ。アクセス・ログの中から自分のログイン部分だけを消去する。ここの管理者はセキュリティ意識が低そうなので,定期的なログ監視はしていないと予想できるが,「念には念を入れておこう。ついでに,次回から自分がログインするために,管理者用のアカウントも作っておこう」。

 数日後,S社のサーバーにあった顧客リストが,何者かに盗まれたというニュースが全国に報道された。それと同時に,T社に1本の電話が入った。電話の主は被害を受けたS社のシステム担当者。「うちの顧客リストを盗んだのは,おたくの社員のようですが…」。

 これが確信犯クラッカによる犯行パターンである。愉快犯クラッカとは違い,狙うターゲットと目的がはっきりしている。また,はじめから犯行意識があるので,自分を隠すためにセキュリティの弱いサーバーを踏み台に使う。

 確信犯クラッカの極端な例は,政府機関などのシステムに侵入・攻撃しようとするサイバー・テロである。クラッカに目的があるため,どんな手を使ってでも侵入しようとする。

 ただ,いずれのタイプのクラッカも,セキュリティの弱いサーバーをねらうことには変わりはない。確信犯クラッカが最終目標にするのは別だが,多くの場合,クラッカはクラッキングの難しいサーバーにわざわざ侵入しようとはしない。世の中には簡単に侵入できるサーバーが数多く存在するのだ。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る