東京都北区で経営コンサルタント業の株式会社センターテン

情報セキュリティで、理解しておくべき用語

ビジネスを成功へと導く上で、決して無視できない「脅威」が存在します。それは情報セキュリティのリスクです。

• 顧客情報が漏洩した…：信頼失墜、損害賠償、事業継続の危機に直面します。
• ウイルス感染で業務が停止した…：取引先への影響、納期遅延、復旧費用など、甚大な損失が発生します。
• ランサムウェアに感染し、データが使えなくなった…：身代金を要求され、事業が完全にストップする可能性もあります。
• 従業員が不注意で情報漏洩を引き起こした…：人的ミスによる情報流出は、意外と多いのが現状です。

情報セキュリティの脅威は多岐にわたります。ここでは、ビジネスにおいて特に理解しておくべき用語をまとめました。

• クラッキング (Cracking)
   システムやネットワークの脆弱性を悪用し、正規のアクセス権限を持たない者が、不正にコンピュータシステムへ侵入する行為を指します。データの窃盗、改ざん、破壊、システム停止などが目的となることが多く、広義の「ハッキング」の中でも特に悪意を持った行為を指します。
• ソーシャルエンジニアリング (Social Engineering)
  技術的な手段を用いるのではなく、人間の心理的な弱点や行動の隙（例えば、親切心、信頼、好奇心、権威への服従など）を巧妙に利用して、機密情報や認証情報などを不正に入手することです。
  ・電話、メール、対面など様々な方法で行われ、セキュリティ意識の低い従業員などがターゲットになることがあります。例としては、偽のテクニカルサポートを装ってパスワードを聞　き出す、企業のウェブサイトに似せた偽サイトへ誘導して情報を入力させる、などが挙げられます。
  ・「捨てられた書類からIDやパスワードなどの情報を盗み出すこと」
  ・「ショルダーハック」や「トラッキング」（人がパスワードなどの秘密情報を入力してるところを肩越しに盗み見ること）
  ・「パスワードが書かれた紙をごみ箱から拾い、システムに不正にアクセスする」・「社員を装った電話を社外からかけて、社内の機密情報を聞き出す」

• マルウェア (Malware)
   "Malicious"（悪意のある）と"Software"（ソフトウェア）を組み合わせた造語で、コンピュータシステムに損害を与えたり、情報漏洩を引き起こしたり、不正な操作を行ったりすることを目的としたソフトウェア全般を指します。コンピューターウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなどが含まれます。
• ボット (Bot)
  「ロボット」が語源で、感染したコンピュータを外部からの命令で自動的に動作させるプログラムです。多くの場合、複数のボットが感染したコンピュータ群（ボットネット）が形成され、攻撃者によってDDoS攻撃（後述）、スパムメールの大量送信、不正な情報窃取などに悪用されます。感染したPCは、知らないうちに犯罪行為の加害者となってしまう危険性があります。
• スパイウェア (Spyware)
   ユーザーの同意なしにコンピュータにインストールされ、個人情報、閲覧履歴、キー入力などの活動情報を密かに収集し、外部に送信するソフトウェアです。広告表示、ポップアップ表示、PCの動作速度低下の原因となることもあります。
• ランサムウェア (Ransomware)
   「Ransom（身代金）」と「Software」を組み合わせた造語です。感染すると、コンピュータ内のファイルやデータが暗号化され、利用できなくなります。復号化と引き換えに金銭（多くは仮想通貨）を要求してくるのが特徴です。企業や組織が標的となることが多く、業務停止やデータの喪失による甚大な被害をもたらします。
• トロイの木馬 (Trojan Horse)
  ギリシャ神話のトロイの木馬のように、一見すると無害なソフトウェア（例えば、ゲーム、便利なツール、アップデートプログラムなど）に見せかけてユーザーにダウンロード・実行させ、その裏で悪意のある活動（情報窃取、バックドアの設置、他のマルウェアのダウンロードなど）を行うプログラムです。ウイルスのように自己増殖はしませんが、ユーザーの意図しない挙動を引き起こします。
• バックドア (Backdoor)
   正規の認証プロセスを経ずにシステムにアクセスできる、開発者や攻撃者によって意図的に埋め込まれた「裏口」のことです。マルウェアによって設置されることもあり、攻撃者がシステムへ再侵入する際に利用されます。
• フィッシング (Phishing)
   魚釣りの"fishing"（釣る）と"phreaking"（電話回線の不正使用）を組み合わせた造語です。信頼できる企業や機関（銀行、クレジットカード会社、ECサイト、宅配業者など）を装った偽のメールやメッセージを送りつけ、本物そっくりの偽サイトに誘導して、個人情報（ID、パスワード、クレジットカード情報など）や認証情報を騙し取る詐欺の手口です。
• スパムメール (Spam Mail)
   受信者の許可なく一方的に大量に送られてくる迷惑メールの総称です。広告目的のものが多く、中にはフィッシング詐欺やマルウェア感染を目的とした悪質なものも含まれます。
• オートラン (Autorun)
   USBメモリやCD/DVDなどのリムーバブルメディアをコンピュータに挿入した際に、中に含まれる特定のファイルを自動的に実行するWindowsの機能でした。しかし、この機能が悪用され、メディアを介してマルウェアが自動的に感染するリスクが高まったため、現在はデフォルトで無効化されています。セキュリティ対策としては、この機能を無効にしておくことが推奨されます。
• DoS攻撃 (Denial of Service Attack)
   標的となるサーバーやネットワークに、大量の通信や不正なデータを送りつけ、サービスを過負荷状態にしたり、システムを停止させたりして、正当なユーザーがそのサービスを利用できないようにする攻撃です。複数のコンピュータを踏み台にして同時に攻撃を行う場合は「DDoS攻撃（Distributed Denial of Service Attack）」と呼ばれます。
• 総当たり攻撃 (Brute Force Attack)
   パスワードクラッキング手法の一つで、特定のパスワードを総当たりで試し、正解を見つけ出す方法です。パスワードの長さが短い、単純なものほど成功しやすくなります。強固なパスワード（文字種を組み合わせ、十分に長い）を設定することで、この攻撃からの防御力を高めることができます。
• 辞書攻撃 (Dictionary Attack)
   パスワードクラッキング手法の一つで、辞書に載っている単語、よく使われるパスワードリスト、人名、地名などを網羅的に試してパスワードを特定する攻撃です。総当たり攻撃よりも効率的ですが、辞書にないパスワードには無効です。
• パスワードリスト攻撃 (List Based Attack)
   複数のウェブサイトやサービスで同じIDとパスワードを使い回しているユーザーを狙った攻撃です。どこか一か所から流出したIDとパスワードの組み合わせを、別のサービスでも試して不正ログインを試みる手法です。パスワードの使い回しをしないことが最大の防御策となります。
• クロスサイトスクリプティング (Cross Site Scripting / XSS)
   ウェブサイトの脆弱性を利用して、攻撃者が悪意のあるスクリプト（プログラム）をウェブページに埋め込み、そのページを閲覧したユーザーのブラウザ上で実行させる攻撃です。これにより、ユーザーのセッションクッキー（ログイン情報など）の窃取、個人情報の不正取得、偽のコンテンツの表示などが行われる可能性があります。ウェブサイトの運営側での適切な対策（入力値の検証、エスケープ処理など）が必須です。