ハッキングってどうやるの?現役ハッカーに聞いてみた

エリー


ハッキングってどうやるの?現役ハッカーに聞いてみた

浦和のサッカー場にきています

こんにちは、エディターのエリーです。

先日、長澤まさみさんのSNSをハッキングしてプライベートを覗き見た男性が逮捕されました。芸能人をふくむ約1000人分のアカウント情報を把握していたそうです。

うらやまけしからん。

じゃなくて、怖いですね。「いまハッキングされたら社会的に死ぬ」という人も多いんじゃないでしょうか。

ということで、お呼びします。

 
hacker-21

現役ハッカーの浜辺将太さんです!

長年勤めたヤフーを昨年卒業し、現在は六本木「Hackers Bar」のバーテンダーや、ドクターズモバイルという医療IT系スタートアップの取締役CTOをしています。

穏やかな物腰で、「東京23区内だったらどこでも行きますよ」と言ってくれた男気のある方。埼玉県の浦和まで来てもらいました。

 
hacker-20

肩書きが「ハッカー」の人ってはじめて……。あるんだ、実際。

どうやってハッキングをするのか、血の気が引くような本当にあった怖い話を聞いてみたのち、実際にハッキングをしてもらいたいと思います。

ハッカーってなにをするの?

hacker-4

えりこめ2
「そもそも『ハッカー』ってなんですか? いっぱい悪いことをするんですか?」
はまこめ2
しません。一言でいうと……『すごいエンジニア』ですね。

『ハッカー』は幅広い意味の言葉で、世間でイメージされるような悪いことをするハッカーは『クラッカー』って呼んだりします」

えりこめ2
「知らなかった……」

ハッカーとクラッカー

 
hacker-5

えりこめ2
「そっか、浜辺さんはハッカーだけど悪いことしてないのか……。でもやろうと思えばできるんですよね?」
はまこめ2
「できますけど、やらないです。犯罪なので」

強め犯罪

どうやってサイトに侵入するの?

hacker-9

えりこめ2
「そもそも、ハッキングってどうやるんですか?」
はまこめ2
「いい質問ですね! ハッキングをするには、まずどうやって権限を奪うかを考えないといけません。代表的なパターンとしては、

  • 管理用パスワードを奪取する
  • サイトの脆弱性を攻撃する

が挙げられます。権限さえ奪えれば、サイトを書き換えたり、情報をのぞき見たり、あんなことやこんなことが可能になります」

1. 管理用パスワードを奪取する

hacker-8

えりこめ2
「パスワードを奪う……?」
はまこめ2
「まずはよく使われがちなパスワードを順番に試します。頻出の10,000パターンぐらいだったらそのへんのサイトに落ちているので、これで当たってしまうようだと完全にアウトです。

もしターゲットが知人や有名人だったら、特定のキーワードを組み合わせてパスワードを作ります。その人の名前、誕生日、好きなものとか。

それでも当たらなかったら、地道に総当たりします」

黒いやつ

えりこめ2
「それって絶対いつか当たるやつじゃないですか!」
はまこめ2
「時間はものすごーーーくかかりますけどね」

2. サイトの脆弱性を攻撃する

hacker-7

えりこめ2
「ぜいじゃ……?」
はまこめ2
「脆弱性はプログラムの設計ミスで生じる『サイトの弱点』です。この脆弱性を完全になくすことは、ひじょーーーに難しいです。アプリやサイトではなく、ブラウザやOS自体に脆弱性が見つかることもあるので。

脆弱性を突かれて、サイトを改ざんされたり、マルウェアを仕込まれたりします」

えりこめ2
「まるいウェア……?」
はまこめ2
「マルウェアは悪意のあるプログラムのことです」

マルウェア乗っ取り

はまこめ2
「一度侵入されてマルウェアが潜伏してしまうと、脆弱性を修正しても、内側から好き放題あんなことやこんなことをされてしまいます」

 
hacker-6

はまこめ2
「そういえば最近『ImageMagick』という画像処理ツールにやばい脆弱性が発見されて話題になりました。世界中で古くから使われている有名なツールなので、まさか!というかんじですね」
えりこめ2
「はああ〜それでまた『ImageMagick』を使ってるサイトが狙われるんですね」
はまこめ2
「そんなふうに何年も使っていたツールの脆弱性が急に見つかったりするので、ハッキングを防ごうとしても限界があるんですよね。

だから未然に防ぐのはもちろん大事だけど、突破されたあとの復旧も非常に大事なんです」

本当にあったサイト改ざん事例

hacker-2

えりこめ2
「むずかしかったけど、危険がいっぱいあることはわかりました!」
はまこめ2
「そうですね、さっき説明したような方法で権限を奪ってしまえば、サイトを改ざんするのはめちゃくちゃ簡単です。

