ハッカーとクラッカーって何が違う?ホワイトハッカーやブラックハッカーとは?それぞれの役割や特徴を分かりやすく解説します!
『ハッカー』という言葉を一度は聞いたことがある人も多いでしょう。しかし、その意味は文脈や話し手によって異なる場合があり、誤解されがちです。この記事では、ハッカーという言葉の本来の定義に加え、クラッカーやホワイトハッカー、ブラックハッカーといった関連用語についても説明します。
ハッカーとは
「ハッカー」という言葉は本来、コンピューターやネットワークの分野で高度な知識や技術を持つ人を指すものだった。その語源である「Hack」は「斧で切りつける」といった意味から派生し、エンジニアの世界では「手早く目標を達成する作業」や「最小限の労力で最大限の成果を生むこと」を表す言葉として使われるようになった。「効率化の〇つのハック」といった表現に馴染みのある人も多いだろう。この場合、ハックは「達人の技や工夫」といったニュアンスで使われている。もともと「ハッカー」という言葉は称賛を込めて使われていたが、一部のハッカーが不正アクセスやデータ窃盗、マルウェア拡散などの悪事に手を染めたことで、次第に「攻撃者」としてのイメージが強まった。これをメディアが報じたことで、ハッカー=悪意ある行為者という誤解が定着してしまったのだ。
ホワイトハッカーとブラックハッカー、クラッカーの違い
近年では「ハッカー」を一括りにせず、ホワイトハッカーとブラックハッカーに分類して扱うケースが増えている。ホワイトハッカーは「正義のハッカー」を意味し、正式名称はそれぞれホワイトハットハッカー、ブラックハットハッカーである。「ハット」という言葉が付くのは、映画などで「ブラックハット」が悪役を示すことに由来しており、対照的に「ホワイトハット」は正義の象徴として使われている。これに類する言葉として、「ホワイトナイト(正義の騎士)」なども挙げられる。海外では「ハット」を含めて呼ばれるのが一般的だが、日本では省略されることが多い。ホワイトハッカーは善意に基づき技術を活用する人々を指すのに対し、ブラックハッカーはその技術を不正行為に利用する人々を指す。また、以前は「ハッカー=ブラックハッカー」という認識が主流だったが、近年ではホワイトハッカーを「ハッカー」と呼び、不正を働く者を「クラッカー」と区別する動きも見られる。本記事では「ハッカー」を総称として使用し、必要に応じてホワイトハッカーとブラックハッカーを区別する形で説明する。
ハッカーが使う主なハッキング(クラッキング)手法
WebブラウザーがIDやパスワードなどの認証情報を保存し、必要な時に自動的に呼び出すため、毎回入力する手間が省け、ログインがスムーズに行えます。
2)ECサイトにおける利便性向上
ログイン情報に加え、クレジットカード情報などを保存することで、購入時の手続きが簡便になります。また、気になる商品を「お気に入り」に追加したり、ショッピングカートに入れたままにしておけば、後日改めて購入することもできます。ECサイトは、こうした利便性を提供するためにさまざまな工夫をしています。
3)ユーザーごとのコンテンツ表示最適化
Cookieを使ってWebページの閲覧情報を保存することで、関連ページの表示や、コンテンツのカスタマイズが可能になります。例えば、特定のブランドの洋服を見たユーザーに対して、そのブランドの他の商品をおすすめとして表示することができます。
4)広告配信システムにおける適切なターゲティング
ookieは広告配信にも利用されます。ユーザーのWebサイトの閲覧履歴を基に、関心がありそうな商品を広告として表示する方法が一般的です。また、広告の表示回数に応じて、内容を変更することも行われています。
Cookieの仕組み
Cookieの仕組みは、最初にWebサイトにアクセスした際に、Webサーバー内でCookieが生成されて発行されることから始まります。その後、発行されたCookieはユーザーのWebブラウザーが受け取り、ブラウザー内に保存されます。次回以降にWebサイトを訪れると、端末に保存されたCookieの情報がWebサーバーに送信され、セッションIDに基づいて、ログイン情報や閲覧履歴の管理が行われます。
Cookieの種類
Cookieは「ファーストパーティー」と「セカンドパーティー」、「サードパーティー」という3つに分類される。この違いは主にCookieを発行するドメインによります。
1)ファーストパーティーCookie
