ハッカーの目的と心理を解説!ハッカー視点からのセキュリティ対策を

ハッカーの心理とは
  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

ある日、急に自分のサイトに訪れる恐怖・・・。

  • 管理画面にログインできない
  • サイトが真っ白に
  • Googleからスパム通知が届く
  • 個人情報が漏洩していたことが発覚する

などなど、Webサイトを運用している人間からすれば、悪夢の始まりであるハッキング。(正確には悪意を持ったハッキング行為であるクラッキングですが、この記事ではわかりやすさ重視でハッキングと言います。)
特にWordPressサイトはセキュリティ面の脆弱性が指摘されており、適切な対策をしていなければ、いつこういった被害に遭うかわかりません。

では、ハッカー(正確にはクラッカー)たちは、なぜ何の目的があってハッキングをしかけているのでしょう?
今回はハッカーたちの目的に焦点を当てて解説します。

情報を売買することで利益を得る

動機として最も多く、わかりやすいのが金銭目的でのハッキングです。

昨今、個人情報は昔では考えられないほど価値のある情報となっています。
個人情報やクレジットカード情報を盗み、専門の業者に販売することで利益を得ます。

ターゲットとなるのは、個人情報を多く抱えている企業のWebサイトやECサイト。
自動でサイトをクローリングしてセキュリティ対策の甘いサイトをピックアップして攻撃することが多いです。

実際一件いくらで買い取られるかは知るすべがありませんが、企業への慰謝料では情報の精度にもよりますが、1件あたり5千円〜数万円程度の慰謝料の支払いが命じられています。この額であれば数百件程度、盗むことができれば、しばらく遊んで暮らせそうです。

クレジットカード情報を盗んで不正利用する

もっと直接的なのが、自分で不正利用するためにクレジットカード情報を目的としたハッキング。

ECサイトを始めとして、Web上での決済処理は日本でもかなり普及してきました。
クレジットカード情報さえ手に入れてしまえば、ほとんど手に入らないものはないでしょう。

ターゲットや攻撃の手順は上記と同じ。
被害者の不正利用の報告があって初めてWebサイト管理者が気づくというパターンも多いようです。

特定サイトへの嫌がらせ

特定のサイトに対して恨みを持っている場合など、特定のサイトにハッキングを仕掛けて嫌がらせ行為を行います。

この場合、ハッキングの目的はそのサイトを機能不全状態に陥らせること。
サイト情報の改ざん、リクエストを大量に送るDos攻撃・DDos攻撃、スパムサイトへの訪問者の誘導などなど。
とにかく、そのサイトや運営企業のマイナスになるような攻撃が行われます。
サイトの死活監視や不正改ざんの防止、Dos攻撃への耐性等の対策が重要です。

企業や政府機関等の情報の奪取

敵対する企業や国家や団体の依頼を受け、またはその一員として、特定の企業や国家の政府機関に対して、ハッキングが仕掛けられます。
莫大な利益を産む企業秘密や特定の政治家の政治生命にも関わるような重大な情報を狙います。

厳重なセキュリティを破るには個々人だけでは難しく、また、Web上だけでなくリアルな情報から情報を得るソーシャルエンジニアリングという方法も用いられます。ゴミ箱からID/パスワードのメモや個人情報を狙うスキャベジング、担当者に取引先やプライベートの連絡の振りをして電話をかける等、どこから情報が漏れるかわかりません。
Web上だけでなく、関係する担当者、系列会社へのコンプライアンスを徹底する、取引先とのNDAを締結しておく等の対策が必要です。

知的好奇心を満たすため

何故山に登るのかと聞かれて、「そこに山があるから」と答えたのはイギリスの登山家ジョージ・マロリー。
彼のように何故ハッキングするのかと聞かれて、「そこに壁(ファイアウォール)があるから」と答えるのが、この知的好奇心を満たしたいというタイプのハッカーです。

彼らの前では、どんな強固なファイアウォールやセキュリティ対策も意味がありません。
何故なら彼らは壁が高ければ高いほど燃えるタイプだからです。
厄介な点はこのタイプのハッカーは実際に高い技術力を持っていることが多いということ。
不幸中の幸いと言えるのが、彼らは金銭欲求等の現世利益には興味が薄い場合が多いことです。

とにかく、強固なセキュリティに挑戦したいだけで、情報を盗んで売るとか、企業秘密を売るとかいう考えず、ただ「ハッキングしたぞ!」というメッセージをファイルに残すだけのハッカーもいます。どちらにせよ、迷惑なことには変わりませんが。

サイト設計、復旧対策まで含めたセキュリティ対策を

上記のようにハッカーの目的は様々です。
運営するサイトが扱う情報の種類などに合わせて、どんなタイプのハッカーに狙われる危険があるか知ることは、セキュリティプランを立てる時の一助になるでしょう。

特に個人情報を扱うECサイト等ではクレジットカード情報の非保持化など、そもそもリスクを負わないようなサイト設計も重要です。
また、どんなサイトでも100%ハッキングを防ぐのは不可能という観点から、ハッキング被害にあった後にどのようにサイトを復旧するかといった対策も非常に重要です。
あらゆる状況を想定してセキュリティ対策を行いましょう。

また、セキュリティ対策に割くリソースがない、対策の知識・ノウハウがないという場合は、WordPressの専門家に保守やセキュリティ対策を外注するのもひとつの手です。
自社での対策に限界がある、万一の時に復旧ができるか不安という方には特におすすめです。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

記事が気に入ったら
wp.supportを "いいね!"
Facebookで更新情報をお届け。

WordPressの保守・セキュリティ対策なら「wp.support」

WordPressのプロによる保守サービス

ワードプレスのバージョンアップセキュリティ対策
お悩みではないですか?
「何かが起きる前に!」
WordPressのプロフェッショナル集団が対応します。
初期費用は一切頂きません。月額4万円〜
SSL対応、定期バックアップもお任せ下さい。