乗っ取り(IT用語)

ページ名:乗っ取り_IT用語_

登録日:2024/02/24 Sat 22:38:07
更新日:2024/02/26 Mon 22:58:13NEW!
所要時間:約 3 分で読めます


タグ一覧
it用語 犯罪 乗っ取り システム用語 ネットを扱う際に注意すべきこと 流出 パスワード ダメ、絶対! アニヲタit教室


ある日、貴方の端末に見覚えのない設定がされていたことはありませんか?


あなたのSNSアカウントに覚えのないフォロー・フォロワーが追加されていたことはありませんか?


あなたのメールアカウントに覚えのないメール発信履歴が存在していることはありませんか?



それ、乗っ取りかもしれません。



概要

当項目では紹介するIT用語の「乗っ取り」とは、以下の定義によるもの。

端末やアカウントなどが所有者でない第三者によって操作できる状態にされていること。あるいは、実際に操作されていること。

情報端末やアカウントは基本的に一個人に紐づけて作成・運用されるものであるが、紐づけるための情報が漏洩した場合などに、このような乗っ取りが発生してしまう。
その多くの場合は権限や情報を悪用する為の乗っ取りであり、場合によっては刑罰に該当することもある。
(善意で他人の物を乗っ取るなどそもそもする理由がない)



発生原因

代表的な乗っ取りの発生原因を紹介。

パスワードの流出

インターネットという概念が生まれた頃から発生しがちなものにして、現在なお根絶されることがないもの。


ソーシャルエンジニアリング

「コンピュータウイルスやスパイウェアなどの情報技術を用いずにパスワードなどを流出させる・取得する」攻撃のこと。
IT関連以外で言えば鍵を盗まれて合鍵を作られたとか、合言葉を盗み聞かれたとか騙されて住所氏名を書いてしまったとかそのようなものだと考えて頂ければよい。
「パソコンに貼っていたパスワードの付箋」を見られてパスワードがバレてしまうとかもこれ。
そんなマヌケ居る?と思われるかもしれないがセキュリティ業界では由緒正しい攻撃手法の一つである。
近年では上司やITエンジニア、個人相手なら公的機関等を装い、事件性があるように見せかけてパスワードを聞き出すという手法も多い。
かつては多くの原因が運用者側の怠慢やうっかりミスにあったが、近年は巧妙化しており悪意を持った攻撃者によって流出させられることも多い。


人間がコンピュータを介さず流出させてしまうような場合はシステム側では対処が難しく、使う人間の知識や教育がしっかりしているかどうかが大きな対策になる。
そのためITに疎い個人が被害に遭うことも多い。
では企業法人ならそんなことはないかと言えば、そうでもない。
ITを軽視した企業が杜撰な管理体制をやってしまってたとか、顧客情報を盗難にあったとかそういうパターンもある。


フィッシング

公的機関や有名サイトなどを騙ってスパムメールやメッセージを送り付け、文面で誘導して偽サイトに誘い込み、個人情報を入力させる古典的なソーシャルエンジニアリングの手口の一つ。
「クレジットカードに不正利用の疑いがあるので直ちにパスワードを変更してください。〇日までに対応がない場合は永久凍結します。」「あなたは〇〇の罪に問われています。〇日までに返答のない場合法的措置に踏み切ります」などといった緊急性の高そうな文面で恐怖感や危機感を煽ったりしてユーザーを釣り出すのが一般的。
最近は各サービスの公式の文面からコピペしてそれらしく見せかけようとするなど手が込んできているが、
よく見るとちゃんとした企業なら使わないような変に砕けた表現が使われていたり、事実だとするならこちらが何者であるかを把握して送ってくるはずなのに宛名が「ユーザー様」「あなた」など曖昧*1、文面に簡体字が入っている、送信元アドレスが明らかにフリーメール、といった特徴があり、注意して確認すればすぐに見破ることができるケースが大半。
もっともそれを数撃ちゃ当たる戦法で補ってくるからこそ厄介ではあり、防犯意識の希薄な高齢者などが引っかかるケースが未だに後を絶たない。


