映画やドラマの世界ではたびたび目にするハッキングですが、当然、フィクションの中だけの話ではありません。企業も個人もハッキングに遭ってしまう可能性はありますし、スマートフォンがハッキングされてしまうこともあります。しっかり押さえておきましょう。
ハッキング等を通じて企業・組織を脅かすサイバー攻撃の中から、従業員が認識しておくべき代表的な攻撃10選資料を無料で配布しています。ぜひご活用ください。
ハッキングについておさらい
そもそも、ハッキングとは一体どんな事をさすのでしょうか。
ハッキングとは悪意を持って他者のコンピューターへ攻撃を仕掛けることです。
具体的には、使用しているアプリケーション、システム、ネットワークの脆弱性を狙い、マルウェアをばらまいたり、情報の剽窃、盗聴などを行います。
正しくは、こうした悪意ある行為だけでなく、サイバー犯罪への対処など善意の目的の行為もハッキングの定義に含まれ、悪意のあるものはとくにクラッキングと呼ばれます。ホワイトハッカー、ブラックハッカーという区別があるのはそのためです。
ハッキングを受けるとどうなるか
では、ハッキングを受けてしまった場合、どんな状態になってしまうのでしょうか。
データを盗み見される/盗まれて情報漏えいをしてしまう
例えば、社内のデータベースにハッキングされることで、顧客情報を盗み見られたり機密情報を使用不能にされたりしてしまう可能性があります。クレジットカード情報をはじめとした個人情報が不正に抜き取られ、悪用されてしまいます。
企業にとって、こうした事態は信用を大きく落としてしまうインシデントです。つまり、ハッキングが行われてしまうと、会社の存続に大きな影響を与えかねないといえます。
データを破壊されてしまう
ハッキングの結果、業務中に使っているデータを破壊されてしまうこともあります。業務に必要なデータや顧客の情報などが破壊されてしまうと、業務の継続が困難になってしまいます。
データを転送されてしまう
業務データや顧客情報を社外に転送されてしまいます。新たなサイバー攻撃などの犯罪に利用されたり、ダークウェブで売買されたりします。
マルウェアを仕込まれてしまう
マルウェア、いわゆるコンピュータウイルスを仕込まれてしまいます。
マルウェアについて詳しくは「マルウェア対策の重要性とは?被害事例をもとに有効対策を解説」をあわせてご覧ください。
ハッキングへの事前対策
不審なメールやWebサイトを開かない
不審なメールやWebサイトを開いた場合、ハッキングされてしまうリスクがあります。
不審なメールはフィッシングメールとも言い、フィッシングサイト(偽サイト)への誘導を目的としています。フィッシングサイトでクレジットカードや個人情報を入力すると、それがそのまま抜き取られ、不正に利用されてしまいます。
不審なサイトで情報の入力をしないのはもちろん、そもそもアクセスをしないよう、不審なメールの開封、不審なリンクのクリックをしないことが肝要です。
企業・組織の従業員が不審なメール・クリックを見破れるようになるためのトレーニングとして、標的型攻撃メール訓練というのが一般的になりつつあります。
標的型攻撃メール訓練について詳しくは「セキュリオ」サービスサイトをご覧ください。
公衆Wi-Fiの利用を控える
公衆Wi-Fiとは、飲食店やカフェなどで、誰でも自由に利用できるWi-Fiです。講習Wi-Fiは通信が暗号化されておらず、第三者が容易に通信の内容を傍受できてしまいます。
個人情報や企業機密など重要な情報を公衆Wi-Fiを利用して扱うのは避けましょう。
OS・ソフトウェアの最新性を保つ
定期的に適用されるアップデートやパッチは常に最新に更新しておきましょう。
アップデートは、OS・ソフトウェアの脆弱性を解消する重要なものであり、アップデートを怠っていると脆弱性を利用されてハッキングされる可能性があります。
ハッキングの手口を理解する
ハッキングの手口を理解しておくことで、未然にハッキングを防ぐ方法を学びましょう。
もしハッキングを受けてしまったら
では、もし、ハッキングを受けてしまったら一体どうすればよいのか、順番に説明します。
ネットワーク接続を遮断
まずは、ネットワークを通じたマルウェア感染の拡大や情報漏えいの拡大を防ぐため、ハッキングを受けた端末をネットワークから遮断しましょう。
適切な報告先へ報告
発生したインシデントの内容を適切な報告先へ、できるだけ迅速に、できるだけ詳細に報告します。
そのためにも、自組織でインシデント発生時に報告するべき報告先がどこなのか、どういったフローで報告するべきなのか、普段から把握しておきましょう。
ハッキングはスマホに行われる場合もある
ハッキングと聞くと、政府や大企業の重要なデータが保存されているサーバなどに仕掛けられるイメージが強いのではないかと思いますが、スマートフォンもハッキングされます。
例えば、業務用スマートフォンには顧客の連絡先や各種画像フォルダ、決済情報、業務用クラウドストレージへのアクセス情報等、重要な情報が満載です。
それでいて、PCに比較するとセキュリティ対策が手薄である場合が多く、十分、攻撃の標的となるだけの理由があります。
スマホのハッキングを受けるとどうなるか
スマホがハッキングされると、具体的にはどんなことが起きるのでしょうか。
動作が重くなる・熱を持つ・電池がすぐ減る
