ハッカーの目的と心理を解説！ハッカー視点からのセキュリティ対策を

情報を売買することで利益を得る

動機として最も多く、わかりやすいのが金銭目的でのハッキングです。

昨今、個人情報は昔では考えられないほど価値のある情報となっています。
個人情報やクレジットカード情報を盗み、専門の業者に販売することで利益を得ます。

ターゲットとなるのは、個人情報を多く抱えている企業のWebサイトやECサイト。
自動でサイトをクローリングしてセキュリティ対策の甘いサイトをピックアップして攻撃することが多いです。

実際一件いくらで買い取られるかは知るすべがありませんが、企業への慰謝料では情報の精度にもよりますが、1件あたり5千円〜数万円程度の慰謝料の支払いが命じられています。この額であれば数百件程度、盗むことができれば、しばらく遊んで暮らせそうです。

クレジットカード情報を盗んで不正利用する

もっと直接的なのが、自分で不正利用するためにクレジットカード情報を目的としたハッキング。

ECサイトを始めとして、Web上での決済処理は日本でもかなり普及してきました。
クレジットカード情報さえ手に入れてしまえば、ほとんど手に入らないものはないでしょう。

ターゲットや攻撃の手順は上記と同じ。
被害者の不正利用の報告があって初めてWebサイト管理者が気づくというパターンも多いようです。

特定サイトへの嫌がらせ

特定のサイトに対して恨みを持っている場合など、特定のサイトにハッキングを仕掛けて嫌がらせ行為を行います。

この場合、ハッキングの目的はそのサイトを機能不全状態に陥らせること。
サイト情報の改ざん、リクエストを大量に送るDos攻撃・DDos攻撃、スパムサイトへの訪問者の誘導などなど。
とにかく、そのサイトや運営企業のマイナスになるような攻撃が行われます。
サイトの死活監視や不正改ざんの防止、Dos攻撃への耐性等の対策が重要です。

企業や政府機関等の情報の奪取

敵対する企業や国家や団体の依頼を受け、またはその一員として、特定の企業や国家の政府機関に対して、ハッキングが仕掛けられます。
莫大な利益を産む企業秘密や特定の政治家の政治生命にも関わるような重大な情報を狙います。

厳重なセキュリティを破るには個々人だけでは難しく、また、Web上だけでなくリアルな情報から情報を得るソーシャルエンジニアリングという方法も用いられます。ゴミ箱からID/パスワードのメモや個人情報を狙うスキャベジング、担当者に取引先やプライベートの連絡の振りをして電話をかける等、どこから情報が漏れるかわかりません。
Web上だけでなく、関係する担当者、系列会社へのコンプライアンスを徹底する、取引先とのNDAを締結しておく等の対策が必要です。

知的好奇心を満たすため

何故山に登るのかと聞かれて、「そこに山があるから」と答えたのはイギリスの登山家ジョージ・マロリー。
彼のように何故ハッキングするのかと聞かれて、「そこに壁（ファイアウォール）があるから」と答えるのが、この知的好奇心を満たしたいというタイプのハッカーです。

彼らの前では、どんな強固なファイアウォールやセキュリティ対策も意味がありません。
何故なら彼らは壁が高ければ高いほど燃えるタイプだからです。
厄介な点はこのタイプのハッカーは実際に高い技術力を持っていることが多いということ。
不幸中の幸いと言えるのが、彼らは金銭欲求等の現世利益には興味が薄い場合が多いことです。

とにかく、強固なセキュリティに挑戦したいだけで、情報を盗んで売るとか、企業秘密を売るとかいう考えず、ただ「ハッキングしたぞ！」というメッセージをファイルに残すだけのハッカーもいます。どちらにせよ、迷惑なことには変わりませんが。

サイト設計、復旧対策まで含めたセキュリティ対策を

上記のようにハッカーの目的は様々です。
運営するサイトが扱う情報の種類などに合わせて、どんなタイプのハッカーに狙われる危険があるか知ることは、セキュリティプランを立てる時の一助になるでしょう。

特に個人情報を扱うECサイト等ではクレジットカード情報の非保持化など、そもそもリスクを負わないようなサイト設計も重要です。
また、どんなサイトでも100%ハッキングを防ぐのは不可能という観点から、ハッキング被害にあった後にどのようにサイトを復旧するかといった対策も非常に重要です。
あらゆる状況を想定してセキュリティ対策を行いましょう。

また、セキュリティ対策に割くリソースがない、対策の知識・ノウハウがないという場合は、WordPressの専門家に保守やセキュリティ対策を外注するのもひとつの手です。
自社での対策に限界がある、万一の時に復旧ができるか不安という方には特におすすめです。