内部の人間による意図的な流出

おおよそ考え得る限り最悪のもの
裏話や金に釣られた内部の人間が所属・関連企業で保管している個人情報を丸ごと盗んで外部業者に流すというもの。
当然ながら上記とは異なり流出させた側も罪に問われる
盗み出す人間が正規のログイン者である以上防ぐことが極めて困難であり、使う人間のコンプライアンス*2に大きく影響される。
企業の教育がしっかりしているかどうかという面もあるが、待遇や人間関係の不満からこういった行為に走る輩も少なくなく、一概に何が原因かとは言い難い面もある。


ハッキング

不正な手段で相手のネットワークに侵入すること。これにシステムを破壊したりする悪行が加わるとクラッキングという。


ブルートフォース攻撃

総当たり攻撃とも言う。
文字通りパスワードを総当たりすることで強引にパスワードを割り出してしまう攻撃。
つまり、数値四桁の鍵があったとして、0000から9999まで試せばどれかは当たるのだ。
原理は某マヌケな人工知能がやってたのと同じだが、CPUの高い処理能力があればこのような力技で突破できてしまうのだ。
また、パスワードとしてよく使われそうな特定パターンの文字列に当を付けることで試行作業を高速化した「辞書攻撃」と呼ばれる亜種も存在する。
よくある「推測しづらいパスワードにする」「パスワードを○○回間違えると(一時的に)ログイン出来なくなる」というシステムはこれらへの対策だったりする。


SQLインジェクション

SQLとは検索用データベースシステムを管理するのに利用されるプログラミング言語*3の一種。
例えばアニヲタwikiで「漫画」というワードを検索窓に入力して検索すると、ページ内に「漫画」というワードを含む項目がヒットするが、SQLはこの過程で「『ページ内に「漫画」というワードを含む項目』を全て表示せよ」という指示をプログラム側に送って実行させる役割を担っている。
この仕様を悪用し、プログラムに本来使用が想定されていない不正なSQLを実行させる事でサーバー内にある通常は検索結果に出てこない秘匿データなどを開示させてしまうのがSQLインジェクション攻撃である。
例えばサーバー側に「(SQLで)〇〇に該当するデータを全て開示せよ」と入力すると、それをサーバーからの作業指示であると誤認識したプログラムが本来開示すべきでないデータを抽出して表示してしまう。そこにユーザーのログイン情報等が含まれていた場合、不正ログインの被害にあってしまうという訳である。
セキュリティ業界では有名な攻撃のため対策はほぼ確立されており、それ故SQLインジェクションによる被害が起きると「今時SQLインジェクション食らうとかセキュリティどうなってんだよ……」とネットで話題になることもしばしば。


バックドア

攻撃者自身の手によって不正アクセス専用の入り口が作られるもの。
創作作品ではしょっちゅう出てくるが、現実ではほぼ見かけない……というか性質上バックドアがある、作れるということがバレるとまずいため「不正アクセス被害が起きた起きた時にそれががバックドア由来なのかどうか」というものはまず明かされない。
そもそもバックドアを作られている時点でなんらかの攻撃を受けているのである。
単純に不正アクセスついでに悪意を持って設置されることもあれば、(設計が悪いなどで)システムそのものに抜け穴があるというパターンも無くはない。
このような場合はアップデートなどでバックドアに成り得る脆弱性を潰した、と喧伝するのはよくある話である。


キーロガー

パソコンではなく、キーボードに対して記録装置を仕掛けてパスワードを盗み出す手段。
パソコンを操作するためには無論のことながらキーボードが必要である。
ということは、キーボードに打ち込まれた履歴を持ち主にわからないようこっそり記録しておいて、その内容を解析すればパスワードもわかるじゃない、と言う具合。
パソコン側のアプリでキーを記録するタイプとキーボードの入力を直接盗むタイプとがあるが、現在ではウイルス入りメールを開かせる等のよくある手段を使わない限り遠隔からこれを仕掛けるのは難しい。
なので、この方法を取るハッカーは内部犯だったり、コンサルや講師等を名乗って物理的に侵入して手作業で仕込むことが多い。


マルウェア

マルウェア、つまり俗に言う「コンピュータウイルス」を利用したクラッキング手口。PCに侵入して不正な動作を行うプログラムを作成し、ログイン情報などを含む内部のデータを直接リークさせる(スパイウェア)、バックドアを不正に作成する(ボット)などの方法で標的のPCを乗っ取る。
自動で動作する上に無差別に攻撃を行う性質上被害範囲が広範に及びやすく、幾度も大事件を引き起こしているため、企業なども真っ先に対処に追われる。よってコンプライアンスのしっかりした会社ならよほどのことがない限り通用しづらい手口になりつつあるといえる。
これらマルウェアを作成した場合、「不正アクセス禁止法」の違反とは別に「不正指令電磁的記録に関する罪」に問われる。


