このブログでは、中小企業経営者（ＩＴ企業）が、中小企業経営者に向けて、知った気になれるＩＴネタを発信しています。課題解決の気付きに、ここで発信するネタが少しでもお役に立てれば幸いです。ＩＴをどんどん活用して、我々の手で豊かなニッポンを取り戻しましょう！！

 

　さて、11回目となる今回は、パソコンやスマホを使っていると気になってしまう「ハッキング」にフォーカスしようと思います。

 

ハッキング？　それクラッキングですよ？

　読者の皆様は、『ハッキング』と聞くと、どんなイメージを浮かべるでしょうか。

• 個人情報漏洩！？
• 不正入金！？
• パソコンを乗っ取って脅迫！？

　概ね、ネガティブなイメージが多いかと思います。

　

　それでは、『ライフハック』と聞くと、どんなイメージを浮かべるでしょうか。

• 仕事効率向上
• 賢い生活術
• アプリを効率よく使いこなす

　ライフハック自体、『生活をより豊かにするアイディア』などのように捉えられているため、概ねポジティブなイメージが多いかと思います。

 

　実はこのライフハックの『ハック』は、ハッキングの別名とされていて、基本的に同じ意味を持っています。

　

　「はい？」

 

　意味不明感が満載ですが、ハッキングとはそもそも『物凄く高度で深い知識を組み合わせて、誰にも考えつかないような方法を用いてコンピューターを制御すること』を指していました。どちらかというと、「おお、コレすげぇ！！」といったノリであり、そうした芸術的ですらある手段を用いる技術者を、畏敬の念を込めて『ハッカー』と呼んでいたのです。

　

　なので『ハッキング』とは、誰にも想像もつかない芸術的な手段でコンピューターを制御することであり、『ハッカー』とは、そうした物凄い事をやってのける技術者を畏敬の念を持って呼ぶ為の呼称、であるといえます。

 

　そもそも『ハッカー』とは、もの凄い人に与えられる名誉称号だったのです。

 

　対して、個人情報を漏洩させたり、不正入金したり、パソコンを乗っ取るような破壊的な活動を『クラッキング』と呼び、それを行う者を『クラッカー』と呼びます。

 

　ただ、こうした破壊的な活動を行う場合も、『誰にも想像もつかない芸術的な手段』が用いられることが多かった事から、クラッカー自身が自らを『ハッカー』と称する場合が多かったため、現在あるようなネガティブなイメージが先行する事となりました。

 

　自らの技術力を誇示するために、敢えてクラッキングする者も後を絶ちません。有名なコンピューターウィルスを作った技術者が、高額な報酬を得て有名企業にスカウトされるなんていう話も結構あった程です。

 

　ですので、優秀なクラッカーは難攻不落の環境攻略にしか興味がありません。その辺のフリーWiFiから誰かの非暗号化通信を盗み見したところで、なんの自慢にも実績にもならないからです。例えば、堅牢な防衛省のシステムへ侵入したり、100%感染するようなウィルスプログラムを開発しなければ、技術者は誰も「おお、コレすげぇ！！」とは称賛しませんよね。

 

　優秀なクラッカーが直接攻撃を仕掛ける対象は、以上のように『攻略する事で技術力を誇示できる場合』と、加えて『その背後に大きなお宝が眠っている場合』に限られます。

 

　ですので、中小企業のセキュリティ対策のために、大企業が採用するようなセキュリティ対策が必ずしも必要になる訳ではない、と言えるのです。数々の機密情報、大量の個人情報という宝を守る堅牢なセキュリティシステム、それを攻略してこそクラッカーにとって意味があるからです。

 

　業界の情勢を覆すような機密情報や、利用価値の高い個人情報などといった、それ単体で高額取引可能な要素がある場合は別ですが、クラッカーによる攻撃に、それほど神経質になる必要はないかと思います。殺傷能力をもつ包丁がスーパーで購入可能であるように、原理として可能ではあるものの、その発生が極めて低いリスクに高額投資する事には賛成できません。

 

　しかし、そういった投資をしているケースが数多く見られます。かつ、高額な機械を設置しただけで満足してしまい、重要な設定が一切されておらず、何もしないよりもマズイ状況となっている現場も数多く見て来ました。

 

　セキュリティは何かを入れて全部終わりではなく、その理由と意味を把握し、常に有効性を評価し続ける必要があることを意識していただきたいと思います。

 

中小企業にとってのセキュリティ対策

　多くの中小企業にとって、クラッカーによる直接攻撃リスクが低い事はご理解いただけたでしょうか。

 