Cookieの仕組みは、最初にWebサイトにアクセスした際に、Webサーバー内でCookieが生成されて発行されることから始まります。その後、発行されたCookieはユーザーのWebブラウザーが受け取り、ブラウザー内に保存されます。次回以降にWebサイトを訪れると、端末に保存されたCookieの情報がWebサーバーに送信され、セッションIDに基づいて、ログイン情報や閲覧履歴の管理が行われます。
2)セカンドパーティーCookie
セカンドパーティーCookieは、他社のドメインが発行したファーストパーティーCookieで、Webサイトの運営者とは異なる事業者が所有しています。このCookieに基づくデータはセカンドパーティデータと呼ばれ、時には匿名化されて売買され、Webサイトのコンテンツ最適化などに利用されます。
3)サードパーティーCookie
サードパーティーCookieは、閲覧しているWebサイトのドメイン以外の第三者が発行するCookieで、例えば広告配信用サーバーが発行するCookieがその一例です。このCookieを使うことにより、異なるドメインをまたいでユーザーの行動を追跡することができます。
Cookieのデメリットや注意点
Cookieのデメリットや注意点について、以下の3つに分けて解説する。
1)プライバシー侵害
Cookieは、ユーザーと企業双方にとって便利なツールです。しかし、過度なユーザー行動の追跡がプライバシーの侵害として問題視されています。2018年に欧州で施行されたGDPR(EU一般データ保護規則)では、Cookieも個人情報として扱われ、発行・取得の際に同意を得ることが義務化されました。GDPRに違反すると企業や組織には巨額の罰金が科されることになります。実際、2022年2月にフランス当局はグーグルに対して1億5千万ユーロの罰金を課しました。こうした背景を受け、Chromeなど主要WebブラウザーはCookieの使用を廃止することを発表しました。最初は2023年を予定していましたが、2024年後半から段階的に廃止を始めることになりました。
2)個人情報漏えいや不正アクセス
Cookieには、Webサイトの閲覧履歴に加え、認証情報などの個人情報も保存されています。これらの情報はセッションIDと関連付けられ、Webサーバー側で管理されています。そのため、Cookie情報が漏洩すると、セッションハイジャックが発生する可能性があります。セッションハイジャックが起こると、ネットバンキングの不正利用など、深刻な被害が発生するリスクがあります。
3)Cookie削除によるトラブル
Cookieの利用にはリスクがあるものの、すべてを削除するとWebサービスの利便性が大幅に損なわれます。たとえば、ログイン画面でユーザーIDが表示されなくなったり、ECサイトでカートに保存する機能が使えなくなったりします。また、オンラインオフィスソフトにおいても、入力した内容の一時的な保存ができなくなります。多くのアプリやソフトウェアでCookieは重要な役割を果たしており、便利に使われていることを考慮しなければなりません。
Cookieのデメリットを認識した上で適切な対策を
Webサイト、Webサービスの利便性を最大限享受するためにも、Cookieのデメリット、リスクを認識した上で、適切な対策を講じるようにしたい。
1)Webブラウザーでのプライバシー設定
WebブラウザーにはCookieなどのプライバシー設定機能が搭載されています。例えば、Chromeでは「設定」メニューから「プライバシーとセキュリティ」を選ぶことで、Cookieの受け入れ具合を調整することができます。
2)端末でのプライバシー設定
スマートフォン(以下、スマホ)のプライバシー設定を変更することで、過度なトラッキングを抑えることができます。iOS 14.5以降、アプリやWebサイトを通じてユーザー行動がトラッキングされる場合には、「確認画面」が表示されるようになりました。また、後から一括でトラッキングの許可設定を行うことや、アプリごとに個別設定することも可能です。
3)紛失や盗難に備えた端末のロック
ノートパソコンやスマートフォンを利用する際には、紛失や盗難のリスクがつきものです。万が一、盗まれた場合にCookieが保存されていると、ネットバンキングなどに不正アクセスされる危険性があります。そのため、端末には必ずロックを設定しておくことが重要です。
4)セキュリティソフトの導入
インターネットを安全に利用するためには、セキュリティソフトの導入が不可欠です。たとえプライバシー設定をしていたとしても、端末自体がセキュリティ侵害を受ければ、Cookie情報が漏れる可能性が高く、なりすましによる詐欺被害などに巻き込まれるリスクも増大します。紹介した対策はどれも難しいものではないので、実情に応じてできる範囲から取り組んでみてください。