クロスサイトリクエストフォージェリ

特殊なURLを踏ませることで、利用者が正規にID・パスワードを使ってログインしているサイトで操作を行うクラッキング手法。
あくまで使っているものは利用者の情報なので、これで操作された場合被害者が操作しているようにしか見えないという極めて危険な状況が発生する。


DoS攻撃

DoS攻撃とはサーバー側に大量のリクエストを送り付けて過負荷状態に陥らせ、機能停止に追いやるサイバー攻撃である。
通常この攻撃は「サーバーを機能停止させる」ことそのものを目的として行われるのだが、セキュリティ関連のシステムがダウンする隙を突いて不正な処理を実行させる、バックドアを設置するなどの乗っ取りを行うケースも存在する。


バッファオーバーフロー攻撃

バッファとは一時的に処理前のデータを保存しておくための仮置き用メモリ領域を指す。だがプログラムを組む際このバッファに関する動作をきちんと作っていないと、何らかの理由で大量のデータがバッファに流れ込んだ際にプログラムが誤作動を起こし、バッファ領域の外側にある関係ないデータをバッファに入力されたデータの文字列で上書きして破壊するバグが発生するケースがある。これをバッファオーバーフローという。
この脆弱性を悪用することで大量のダミーデータをバッファに送り付けてオーバーフローを意図的に引き起こし、溢れるデータ部分に不正な処理を実行させる文字列を仕込むことでコンピュータ内にバックドアを設置するという手口である。
このバグへの対策はプログラマにとっての基礎中の基礎とでもいうべき部分であり、これの対策がなされていないということはプログラマのお里が知れるということでもある。


その他

何らかの不正アクセス手段を用いてデータベースに侵入し、保存されたパスワード文字列そのものを取得するといったものもある。
言ってしまえば建物不法侵入からパスワードの書いた紙を盗む、のコンピュータ版。
ただ、最近のITシステムはそういった機密性の高い情報は「ハッシュ化」といって、パスワード(答え)を知っている当人なら解けるがそれ以外だと絶対に解けない方法を用いて暗号化を施しているところがほとんどなので、仮に盗み出せてもよく分からない謎の文字列が得られるされるだけ、となっている。
そのため企業体制がしっかりしていれば基本的に心配はない。



悪影響

とても分かりやすい顛末は、本来の運用主から操作不能な状態にされること。乗っ取られれば本人と同じ手順でアカウントを操作できるので、登録している個人情報を抜かれたり、持ち主のクレジットカードや登録情報で勝手に買い物や契約をされる場合もあり得る。
最近では、オンラインゲームのアカウントなどを乗っ取られてゲームデータを取られたり、自作自演に使われたりすることもありうるだろう。
また、「DDos攻撃」など別のサイバー犯罪に利用される場合もある。


特にパスワード流出などの場合、履歴上は全く正当なアクセスをしているため、アクセスしたのが本人かハッカーか非常にわかりにくい。
例えば第三者にパスワードを悪用されて大きな買い物をされてしまったとしても「本人が使ったのを払いたくないから言い訳してるんじゃないの?」と疑われて言い分が認められず、金銭を払わされる場合も少なくない。
「DDos攻撃」の場合、自分ではないと言う主張が「犯罪者の言い逃れ」としか見なされず、犯罪者にされてしまう危険性さえある*4


現実には乗っ取りにあったことの証明は難しい場合が多い*5
乗っ取りを証明できないまま、泣き寝入りを強いられている隠れた乗っ取り被害者は決して少なくない…かもしれない。



違法性

このような乗っ取り行為は不正アクセス禁止法第3条に違反する犯罪で、3年以下の懲役または100万円以下の罰金が課せられる。
また、不正アクセスが目的で情報を盗み取る行為は不正アクセス禁止法第4条の不正取得罪に該当する。これは未遂であっても1年以下の懲役または50万円以下の罰金
不正アクセスの目的で、不正に取得した他人の情報を保管しているだけでも、不正アクセス禁止法第6条の不正保管罪1年以下の懲役または50万円以下の罰金が科せられる。


家族やパートナー、知人などの端末やアカウントに(無許可で)アクセスを試みる行為も違法となる恐れがあるので注意が必要。


STOP! 乗っ取り!



