悪用されがちなフリーツール注意報:「ポートスキャン」編【おしえて!情報セキュリティVol.5(前編)】

おしえて!情報セキュリティ,サイバー犯罪,マルウェア,犯罪心理

LINEで送る
Pocket

これまでの【おしえて!情報セキュリティ】記事ラインナップはこちらから

前回までの記事はこちら:
「サイバー犯罪者」ってどんな人たちなの?【おしえて!情報セキュリティVol.4(前編)】
「サイバー犯罪者」の目的って何?【おしえて!情報セキュリティVol.4(後編)】

サイバー犯罪に使われるツールは、実はカンタンに入手できる?

三ツ矢 前回のお話で「パスワードを破ってスマホを覗き見」みたいな「卑近なサイバー犯罪」があるのはわかったんですが、そうは言っても相当な専門知識と技術がないと、多くのサイバー犯罪の実行は難しいと思うんですよね。
特殊なツールを自分で開発したり、闇サイトで手に入れたりしないといけなさそう。

御堂 いや、実はそうでもないんですよ。不正アクセスや通信の盗聴などに使われるフリーソフトや電子機器は、案外、すぐに手に入ってしまいます。ほんの少しの知識とWEBでの検索ができれば、誰でも買ったりダウンロードしたりして、手軽に使えてしまうんですよ。

三ツ矢 えー! そんな危ないモノ、なんで野放しにしておくんですか!

御堂 多くの場合、ツールは「合法的な使用目的」のために公開・販売されているからです。そのせいで摘発が難しかったり、または海外で開発・公開されていて日本の警察の手が及ばなかったりするんですよね。
さて、そんな今回は、「サイバー犯罪に悪用されるフリーツール」特集! 古典的でもいまだ使われている代表的なものをいくつか紹介していきますね。

不正に侵入経路を探れる「ポートスキャン」

御堂 たとえば古典的なものでは「ポートスキャン」がありますね。
まずはITの基本知識として、「ポート」って何? ってことから、ざっくりお話しましょうか。

三ツ矢 ポートは英語で「port」、意味は「港」ですよね。

御堂 その通り。では、さまざまなデータを「船」だと考えてみてください。ポートは、ネットワーク(海路)とコンピュータ(陸)の間をつなぐ「港」。「船」にはそれぞれ、着船するべき「港」が決められています。「港」では厳重な警備がなされているので、「不正な船」は入港できないのが普通です。
でも、なかにはちょっと嘘をつけば入れてしまうような、警備の手薄な「港」もあるんですね。
「不正な船」はそこに入港して、こっそり陸上(コンピュータ内)に侵入するわけです。……さあ、ここまできたら、「ポートスキャン」の出番が想像つきませんか?

三ツ矢 「ポートスキャン」の役割は、警備が手薄でカンタンに侵入できそうな「港」を探すこと?

御堂 そうです! 前にこの記事でも紹介されていたように泥棒が片っ端から家の玄関のドアを開けてみるような感じですね。ただ、これは冒頭でもお話したように、ポートスキャンを悪用する輩にとっての使用方法です。

ポートスキャンの「正しい」使用目的は……

御堂 ポートスキャンの正しい使用目的は「自分が管理するネットワークで、どのポートが空いているのか、どこに脆弱性があるのかを確認すること」。妥当性がありますよね。しかし外部、平たく言えば他人のパソコンやネットワークに対して同じことをすると、不正アクセスの準備行為として、違法性を疑われる可能性があります。

これも、家の例えで考えてみてください。出かける時、ノブをガチャっとして戸締りの確認をしますよね。
でも、わざわざご近所の家のドアを「戸締りの確認だ」といってガチャガチャするのは、目的がどうであれ不審だと思いませんか?

三ツ矢 なるほど、確かにあやしい!

WEBの世界の「空き家問題」?

御堂 では、家の例えで、おまけにもう1つ。最近、「空き家対策」を政府がすすめていますよね。
空き家は不審火や犯罪の温床になるので、なるべく減らしていきましょう、ってやつです。WEBの世界でも今、まさに同じ対策を政府がすすめているんです。

放置されてクラッカーに乗っ取られ、犯罪の温床になっているIT機器を探す目的で、このポートスキャンが用いられるかもしれない……って話があるんです。ただ、これについても「目的以前に、不正アクセスになりかねない」という問題を抱えているようですね。

三ツ矢 現実の世界でもWEBの世界でも、同じことが起きているってなんだかおもしろいような、物騒なような……。
サイバー犯罪に使われるツールやシステムの仕組みって、よくわからないものっていうイメージがあったけど、身近なものに例えたら理解できた気がします!

御堂 さて、次回に紹介するのは「キーロガー」と呼ばれる、地味だけど怖いツールです。三ツ矢さん、どんなことに使われるか、ちょっと考えておいてくださいね!

 

◆続きを読む:悪用されがちなフリーツール注意報:「キーロガー」編【おしえて!情報セキュリティVol.5(中編)】

 

組織の情報セキュリティ対策に、不安をお持ちですか?

インソースのセキュリティサービス
リスクマネジメント研修
情報セキュリティ研修(半日間)
実践型セキュリティ教育に!【標的診断】

LINEで送る
Pocket

to top