ホワイトハッカーとは？ブラックハッカーとの違いを解説

ハッカーという言葉をときどき耳にするけれど、どんな人を指すのかよくわからない。もしくはハッキングってどうやってするのだろうと疑問に思いませんか？

大手企業の個人情報流出や、仮想通貨の盗難。

これらはすべてハッキングによるもので「ハッカー」と呼ばれる人たちが行っています。ただし厳密には「ハッカー」とは、こうした犯罪を犯す人ばかりを指す言葉ではありません。この記事を読むことで、ハッカーとハッキングについて詳しく知ることができます。またホワイトハッカーとブラックハッカーの違いや、役に立つ資格についても解説していきます。

ハッカーの定義

ハッカーとは「コンピュータについて優れた知識を持つ人」の総称

あなたはハッカーについてどのようなイメージを持っていますか？　

ハッカーがニュースに出るときはサイバー攻撃などの加害者として登場するので、多くの人はハッカーに対して悪いイメージを持っているでしょう。

しかし、ハッカーという言葉自体にはネガティブな意味は含まれていません。

ハッカーとは、あくまでもコンピュータ技術について深い知識を持っている人を指す言葉です。

本来、ハッカーという言葉は「プログラミングに熱中する人」「プログラミングのエキスパート」「プログラムを改善することに喜びを感じる人」など様々な意味があります。

マスコミで伝えられるような「コンピュータ技術を駆使して企業の機密情報を引き出す人」といった説明は誤用であるとされています。

最近では悪意を持ってハッキングを行う者を「クラッカー」や「ブラックハッカー」と呼び、ハッカーと区別するようになってきています。

全てのハッカーが不正を働く攻撃者というわけではない

一般的にハッカーは「不正を働く攻撃者」というイメージが強いでしょう。しかし、すべてのハッカーが不正を働くわけではありません。

確かに一部のハッカーは企業のシステムやネットワークに侵入して不正に情報を入手したり、特定の国家や政府に対するサイバー攻撃に加担したりします。

ですが、ハッカーの定義はあくまで「優れたコンピュータ技術を有する人」。

なので、ハッカーなら誰もが不正を行うということではありません。悪意のあるハッキングやサイバー攻撃から国や企業を守るハッカーもいます。

たとえば2018年1月、コインチェックの仮想通貨NEMが流出した際には、善良なハッカーたちが犯人を突き止めるために活動していました。

ホワイトハッカーとは

ホワイトハッカーとは、優れたコンピュータ技術を持つハッカーのうち、その技術を善意で利用する人たちのことを指します。善玉ハッカー、ホワイトハットハッカーとも呼ばれています。

システムにテストなどの目的で侵入する善良なハッカー

ホワイトハッカーは政府や企業にセキュリティ対策人材として雇われることもあります。サイバー攻撃を予防するため、システムに善意で侵入しテストを行ったりします。

サイバー攻撃には、ユーザーのデータを人質に身代金を要求するランサムウェア、悪意のあるSQL文を注入するSQLインジェクションなど様々なものがあります。

ホワイトハッカーはそれらの攻撃手法に精通し、セキュリティの専門家として組織を守ります。

ホワイトハッカーは世界中で必要とされている

近年、ハッキングによるサイバー攻撃が世界中で増加しており、その手法も複雑化してきています。また、日本ではサイバー攻撃が懸念される東京オリンピックを控えています。

そのため、システムを善意で守る多くのホワイトハッカーが必要とされています。日本ネットワークセキュリティ協会は「SECCON（セクコン）」という日本最大のハッカー大会を開き、ホワイトハッカーの啓蒙活動を行っています。

ホワイトハッカーとブラックハッカーの違いとは

ホワイトハッカーとブラックハッカーは、両者ともコンピュータやネットワークに精通しています。ただ自身の技術を善意で使うのか、それとも悪意で使うのかに違いがあります。

ホワイトハッカーは技術を善意で使うハッカーであり、ブラックハッカーは技術を悪用するハッカーです。

元々企業に勤めていて善意で技術を使用していたのに、その高度な技術をお金儲けや破壊活動に悪用。ブラックハッカーになってしまうこともあります。

ブラックハッカーの目的は？

なぜ、ブラックハッカーは高度な技術を利用して破壊的な活動を行うのでしょうか？　主な理由には以下のようなものがあります。

お金を得るため

これは一番わかりやすい動機でしょう。お金を儲けようとして、ハッキングに手を染めるのです。

ブラックハッカーは不正にウェブサイトにアクセスし、個人情報やクレジットカード情報を入手します。その情報を業者へ販売したり、クレジットカードを不正利用したりします。

また「ダークウェブ」と呼ばれる通常はアクセスできないサイトが存在します。ダークウェブでは武器や違法薬物などが取引されています。ブラックハッカーは入手した情報をダークウェブで売買することもあります。