対策

とにかくパスワードの保管には十分に気を付け、推測しやすいパスワードは避けること
そして、無暗に信用ならないサイトに個人情報やパスワードを渡さない事。その前提として不審なURLはクリックしないことも必須。
一方で、信用できる大企業から流出などの実例もあるため、様々なサイトで使うパスワードを同じものにしない、など万が一の備えも有効である。


認証が通った際に予め設定したメールアドレスなどに送った追加のパスワードを入力させる「二段階認証」。
専用のパスワード生成器を用いてごく短い時間に限り1回だけ使える使い捨てのパスワードを用いる「ワンタイムパスワード」などの機能もあるので上手く活用しよう。


もしも乗っ取られてしまった場合は然るべき手順でアカウントを停止してもらった上で、その旨をなるべく周知して二次被害の拡大を防止するようにすることも重要である。




スマホを乗っ取りながらこの項目を見ている皆さん、すぐ警察へGO!

そうでない健全なみなさん、追記修正をよろしくお願いいたします。


[#include(name=テンプレ2)]

この項目が面白かったなら……\ポチッと/
#vote3(time=600,16)

[#include(name=テンプレ3)]


▷ コメント欄

部分編集
  • サイトの管理とか運営を乗っ取られた時とかそマジでどうしようも無いよね... -- 名無しさん (2024-02-24 22:52:14)
  • ここも他人事じゃないからな。なんかの間違いで凄腕ハッカーに目をつけられた暁には… -- 名無しさん (2024-02-24 22:55:27)
  • SNSで失言したときの言い訳みたいな話かと思ったら違った。 -- 名無しさん (2024-02-25 00:17:45)
  • Twitterで何か連携ツールを使ってやったらスパム投稿がされる様になったという話もこれになるな。自分でも操作はできるがスパム投稿は止まらないという -- 名無しさん (2024-02-25 00:17:58)
  • サーバーリプレイスの時にも起こる可能性が有ると複数界隈で指摘されていたな…強固なパスワードを用意していてもアッサリブッコ抜かれる危険性を専門家が指摘してもいた。 -- 名無しさん (2024-02-25 01:07:47)
  • 概要の最後、「善意のある人」じゃなくて「悪意のない人」じゃないかな。善意があることは悪意がないことを意味しない -- 名無しさん (2024-02-25 09:59:35)
  • ただまあ現実で強固なパスワードとか二重、三重認証とか全部覚えてられないから同じものになるよなって -- 名無しさん (2024-02-25 16:19:54)
  • 昔はウィルスでもメールを送らせたりなんてのは多かったが、最近はセキュリティも強固になって少なくなった。Office製品の横の連携機能を悪用して、マクロを実行させて感染を広げるマクロウィルスはあるけど、これも自分の手でマクロを実行させるという手順が必要な時点でトロイの木馬に近く、勝手に感染を広げることはできない -- 名無しさん (2024-02-26 07:43:44)
  • コメント投稿欄が壊れていたみたいなので修復しました。 -- 名無しさん (2024-02-26 21:25:25)

#comment

*1 当然スパムメール作成者には該当サービスでどのようなユーザーネームを使用しているか把握できていないからである。また同じ内容の文面を無差別に送り付ける関係上誰でも当てはまるような名前にしなければならない都合もある。
*2 「法令遵守」という意味。企業や個人が法令や社会的ルールを守ること
*3 要は人間が使う言語をそのまま読むことが出来ないコンピュータに「実行してほしいこと」を伝えるための専用の言語だと思って差し支えない。
*4 2012年に発生したパソコン遠隔操作事件では、真犯人によるパソコンの遠隔操作による乗っ取りに捜査期間が気づかず、結果何人もの人が冤罪で処分を受けてしまった。
*5 露骨に居住地から離れたところで使われてアリバイがあるようなケースでは証明できたり、企業側で明らかにおかしい買い物は乗っ取りを察知して凍結をかけることもある。

シェアボタン: このページをSNSに投稿するのに便利です。

コメント

返信元返信をやめる

※ 悪質なユーザーの書き込みは制限します。
最新を表示する
NGIDの確認

NG表示方式

NGID一覧