スクリプトキディ (Script kiddie)とは？クラッカーとの違いは？例を出しながら解説します

みなさんスクリプトキディ (Script kiddie)という言葉を聞いたことがありますでしょうか？
このページでは、以下のようなことを説明させていただきますので参考にしてみてください。

スクリプトキディ (Script kiddie)とは何か

スクリプトキディ (Script kiddie)とは何かについ説明します。
スクリプトキディ (Script kiddie)とは他人が作ったプログラム・スクリプト・ツールなどを使い第三者のシステムに対して攻撃を行う人のことを言います。

ハッカー、クラッカーとの違い

ハッカー、クラッカー、スクリプトキディ (Script kiddie)の違いについて説明させていただきます。
ただしこのあたりは明確な違いは明らかにされておらず、ニュアンスの違いとなります。

・ハッカー・・・コンピューターに対して高度な技術をもつ技術者。必ずしも悪い意味で使われるわけではない（ホワイトハッカーなど）
・クラッカー・・・悪意をもってコンピューターにアクセスしたり、改ざんする行為を行う人。
・スクリプトキディ (Script kiddie)・・・クラッカーと同じようなことを行うが、他人の作ったプログラム・スクリプト・ツールを
使うため技術レベルは低い。いたずらや興味本位で行う人も多い。

スクリプトキディ (Script kiddie)の語源

スクリプトキディ (Script kiddie)の語源について説明させていただきます。
スクリプトキディ (Script kiddie）の語源は「スクリプト(Script）」＋「子供（kiddy）」を掛け合わせたものと言われています。
本職のハッカーであれば他人の作ったスクリプトを使う、ということはないので程度の低いハッカーが遊んでいる、というような揶揄の意味を込めて使われることが多いようです。
（とはいえ一般の方からすれば対策する知識がないので充分脅威なのですが）

スクリプトキディ (Script kiddie)が増えた背景

スクリプトキディ (Script kiddie)が増えた背景について説明させていただきます。
スクリプトキディ (Script kiddie)は1990年代以降のインターネット黎明期あたりに増えました。
当日のITはセキュリティーが信じられないほど脆弱な環境で運用されていることが多く、プログラミングの知識がそこまで高くなくとも簡単に企業・個人情報にアクセスすることが可能でした。

また、クラッカーに憧れる若者がアメリカを始め多くいたことも影響しています。
社会的な立場をもたない若者がクラッカーの技術を使うことで承認欲求やある種の快楽をみたすことができるためクラッカーは急増しました。
それに伴いスクリプトキディ (Script kiddie)も増えてきたということになります。

ソーシャルエンジニアリングについて

スクリプトキディ (Script kiddie)に関連する言葉としてソーシャルエンジニアリングという言葉があります。
ソーシャルエンジニアリングはパスワードや必要な重要をプログラミング・通信技術を使わずに盗み出す技術です。
いわばスクリプトキディ (Script kiddie)の真逆の手法なのですが、最近ではこういった手法も流行しています。

ソーシャルエンジニアリングの語源

ソーシャルエンジニアリングの語源はIT用語で、元々ハッキングの意味です。
プログラミング技術を使わないハッキング、というような意味でソーシャルエンジニアリングという言葉が広がっていきました。
また、ハッカーそのものには悪、という意味はありませんがソーシャルエンジニアリングは当然悪という意味が含まれています。

ソーシャルエンジニアリングとフィッシングの違い

フィッシングは偽のWEBサイトを表示させ、重要情報を盗み出すという手法です。
フィッシングはソーシャルエンジニアの中の手口の一つといってもいいでしょう。
中でもフィッシングサイトから偽の担当者や組織名を伝え、対象者から電話で重要情報を聞き出すというのは典型的なソーシャルエンジニアリングの手法と言えます。

ただし、ソーシャルエンジニアリングの中でも標的型攻撃メールは特定の企業や人がターゲットになっており、不特定多数に対して行うフィッシング詐欺とは異なる点に注意が必要です。

心理学を利用したソーシャルエンジニアリング

ソーシャルエンジニアリングは技術力を全く必要としない一方で心理学を体系だてて活用していると言われます。
具体的には心理的なハードルを下げて、普段であれば第三者に開示しないような情報を提供させる技術を使っているようです。
（オレオレ詐欺や振り込め詐欺はその一例で、極端な例です）