たとえば……」

1. マルウェアばらまき地獄

shoot-2

はまこめ2
「マルウェアの話が出ましたが、マルウェアに感染したということは、ネットワークの内側に敵が潜んでいる状態を意味します。

攻撃はネットワーク越しに防ぐのが基本なので内側からは意外と脆くて、他の端末にもマルウェアを拡散される可能性があります」

まるうぇあ

えりこめ2
「インフルエンザにかかったけどマスク無しでフル出社している状態ですか?」
はまこめ2
「すばらしい例えですね。一度感染者がでると誰が感染しているかわからないので、最悪の場合、全員を隔離する必要があります」

2. 恐怖!敵にカード情報を送る

shoot-1

はまこめ2
「あとはECサイトがハッキングされると大変ですね。商品を購入したら、クレジットカード情報が攻撃者にもまるっと転送されていたり……。

利用者はそんなこと知る由もないですからね」

クレジットカード

えりこめ2
「敵に塩を送る状態?」
はまこめ2
「それは違いますが、こんな感じでサービスは通常どおりに使えるのに、情報だけが抜き取られる状態だとなかなか改ざんに気づけないですよね」

3. 怖いなあ〜…検索結果から不正サイトへ

yosuke

はまこめ2
「あとは設定ファイルを書き換えて、検索サイトからアクセスしてきた場合だけ不正サイトに飛ばしたりします。サイトの見た目もURLも似せたりして……いわゆるフィッシングですね」

クリックじゃっキング

えりこめ2
「『facebook』が『faceboook』になってるみたいな?」
はまこめ2
「そうですね。設定をたった1行追加されるだけだし、管理者は普段検索サイトからアクセスしないので、改ざんに気づきにくいところがポイントです」

 
hacker-1

サッカーうまい

実際にハッキングしてもらった

hacker-14

えりこめ2
「じゃあ試しにわたしのブログをハッキングしてみてほしいんですけど……って、え? もうIDと誕生日わかったんですか?」
はまこめ2
(無言)

 
lig02

はまこめ2
「じゃパスワードを探します。とりあえずそれっぽいキーワードを組み合わせて、数万通りのパスワードを生成してみました」
えりこめ2
「はやっ」

 
ダッシュボード-‹-できれば働かずに毎日泥酔して記憶をなくしたい-—-WordPress

はまこめ2
「あ、当たってしまった……。ログインできました」
えりこめ2
「こわー!! あとで絶対パスワード変えます」

 
きゃぷちゃ

はまこめ2
「で、これが今のTOPですか。ログインできるともうなんでもできちゃうんですよね。なにをしようかな……」
えりこめ2
「となりで見ているとはいえ、めちゃ不安」
はまこめ2
「できました」

 
スクショット 2016-05-31 21.34.35

えりこめ2
ダッサ!!!!!

 
eriii

えりこめ2
「うわあああ……なんか増えてきた……」
はまこめ2
(無言でコーディング)
えりこめ2
「もうやめてください」

ここからスーパー反撃PRタイム

書き換え

えりこめ2
「これもし知らないうちにやられてたら、気づくまで生き恥を晒しつづけてたってことですよね。許せない。

ここからスーパー反撃PRタイムです」

はまこめ2
「おっ?」

 
ディレクトリ監視オン

えりこめ2
「実はこのブログに『ウェブアルゴス』というリアルタイム改ざん検知・復旧システムを仕込んでいます。

これをONにして……。もう一回書き込んでもらえますか?」

はまこめ2
「じゃあもうすこし動きを増やしますか……」(カタカタ)
えりこめ2
「そして更新ボタンをポチッとな」(シュッ)

 
なにも変わらない

はまこめ2
「変わらないですね」
えりこめ2
「これ変わらないんじゃなくて、サイトの改ざんを瞬時に察知して秒速で復旧しているんですよ!」

 
ウェブアルゴスアラート

えりこめ2
「しかも管理画面にアラートのログが残るんです。

黄色いのが自動で修復した時間なので、0.004秒でファイルを復元したみたいなんですが、ぜんぜん見えませんでしたね……。ちなみにまばたきの平均が0.3秒です」

はまこめ2
「はやいですね」

 
仕組み

えりこめ2
「こんなふうにずーーっとソフトウェアが監視してくれて、不正があれば復旧&メールで通知してくれるそうです」
はまこめ2
「大きな会社になると、どうしても『標的型攻撃』を仕掛けられることが多いですからね。

さっきも言ったんですが、攻撃を防ぐのはもちろん、やられたとき、いかに迅速に検知して復旧できるかも非常に重要ですね」

 
使用シーン

えりこめ2
「規模が大きいサイトほどそうですよね。

クレジットカードを扱うECサイトや、大規模SNSなんかがハッキングされた日には大変なことになりますから……」

hacker-16

えりこめ2
「ぶっちゃけヤフーにいたころと比べて、年収ってどれぐらい変わりました?」
はまこめ2
「まあ……同じぐらいですよ」
えりこめ2
「結婚してください」
はまこめ2
「既婚です」

 
 

Please Enjoy Internet.

エリー
この記事を書いた人
エリー

エディター

おすすめ記事

Recommended by