| 3) 侵入―アクセス制限への攻撃
ハッカーが、標的とするシステムへのアクセスを果たすには、通常、最初にアクセス制限のメカニズムを破る必要がある。アクセス制限メカニズムを突破する最良の方法は、標的が使用する正規のログインIDとパスワードを使用する方法である。ハッカーはまず、様々な盗み読みの手段を駆使してパスワードを入手しようとする。それが不可能な場合、力ずくでシステムをこじ開けるというテクニック(クラック)を使うことになる。
◆パスワード情報の盗み読み
この分野では、システム内に「スニファー(sniffer)」と呼ばれる盗聴プログラムを仕掛け、ネットワーク・アクセスのために入力されるパスワードを「嗅ぎ取る」テクニックがよく知られている。スニファーをセットするためには、予めハッカーがシステムへのアクセスを確立している必要がある。しかし、一部のネットワーク・システムには、「lockd」というリモート・プロトコール・コマンドを使用して外部からスニファーを仕掛けることが可能である。
◆パスワードのクラック
パスワード情報を強制的に引き出すための自動プログラムも各種出回っている。これらは、普通の英単語をそのままパスワードとしているような簡単なシステムを破るのに使われる。まず、任意の辞書ファイルに含まれている英単語を片端から暗号化(標準的ないくつかの暗号化テクニックを使用)し、実際の暗号化されたパスワードと比較する。そこに類似性が認められれば、暗号を逆変換して本来のパスワードを取り出すことができる。ただしこの方法を使うには、予め標的とするシステムから暗号化されたパスワードのファイルを手に入れておく必要がある。またこれ以外には、デバイスのメーカーが初期設定しているパスワードを使ったり、単純な仮パスワードが使われている可能性の高い新設アカウントを狙ったりする方法が多用されている。このようなクラックの被害を防ぐ最良の方法は、パスワードに意味のない文字の羅列や辞書にない架空の単語を使用することである。
◆アカウントの改変
ハッカーが使用するプログラムの中には、一旦侵入に成功したシステムに新しいアカウントを設置したり既存のアカウントを変更したりといった操作が自由にできるようにするものがある。この例が、ロシアで開発された「レッド・ボタン(Red
Button)」プログラムである。レッド・ボタンのユーザーは、telnetセッションを使って標的のコンピュータに新しいアカウントを設置することができる。自分だけのアカウントを作り出すことに成功したハッカーは、次から正規のユーザーを装って自由にシステムにアクセスすることができる。
◆トロイの木馬(Trojan
Horse)
ギリシャ伝説に登場する有名な逸話にちなんだ「トロイの木馬」プログラムは、一見無害なファイルを装って標的企業に入り込み、起動されると同時に、隠された有害なプログラムをシステムに植え付けるツールである。よく使われる手段は、メール添付の形でトロイの木馬を企業内ユーザーに送り付けるというもので、不注意な者がうっかりこれを起動すると、ウィルスやパスワード・スニファーなどがシステム内にセットされる。こうした仕掛けは、しばしばファイルを開いたユーザー自身にもわからないようになっているため、ハッカーは、誰にも知られることなくシステムへのアクセスを獲得することができる。トロイの木馬からシステムを守るためには、電子メールに添付されたプログラムを全て拒絶するようにしたり、素性のわからない情報源からのプログラム・ダウンロードを行えないようにしたりする措置が効果的である。
◆裏口利用
多くの企業ネットワークには、システム管理を容易にするためのバックドアが設けられている。中には、簡単なリモート・アクセスを可能にするバックドアを作っておくシステム管理者もいる。彼らの意図は、自宅のコンピュータなどからアクセスして管理・診断などの作業を行うことにあるが、その存在がハッカーに知られると、格好の侵入口を提供することになる。また、システムによっては、社内IT管理者も知らないバックドアがプリインストールされているものもある。中でも、構内電話システム(PBX:Private
Branch Exchange)を使ってデータネットワークにアクセスできるようになっている企業の場合、ハッカーがPBXを足がかりにして侵入してくる危険性が高くなる。
上記のような不正アクセスを予防するためには、進んだ技術とヒューマン・エラーの防止策を組み合わせるという方法がよく用いられる。前者としては、常時新しいパスワードを自動生成する「ハードウェア・トークン」や、指紋・声紋などを本人確認のために使用する「バイオメトリクス」などが代表的である。また、後者については、簡単に見破られないようなパスワードを設定し、頻繁に変更するよう各ユーザーに指導することが基本である。一般に、ヒューマン・エラーの防止は、新技術の導入よりもはるかに困難である。それは、利用者にとって、簡単に記憶できないパスワードをいくつも使いこなすことが至難の業だからである。
|