　以上を踏まえると、優秀なクラッカーが我々に与える脅威は、一点攻撃ではなく、不特定多数に向けた攻撃の一択になります。例えばコンピューター・ウィルスです。なので、パソコンにセキュリティ対策ソフトを入れておくことは、非常に大切な事だといえるのですが、Windows10／11には、Microsoft謹製のセキュリティ対策ソフトが標準搭載されているので深く考える必要はないかもしれません。

 

　ここで、優秀なクラッカーは『誰にも想像もつかない芸術的な手段』を用いる事を思い出して下さい。つまり、例えセキュリティ対策ソフトを入れていたとしても、そのソフトの斜め上を行く攻撃をするウィルスであれば、無防備同然、何の意味もないと言えます。例え厳重に戸締りしても相手がどこでもドアを使って来たら、もうお手上げですよね。優秀なクラッカーは、こんな状況を作り出してしまうのです。

 

　しかし、セキュリティソフトメーカーも、Windowsを作っているMicrosoftも、ただ手をこまねいている訳ではありません。優秀なクラッカーが攻撃して来そうな、セキュリティ的な穴（セキュリティホール）がないかを常に検査し、修正を加え続けているのです。

 

　仕事の帰り際に Windows Update が始まり、１時間帰れない・・・とか、パソコンあるあるですが、この更新には、上記のような営みで発見されたセキュリティ対策が含まれていることが殆どです。ですので、更新がある場合は素直に受け入れるのが吉、なのですが、プリンタ出力できなくなったり、業務システムが動かなくなったり、様々な症状が出るのも事実。これを嫌って更新を受け入れない方も少なからずいると思われます。

 

　そうした方は、更新を適用している方よりも、ちょっと危険度が増している事を意識しておいて下さい。更新プログラムが公開されると言うことは、どこにどんな不具合があるのかを公言しているのと変わりがないので、優秀ではないクラッカーでも、それを狙った攻撃を仕掛ける事が可能となる為です。ただ、優秀ではないクラッカーの場合、脆弱性を攻撃するプログラムを作ったとしても、それを効率的に配布する事が困難になる場合が多いのも事実です。優秀なクラッカーは、通信にこっそりとプログラムを配布する仕組みを紛れ込ませて・・・なんて事ができるのですが、優秀ではないクラッカーが何かを仕掛けたとしても、直ちにセキュリティ対策ソフトに検知されるのがオチだからです。

 

　さて、脆弱性のチェックを行っているのは、何もMicrosoftだけではありません。様々な機関、個人によって徹底的にチェックされています。製品の品質向上という観点もあれば、『おお、こんな穴を見つけたぜ！！』と報告する事で、自己顕示欲を満たそうとする人まで様々です。

 

　こうした方々によって発見された脆弱性は、大体、インターネット上に公開されます。メーカーが発見したものであれば、更新プログラム提供時に公開という事もできますが、第三者によるものだと、更新適用前に脆弱性が公開されてしまう事になります。

 

　ここで、優秀ではないクラッカーが活動を開始します。彼等の多くは犯罪集団であり、クラッキングする事で営利を得ようとする輩、もしくはそれに雇われた者となるでしょう。誰にも雇われていない優秀なクラッカーは、誰も知らない脆弱性を発見して、そこを突く事に意義を感じているため、対象から外れます。

 

　脆弱性が発見されて、更新プログラムが発表されるまでの間に攻撃を仕掛けることを『ゼロデイ攻撃』と呼びます。

　

　ゼロデイ攻撃は防ぎようがありませんので、諦めるしかないような気もしますが、セキュリティ対策ソフトの多くは、『怪しい動き』を検知して動作をブロックする機能を持っている場合が殆どです。この機能によって、ある程度ゼロデイ攻撃を防ぐ事ができます。

 

　ただこの機能は、プログラムの実行状況を別のプログラムで監視する仕組みのため、パソコンの動作がどうしても重くなります。『パソコンを快適に使用しよう！！』みたいな記事で、この機能を停止する事を推奨している記事とても多いです。もしかしたら、営利目的の詐欺集団がセキュリティ低下のために公開している情報なのでは！？と思ってしまう程です。デフォルトでオンになっている機能を停止する場合は、その機能が何の意味を持っているのか、キチンと確認してからオフにすることが、セキュリティ・リスクを低減するために重要となります。

 

　また、インターネットのサイトを閲覧していて、急に

 

『あなたのパソコンが感染しました。あなたのIPアドレスは、xxx.xxx.xxx.xx です。』

 

