Q1.そもそもハッカーってどんな人たち？

A.攻撃者というより事業家！？
ハッカーと言えば、社会的・政治的な主張のもとにハッキング活動を行う「アノニマス」などの「ハクティビズム活動家」が有名。しかし、近年活動が活発化しているのは、国がスポンサーとなっているハッカー組織。ハッカーたちは情報交換を密に行い、国を超えての技術・資金協力も当たり前。マシンラーニングやAIを駆使した高度な攻撃も日常化しています。攻撃は、偵察からアタック、痕跡の消去まで細かくフローが確立され、2～3年の長期計画のもと、組織的かつ複合的に実施される「事業」のようなもの。ハッカーは中国やロシアなど、海外に多く存在します。

Q2.ハッカーから見て日本は？

A.最も標的にしている国の一つ
ハッキング技術が急速に進歩する一方、守る側の対策は遅れがち。特に日本はセキュリティ対策の意識が低く、ハッキングされても気付かないケースも…。しかし、日本は優れた研究開発や製造プロセスなどの情報も多く、ハッカーたちが最も標的としている国のひとつです。特に狙われやすい業種は、ハイテク産業、医療・薬品をはじめ、ここ数年は、2020年の東京五輪の開催を心よく思っていないハッカーたちが、電気、ガス、水道などの重要インフラに関わる企業を標的に攻撃する傾向も。さらに、個人情報などを入手するため、飲食のサプライチェーンへの攻撃も目立ちます。

Q3.狙われやすいのは大企業？

A.近ごろは、まず中小企業がターゲットに
ハッカーは、企業の規模に関係なく攻撃を試みます。日本の中小企業は、さまざまな産業においてコアになる技術や製品を開発しているところが多く、狙われやすい傾向に。また、中小企業はセキュリティ対策にかけられる費用が限られ、ガードが低くなりがち。そこで、ハッカーはガードの堅い大企業を狙う場合は、ターゲットと取引のある中小企業をまず攻略。電子メールや電子商取引などのネットワークを通して大企業に侵入するパターンが増えています。そして、中小企業が狙われる時は、Webサイトなど、外のネットワークに触れているところが入口になる傾向が強いです。

Q4.サイバー攻撃にはどんなものがある？

A.「XSS」「SQLインジェクション」「DDoS」が有名
動的Webサイトにさまざまな不正なスクリプト（Java、htmlタグなど）を埋め込み、サイト閲覧者にマルウェアを仕掛けたり、情報漏洩の踏み台にしたりする「XSS（Cross Site Scripting・クロスサイトスクリプティング）」、不正なプログラムを使ってデータベースへアクセスし、情報を抜き取ったり、Webページを改ざんしたり、データベースを破壊する「SQLインジェクション」、マルウェアなどで乗っ取った多数のコンピュータを遠隔操作して、標的にしたサーバに一斉に攻撃を仕掛けてダウンさせる「DDoS（Distributed Denial of Service）」などが有名です。

Q5.今後はどんな攻撃が増える？

A.ボットによる自動攻撃が拡大中
標的にする企業の情報やWebサイトの脆弱性を調べる偵察活動、攻撃手段の選定、必要な道具の調達など一連の攻撃フローを、ボット（ロボット）に任せる時代に。サイファーマの調べでは、最近6カ月間のボットベースによるハッキングは、以前に比べて大幅に増加しているとのこと。今後はますますボットを使って攻撃の効率化と自動化が図られ、2020年代にはハッキングの全工程がボットによって自動化されるという予測も。また、スマートスピーカーに象徴されるようにIoT化が進む中、IoTの中央管理サーバがハッカーのターゲットになりつつあることも見逃せません。

Q6.狙われやすいWebサイトは？

A.オープンソースのCMSは要注意
ファイルをアップロードしたり入力画面があったり、外部からいろいろなデータを取り込めるCMSで制作されたWebサイトは、ウイルスや不正なプログラムもPCに入り込む危険性が大。さらにCMSの中でも、WordPressのような、誰でも自由に使用や手を加えることができるオープンソースのソフトウェアは、攻撃方法が徹底的に検証されていて、ハッカーたちの間でも広く知られています。オープンソースだからこそ危ないことを認識した上で、常にバージョンアップを心掛けることはもちろん、サイトのつくり方や運用面を考える必要があります。

Q7.Webサイトを守るためには？

A.何よりもまず脆弱性のチェックから！
Webサイトの稼働前には、業者に「脆弱性スキャン」を依頼して、どこかに弱点がないか検査をすることは必須。稼働後は、公的機関のIPA（情報処理推進機構）のセキュリティ情報や、世界的にも著名な脆弱性データベース「CVE（Common Vulnerabilities and Exposures）」を定期的にチェックしましょう。さらに、従来のファイアウォールでは防ぐことができなかった攻撃をブロックできる「Web アプリケーションファイアウォール」は、「XSS」「SQLインジェクション」対策の第一歩としておすすめです。 IPA https://www.ipa.go.jp/ CVE https://cve.mitre.org/