マルウェアが端末内で動作している影響で端末に高負荷がかかり、動作が重くなる、端末が高温になる、電池の減りが早い、という症状が現れます。
設定が勝手に変わっている
バックアップ設定や、Bluetooth、Wi-Fiなど外部接続の設定が勝手に変更される場合も、ハッキングにあっている可能性があります。
GPSやカメラなどの機能が勝手に有効化される
GPSやカメラなど、プライバシーに関わる内容の機能が勝手に有効され、情報を抜き取られます。行動範囲の把握や、盗撮・盗聴が可能になってしまいます。
身に覚えのない支払いがされている
請求を見た時に、身に覚えのない通販の購入履歴等があると要注意です。スマートフォンに登録された決済情報が不正に利用される場合があります。
不審なポップアップが表示される/身代金を要求されている
「あなたのスマートフォンがウイルスに犯されています」「データを削除されたくなければお金を払ってください」
といったポップアップが突然表示されるというのも、ハッキングされている場合があります。
ただし、Webサイトを閲覧していてこうした表示に遭遇した場合、不正な広告である場合もありますので、注意しておきましょう。
SNSで不審な動きがある
知らない間にXやInstagramなどで海外のスパムアカウントをフォローしている、身に覚えのないスパム投稿を連投している、といった動きがある場合も、ハッキングの可能性があります。
各種SNSでも、不審な動きが無いか確認しておきましょう。
スマホのハッキング事前対策
不審なアプリをダウンロードしない
制作者が不明なアプリや、内容に比してアプリ容量が大きすぎるアプリ、公式のストア以外で配布・販売されているアプリなど、不審なアプリはダウンロードしないようにしましょう。
Apple StoreやGoogle Play等公式のストアで配布・販売されているアプリは一定の審査をクリアしているため比較的安全な場合が多いですが、これも確実ではないため、用心しておきましょう。
スマートフォンを手放さず、操作の際は周囲を確認する
ハッキングは様々な技術を駆使して行われると思われがちですが、もっともよくあるのは、パスワードを盗み見るなど、ソーシャルエンジニアリング的手法です。
そのため、スマートフォンの操作の際は周囲から覗き見られないようにする、公共交通機関や飲食店に置き忘れないようにする、といった基本的な対策を心がけましょう。
ソーシャルハッキングについては「ソーシャルエンジニアリングの手口とは?その内容や対策を徹底解説」で詳説していますので、あわせてご覧ください。
パスワードをデバイス内に保存しない
パスワードを一々覚えておくのが大変だからと、ブラウザの自動入力機能を利用していませんか。もし、スマートフォンの盗難やハッキングにあうと、そのままパスワードを突破されてしまいます。
専用のパスワード管理ツールを利用するのがオススメです。
インターネット履歴を頻繁に削除する
ユーザーの日常生活の動向は、ブラウザの履歴リストを見ればかんたんに推測できてしまいます。クッキーやキャッシュなどを含むすべての履歴も削除することが望ましいです。
すべてのアプリを最新の状態に保つ
どんなに信頼性の高いアプリだとしても脆弱性が無くなることはなく、ハッカーに狙われる可能性があります。
アプリのバージョンアップには脆弱性の修正が含まれています。そのため、常にアプリは最新の状態に更新しましょう。
公共のWi-Fiは利用しない
通信が暗号化されていない公衆Wi-Fi等の利用は控えましょう。
WPA2以上のセキュアな通信環境での業務のみとするなど、ルールの整備が必要です。
もしスマホへのハッキングを受けてしまったら
どれだけ対策をしていても、ハッキングの被害を100%防ぐことはできません。
では実際にハッキングされてしまった場合、どのような行動をとるべきでしょうか。
アカウントやクレジットカードを利用停止する
もし、登録しているクレジットカードで不正な動きが確認されてしまったら、そのアカウントやクレジットカードの利用を停止しましょう。
迅速に気づき、迅速に対応できるように、こまめな明細の確認や通知設定をしておくとより良いでしょう。
強固なパスワードに変更する・二段階認証や2要素認証を導入する
利用しているサイトのパスワードはすべて変更し、さらなる不正ログインを防止しましょう。
また、二段階認証や二要素認証といった強固な認証方法の導入も検討しましょう。
スマホが乗っ取られた可能性があることを関係各所に報告する
スマートフォンがハッキングされてしまった場合、スマホに含まれる連絡先データや業務データなどを通じて、周囲の人に被害が拡大する恐れがあります。
単純に情報が漏えいしてしまったということ自体が重大なインシデントですし、関係者のメールアドレス宛にフィッシングメール等が届く可能性もあります。
二次被害を防ぐために、各所への連絡は忘れないようにしましょう。
まとめ
ハッキングの対策について解説しました。
PCでもスマホでも、フィッシングなどの不審なメール・Webサイトを見破るなど、正しい情報セキュリティリテラシーを持つことが求められます。
LRMのセキュリティ教育クラウド「セキュリオ」では、コンテンツ数90種類以上のeラーニング、送信数無制限の標的型攻撃メール訓練、毎週配信のミニテストを通じて従業員のセキュリティリテラシーを向上させることが可能です。