　などと、個人情報的な情報を併記し、カウントダウンまで表示して何らかのアクションを求めてくるような状況に遭遇する場合があります。

 

　この場合は迷わず、ブラウザの「×」ボタンを押して終了して下さい。これで何も起きなければ、まず問題ありません。

 

　これも『ハッキング？』と思われがちで、『なんでセキュリティソフトで除外してくれないの？』と言う意見も多く耳にするのですが、これは『まるでウィルス感染したかのような情報を表示しているホームページ』のようなもので、技術的には何も特別な事がないため、単純にスルーされているだけです。ホームページ作成ツールを使えば、皆さんも同じような画面を作ることができると思います。

 

　ただ、そこのウェブサイトがクラッキングされて、そのホームページが埋め込まれてしまっているケースが殆どのようです。更新を怠っている wordpress などのサーバー向けソフトを経由して、クラッキングされる場合が多いようです。もし、貴社で更新を怠っているサーバー向けソフト（HP用等）がある場合は、注意して下さい。共用で使用するタイプのレンタルサーバーの場合、貴社のみならず、貴社の領域を踏み台にして、その他の会社のホームページもクラッキングされてしまうといった事が起こり得ます。

 

　最も重大なセキュリティホールは『放置』である事を認識しておいて下さい。

 

　また、貴社がしっかりメンテしていたとしても、何もしない他社が同じサーバーにいた場合、貴社の領域が汚染される場合もあると言う事です。ですのでレンタルサーバーは、その料金だけではなく、そういった要素も加味してプランを選定してください。

 

　できるだけ安くが、リスクを大幅に高める場合が多々あります。

 

　また人間は、自分が理解できない事が眼前で展開されると、ついつい、あり得ないと思いながらも、目の前の情報を受け入れてしまいがちです。

 

　映像を見て、「うわぁ！！幽霊だぁ！！」と思ってパニックになっても、冷静に見てみたら目の錯覚だった、なんてことは多々ある訳です。マジックも然りで、「うそ！！なんで！？」と物凄く不思議に思っていた事でも、種明かしを受けると、「なんだぁ・・・そんなこと？」となる訳です。

　Mr.マリックさんの超魔術のタネがバレたとき、「マリックは嘘つきだ！！」なんて言う人が沢山居たわけですが、そもそもマジックなので当たり前であって・・・、目の前で発生する事象が衝撃的すぎれば過ぎるほど、その事象が真実であると言う思い込みが強くなる事を象徴していると思います。

 

　つまり何を言いたいかと言えば、何か尋常ならざる事が発生している画面を見て、最初は驚いたとしても、先ずは冷静になりましょう、と言う事です。

 

　パソコンにはセキュリティ対策ソフト（Windowsにも標準搭載）が入っており、そうそう、何かに侵される事はありません。ですので、先ずは目の前が誤りであるのではないかと、一旦、疑って見て下さい。怪しかったら、迷わずブラウザの「×」ボタン。

 

　しかし実の所、こうした外部からの攻撃（？）よりも、先ほどあげたような、

　『詳しくは知らないけど、良さそうだから設定を変えてみた』

　が一番危険と言えます。

 

　意図せずセキュリティ関連機能をオフにしてしまって、悪質サイトから意図しないファイルがダウンロードがされてパソコンが感染、と言うパターンが私の周囲では一番多かったのです。

 

　中小企業にとって、優秀なクラッカーからの直接攻撃の可能性は皆無である事から、下記の点を徹底しておけば、とりあえずは安心して良いのではないでしょうか。

• 可能な限り更新はしておくこと
• 怪しい画面が表示されても、変なボタンを押さずにブラウザの「×」ボタン　
• 意味を知らない機能をオフにしたり、オンにしないこと
• 知らない人からのメールの添付ファイルは開かないこと

　結局は、社員それぞれの心構えが重要、と言う事になりますね。

　

　次回は、何かと問い合わせが多い『ローコード／ノーコード開発』にフォーカスを当てて行こうと思います。プログラマーが不要になるんじゃない？なんて言われているこの技術ですが、ノーコード／ローコードでこそ、プログラマーが必要不可欠になる事実をご紹介していこうと思います。

 

ここで、結論。

　ハッキングとは、

　　芸術的な手法でコンピューターを制御する事であり、

　　　犯罪の技術ではない。ただ、それを使って犯罪を犯す者は居る。

 

　如何でしたでしょうか。

　ハッキングについて、そんなにビクビクしなくても良い事が少しでも分かった気になって頂けたでしょうか。

　

　これから、このような形でＩＴネタを発信していきますので、ご愛顧のほど、よろしくお願い致します。