『3分ハッキング サイバー攻撃から身を守る知識』2020/7/22
足立 照嘉 (著)
遠隔操作、身代金の要求、ログイン情報や重要情報の窃取……テレワークのPCは危険にさらされています。この本は、ハッキングの手法とネットのリスクを、分かりやすく具体的に教えてくれます。
インターネット犯罪による損害は増加傾向にありますが、「2020年には最初の5か月間だけで暗号通貨の盗難・ハッキング・詐欺によって、14億ドル(およそ1,500憶円)もの被害が生じている。」そうです。
また2017年5月に世界中で猛威をふるったマルウェアWannaCryの場合、日本だけでも7,000台以上のサーバに感染。このマルウェアは事件の2か月前には公表されていて、脆弱性の修正プログラムも配布されていたのに、日本の企業の多くが修正プログラムの適用を先送りしていたそうです。その理由は「決算期だったため」……これ、すごくよく分かります。でも、賢いハッカーは、まさにそれを狙ったりするので、セキュリティは可能な限り先送りしないことが必要です……。
さて、この本のタイトル「3分クッキング」ならぬ『3分ハッキング』。「10歳でも3分でできるハッキング手法」の紹介を狙ったようですが……そんなに簡単に出来る感じではありませんでした。少なくともLinuxをある程度は理解している10歳でないと(笑)。もっとも最近は幼稚園児でもスマホが使えるようなので、Linux搭載PCを使いこなせる10歳は非現実的とは言えないのかもしれません。
個人的には、サイバー攻撃(防衛)に使える具体的なツールや環境の作り方の概要を知ることが出来て、とても参考になりました。
ちなみに、この本でサイバー攻撃を実践的に学ぶために使っている環境は、Kali Linux。Windows上にVirtualBoxで仮想マシンを構築し、その上でKali Linuxを動作させています。
そしてGruyereという「Webアプリケーションの脆弱性やハッキング手法から対策を学ぶために、Googleが用意している、あえて脆弱性の残ったWebサイト」も使っています。
そして、「ビジネス詐欺メール」、「WordPressの脆弱性をスキャンする」、「パスワードを「総当たり」で特定する」、「暗号化通信をスキャンする」、「パスワード設定に問題がないかを調べる」、「パスワードを知らなくともログインできる」、「サイトを訪れた人のPCを攻撃する」などのハッキングを、ツールを使って実行(実習)するのです。
特に怖かったのが、「電源を落としたコンピュータであっても感染する」。「Wake-on-LAN」というツールは、「システム管理者が遠隔から更新プログラムを送信したり、スケジュールされたタスクを実行したりするために、LANなどのネットワークを経由して電源をオンにすることが出来が機能」なのですが、これを悪用することも出来るそうです。……でも私は夜にはPCの電源もLANのケーブルも抜いているから大丈夫だもんねと一瞬思ってしまいましたが……PCにはちゃんとバッテリーがついているし、無線LANという手もあるんですよね……これを防ぐのは意外に手ごわそうです(汗)。
また、さらに怖かったのが、「ディープフェイク」。「AIを使って映像や音声を生成し、誰かになりすましてしまう」技術だそうで、この本でも、支払い先の変更を通知する偽の請求書メールを確認する場面で登場します。このメールに不審なものを感じた社内の担当者が、メールを送付してきた取引先の担当者に電話確認(メール内に記載された番号で)をするのですが、本物の担当者とそっくりの声・話し方で「支払先変更の確認」の返事をしてくるのです。この本の場合は、その直後に「本当に本物の担当者」から電話があって騙されずに済んだのですが、ここで使われていたのが「ディープフェイク」……これ、現実の場面だったら、絶対に騙されるだろうなーと確信してしまいました(汗)。こういうAIの悪用は絶対にやめて欲しいですね!
ところで、この本の中で、社長命令によって「サイバー攻撃」を独学で自習していく主人公の「しょーじ君」。なんと会社から帰宅後に「自宅のPC」で実習しているのですが……これは「ブラック企業の持ち帰り残業」そのものとしか思えず、セキュリティに関する実習は「会社の業務」として「会社の会議室などの社内に構築した環境」でやって欲しかったなーと思ってしまいました。こういうセキュリティ実習環境は、「会社の実システムとは切り離した外部ネット環境」が必要ですが、今後、セキュリティに詳しい人材をどんどん育成するためにも、「自宅PC」ではなく、「社内の一室に専用部門を作る」という設定で、その具体的な構築方法も紹介した方が良かったのではないかと思ったのです。もっとも、この「自宅PCで実習」設定は、本書の後半で発生する会社の大混乱と疑われることになる「しょーじ君」のスリルを盛り上げるために必要な設定だったのかもしれませんが……。
それにしても……怖いですね、監視カメラやスマート家電のハッキング。パスワードを初期設定のままにしている人は、今すぐ変えましょう!
さて、新型コロナウイルスの蔓延によって、在宅勤務が予想以上のスピードで進められることになり、私たちの生活により多くのIT機器が入り込んできましたが、そのことで会社のセキュリティが脆弱化する危険性があります。「在宅勤務におけるIT活用のためのガイダンス」には、次のようなものがあるそうです。
1)企業システムのアクセスに「できれば多要素」の強力な認証を使用すること
2)暗号化を使用して通信を保護すること
3)デバイスをマルウェア感染から保護すること
*
IT技術の向上とともに、ハッキング技術も向上しているので、リスクをゼロにすることは残念ながら不可能ですが、リスクを最小化する努力は続けたいと思います。サイバー攻撃から身を守る最新知識を学ぶために、ぜひ読んでみてください☆
* * *
なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>