般的にサイバー攻撃と聞くと、ハッカーがインターネット経由で特定の会社のネットワークに侵入する場面を思い浮かべる事が多いと思います。映画等ではお馴染みの場面ですね。
In general, when people hear the term “cyberattack,” they often imagine
hackers breaking into a company’s network through the internet. It’s a
familiar scene in movies and such.
しかし実際にはこうしたハッキングは相当に困難である事を知る必要があります。きちんとしたネットワーク管理がなされている会社の場合、インターネットと社内LANとの接合部のルータやファイアウォールサーバには厳重にプロテクションが施されていて、侵入自体が非常に困難に設定されているのが普通です。勿論、ルータやファイアウォールサーバの管理者用パスワードを違法に入手出来れば、ルータやファイアウォールサーバの設定を勝手に変更して、外部からの侵入をしやすくする事は可能でしょう。しかしこうした設定変更は社内LAN側しか出来ないようにしてあるのが一般的ですので、たとえ管理者用パスワードを違法な手段で入手したとしても、インターネット経由でルータやファイアウォールサーバの設定を操作する事は、実はそれほど簡単な事ではないのです。
However, in reality you should know that such hacking is considerably difficult.
In companies with proper network management, the routers and firewall servers
at the junction between the Internet and the internal LAN are heavily protected,
and they are normally configured so that intrusion itself is extremely
difficult. Of course, if someone were to obtain the administrator password
for a router or firewall server by illegal means, they might be able to
change those settings and make external intrusion easier. However, because
such configuration changes are generally possible only from the internal
LAN side, even if an administrator password is obtained illegally, actually
manipulating a router’s or firewall server’s settings over the Internet
is not that simple.
もし仮に何らかの手段を用いてルータやファイアウォールサーバの防御をかいくぐって、インターネット経由で社内ネットワーク内の重要なデータを盗もうとしたり、不法なプログラムを密かにインストールしようと試みたとしても、ルータやファイアウォールサーバにはこうした違法な通信の記録が残ります。一般的なセキュリティのセオリーに従えば、こうした通信ログは、インターネット側でも社内LAN側でもない、第三のネットワークセグメント(一般的にDMZ:非武装中立地帯セグメント、と呼ばれます)を用意して、そこに配置されたハードディスクに記録するのが普通です。ログデータはインターネット側からも社内LAN側からもアクセスする事の出来ない、特別な場所(DMZ)に記録されるのです。
Even if an attacker were somehow to bypass the protections of a router
or firewall and attempt to steal important data from the internal network
or secretly install malicious software over the Internet, records of such
illicit communications remain on the router or firewall. Following common
security practice, these communication logs are usually stored on a third
network segment, not on the Internet side or the internal LAN side, commonly
prepared as a DMZ (demilitarized zone) and written to hard disks located
there. The log data is therefore recorded in a special place (the DMZ)
that cannot be accessed from either the Internet side or the internal LAN
side.
仮にハッカーがインターネット経由で社内ネットワークに侵入出来たとしても、その通信ログを消す事が出来ないとしたら、捜査に必要なデータや侵入の痕跡を残してしまう事になります。つまり捕まる可能性が格段に高くなってしまうのです。
Even if a hacker were able to break into an internal network via the Internet,
if they could not erase the communication logs they would leave behind
the data and traces of the intrusion that investigators need. In other
words, the likelihood of being caught would increase dramatically.
インターネット側から社内LANに侵入するには多くの障壁が存在しますが、社内LANに内側から物理的に接続出来れば、とても簡単に社内のサーバ群にアクセス出来てしまいます。例えば社内LANに既に接続されているPCに、USB経由で携帯電話を接続出来れば、ハッカーはセキュリティレベルの高いルータやファイアウォールサーバを経由せずとも、こうした携帯電話経由でいとも簡単に社内LANに侵入を果たす事が可能になります。こうした仕掛けは一般的に「バックドア」と呼ばれています。
There are many barriers to infiltrating an internal LAN from the Internet,
but if someone can physically connect from inside the LAN, they can very
easily access the internal servers. For example, if a mobile phone can
be connected via USB to a PC that is already on the internal LAN, an attacker
can, without passing through high-security routers or firewall servers,
use that phone to gain access to the internal network with ease. Such a
setup is commonly called a BACKDOOR.
PCに通信モジュールを接続する以外にも、ラズベリーパイ等のUNIXベースのワンボード・マイコンを社内LANに接続する事でもバックドアを設置出来ます。あなたのオフィスではMACアドレスによる接続制御を行っているでしょうか。もしこうした制御をしておらず、DHCPによるIPアドレスの自動付与を行っているのであれば、例えば会議室のテーブルの下に転がっているネットワークHUBに、違法なラズベリーパイ等のコントローラを接続するだけで、バックドアは簡単に設置出来てしまいます。
Besides connecting a communications module to a PC, a backdoor can also
be installed by connecting a UNIX-based single-board computer such as a
Raspberry-Pi to the internal LAN. Does your office use MAC address filtering
to control connections? If you do not have such controls and rely on DHCP
to assign IP addresses automatically, a backdoor can be installed simply
by plugging an unauthorized RaspberryPi-style controller into a network
hub lying under a meeting-room table, for example.
泥棒は一番守りが弱い部分から侵入を試みます。玄関に頑丈な鍵を掛けても、裏の窓が開いたままでは、そこから侵入されてしまうのです。
Burglars try to enter through the weakest point of a building’s defenses.
Even if you lock the front door with a strong lock, if the back window
is left open, they will get in through that opening.
どんなに素晴らしいファイアウォールサーバが有っても、個人個人のリテラシーが低ければ、簡単にネットワークに侵入する事が出来る事を忘れないで下さい。「このモジュールを社内のHUBに繋いでくれれば、あなたの借金を帳消しにしてあげる」といったアプローチもよく使われる手です。ハッカーはデジタル技術だけではなく、こうしたアナログ的なアプローチも使ってくる事を忘れてはなりません。
No matter how excellent a firewall server may be, if individual users have
low security literacy, the network can still be easily breached. Don’t
forget that. Approaches such as, “If you connect this module to the office
hub, I’ll cancel your debts,” are commonly used. Hackers don’t rely solely
on digital techniques; they also use these analog (social-engineering)
approaches.
WINDOWS11は、イベント毎にサウンドを再生する機能を保有しています。USBポートにデバイスを接続したり、逆にUSBポートからデバイスを外したりしたタイミングで、特定のサウンドが鳴るように全PCを設定しておくだけでも、それなりの防御になるでしょう。
Windows 11 has a feature that plays sounds for different events. Simply
configuring all PCs so that a specific sound is played whenever a device
is connected to or removed from a USB port can serve as a certain level
of defense.
結局のところ、鉄壁のセキュリティを構築することなど出来ません。つまり、あらゆる悪意あるアプローチを想定して一人一人が高いリテラシーを保つ以外に、ハッキングを防ぐ手段はないのです。
In the end, it is impossible to build impenetrable security. In other words,
there is no way to prevent hacking except for each person maintaining a
high level of security literacy and assuming every possible malicious approach.
【つづく】
「あれこれ」の目次に戻る
サイバー攻撃はネット経由とは限らない 