2018年に流出した仮想通貨のNEMは盗難後、ハッカーによってダークウェブ上で取引されていました。

特定の国や組織を攻撃する

ブラックハッカーは、特定の国や組織を攻撃するために活動することもあります。特定の企業や団体に対するDoS攻撃やウェブサイトの改ざんなどが、代表的な例です。

またハッカーの集団「アノニマス」は、政治的アピールのためにハッキングを行います。

いたずらやいやがらせ

単にいたずらやいやがらせでハッキングを行うブラックハッカーもいます。人が困っていることを見て愉快に思ったり、面白がったりする悪質な行為です。

ブラックハッカーの手口

以下にブラックハッカーの手口をいくつか紹介します。

悪意のあるハッカーにハッキングされないためにも、彼らの手法を知っておくことはセキュリティ上大切です。

ウェブサイトの改ざん

ウェブサイトの改ざんは企業や個人のホームページに関係のない画像を設置したり、文章を書き換えたりする行為です。攻撃を受けた企業はブランドイメージが低下するというダメージを受けます。

また、サイトの見た目を変えることなくスクリプトを改ざんするタイプの攻撃もあります。この攻撃ではシステムに対して有害な動作をするマルウェアに感染する危険性があります。

ブラックハッカーはウェブサイトの脆弱性を突いて侵入し、ファイルを書き換えることで改ざんを行います。

サイトの改ざんを防止するには、WAF（ウェブアプリケーション・ファイアウォール）と呼ばれるセキュリティ対策ソフトウェアを導入するなどして不正侵入を防ぐことが大切です。

サーバーを停止させる

サーバーは企業において様々な業務を支えています。サーバーが停止してしまうと、業務に支障をきたすのみならず、ショッピングサイトなどを運営している場合は顧客にも被害がおよびます。

サーバーを停止させる手法はDoS攻撃と呼ばれます。DoS攻撃は大量のリクエストを送るなどしてサーバーに過剰な負荷をかけて停止させます。

サーバーを停止させた事例としては、2015年に起きたウクライナの電力停止事件があります。ブラックハッカーはマルウェアを使って電力会社のシステムをダウンさせ、同時にDoS攻撃を行ってコールセンターを停止させました。

DoS攻撃に対する対策としては「同じIPからのリクエスト回数を制限する」「大量のトラフィックに耐えうるサーバーを用意する」といったことが挙げられます。

フィッシング

フィッシングは金融機関などからのメールであるように装って偽のサイトに誘導し、パスワードやクレジットカード番号を盗み出し、それらの情報を不正に利用する詐欺のことです。

対策としては「金融機関のサイトを利用する際にはURLを自身で直接入力する」。またSSLという暗号化技術が利用されているか確認するなどといった方法があります。日頃からセキュリティに対する意識を高めておくことも大切です。 

ホワイトハッカーの資格

ホワイトハッカーになるための資格は存在しませんが、取得することでホワイトハッカーとしての知識が身につくものがあります。

CEH（Certified Ethical Hacker：認定ホワイトハッカー）

CEHは米国EC-Council社が提供する国際的な資格。アメリカで人気がある情報セキュリティの資格の一つです。

ブラックハッカーに対抗するには、ブラックハッカーのように考える必要があるとの考えから、実践的なコースが設計されています。ブラックハッカーの攻撃手法を学び、攻撃者の視点からハッキングを理解することで、セキュリティ技術を高めていきます。

マルウェア、スニッフィング、SQLインジェクション、暗号技術など18のモジュールが用意されており、最新のセキュリティ技術を習得することができます。 

参考：EC-Council　

情報処理安全確保支援士（国家資格）

情報処理安全確保支援士は、従来の「情報セキュリティスペシャリスト試験」の後継に当たる資格で、IPA（情報処理推進機構）が試験を実施しています。

情報セキュリティに関する実践的な技能を有することを証明する資格であり、情報セキュリティに関する資格としては国内最難関となっています。

試験に合格して登録することで、情報処理安全確保支援士と名乗ることができるようになります。現在、どこの企業でもセキュリティ対策は重要事項なので、この資格を持っていると就職が有利になることでしょう。

参考：IPA　

ホワイトハッカーの育成機関

サイバーセキュリティ人材を育成する機関として、平成29年に総務省の予算成立を受け「ナショナルサイバートレーニングセンター」が設置されました。

ナショナルサイバートレーニングセンターでは、国の行政機関などを対象としてサイバー防御演習を行う「CYDER」、2020年の東京オリンピックを想定してサイバー演習を行う「サイバーコロッセオ」、若年層を対象にセキュリティ技術を指導する「SecHack365」という3つの事業を行っています。

「SecHack365」では、25歳以下の社会人や学生が公募で集められ、サイバーセキュリティに関する開発・研究・実験・発表が一年を通して行われます。

参加者は自ら開発したプログラムを発表したり、一流の研究者や技術者と交流する中で、セキュリティに関する技術を磨いていきます。

参考：ナショナルサイバートレーニングセンター　

まとめ

以上、ハッカーの定義、ホワイトハッカーとブラックハッカーの違い、ハッキングの手法、資格などについて解説してきました。ハッカーについて理解を深めて頂けましたでしょうか？

ハッカーは高度な技術を有しており、現在の社会に必要とされている存在です。しかし、その技術を悪用してしまえば、ブラックハッカーとなり社会に破壊的なダメージを与えます。

高度な技術を習得できる才能がある人には、ぜひ善意のホワイトハッカーになってほしいと願います。

↑目次へ戻る