例えば警察・公安委員会・弁護士から情報提供を求められた場合、多くの人は心理的なハードルが下がるはずです。
それは無意識に権威性に対して逆らうことは社会的にダメなこと、と刷り込まれているからです。
心理学を利用したソーシャルエンジニアリングの使い方は多岐に渡り、人の心理の隙をついているからで対策が難しいということもその理由です。

ソーシャルエンジニアリングの具体例

ソーシャルエンジニアリングの具体例について説明させていただきます。
「電話で重要情報を聞き出す」
・・・昔からあるソーシャルエンジニアの手法です。
権威性・緊急性・親密性などを使い心理的なハードルをさげることが特徴です。

「肩越しに暗証番号などを盗み見る」
・・・古典的な方法ですが油断がなりません。
特に大手企業の場合、一つの重要なパスワード流出から大きな顧客被害に繋がるケースは少なくありません。
また、銀行・カフェ・電車などあらゆるシーンで使われることがある手法のため対策が難しい手法でもあります。

「ごみ箱をあさる」
・・・ネットワークの構成図やサーバーやルーターの設定情報など紙媒体にメモを残している場合も注意が必要です。

ソーシャルエンジニアリングと標的型攻撃メール

標的型攻撃メールは特定の企業に対して、差出人を取引先企業など信頼性のある人に偽装してメールを送ることです。
また、受信者の興味を引く件名や本文があることも特徴です。
明らかなスパムメールであれば対策できますが、取引先を偽装されるとどうしてもクリックして内容を確認せざるを得ないという心理の隙をついた手法です。

サイバーキルチェーンについて

スクリプトキディ (Script kiddie)に関連する言葉としてサイバーキルチェーンを説明させていただきます。
サイバーキルチェーンとはサイバー攻撃を段階的に行う手法です。
キルチェーンとは軍事用語として使われている言葉で、敵の攻撃の構造を破壊する切断することで自軍を守るという意味があります。
サイバーキルチェーンはいくつかの段階に分かれていますのでそれぞれについて説明させていただきます。

偵察
→標的となる組織や個人について偵察します。社内の組織図、人間関係、SNS、メール情報など調査は多岐に渡ります。

武器化
→攻撃対象を調査し終えたら攻撃のためにマルウェアなどを作成、準備します。

デリバリー
→マルウェアを添付する手配をしたり、組織のシステムに不正アクセスするための準備を行います。

エクスプロイト
→標的にマルウェアなどの攻撃ファイルを実行させます。また、不正なリンクにアクセスさせます。

インストール
→標的がインストールすることで、マルウェアに感染し、実行可能となります。

C&C
→マルウェアとC&Cサーバーの通信を可能にし、リモートで標的にアクセス可能となります。

目的の実行
→データ窃取、改ざん、データ破壊など目的の実行を行います。

ルートキットについて

スクリプトキディ (Script kiddie)に関連する言葉としてルートキットという言葉があります。
ルートキットは、コンピューターに潜伏し不正アクセスを手助けするツール群のことをいいます。
少し専門的な話になりますがマルウェアが侵入し感染しているのを隠蔽したり、他のマルウェアが侵入する手助けをするような機能を持ちます。

ちなみにルートキットは検知を逃れバックグラウンドで動作するように工夫し設計がなされているため、
検知することが難しいという特徴があります。

ルートキットの対策について

ルートキットは検知が難しいため事前に万全のセキュリティー対策を行う必要があります。
特に企業の管理者権限を狙うシステムのため、担当者の徹底した対策は必要です。
セキュリティソフトの更新・OSのアップデートをリアルタイムで行うほか、不正な添付ファイルや不正メールをクリックしないなど基礎的なセキュリティー対策を周知徹底することが必要になります。

ソニーのルートキット問題

ソニーのルートキット問題について説明させていただきます。
これはソニーBMG製CDXCP問題と言われ、アメリカソニー製のCDを作る米SunnComm Technologies製ソフトウェアに、ルートキットが含まれていた事件です。
これは2005年に起きた事件で、消費者団体が問題のCDの販売差し止めと、損害賠償を求める民事訴訟を起こしました。
最終的には和解に至りましたが、　米マサチューセッツ州検事総長のTom Reilly氏は、「企業は、ハイテク技術を使って自分の利益を守りたいなら、消費者に対して正直である必要がある」と話をしたとのことです。
ソニー側は悪意があったとはしていないものの、一般に配布するCDのマルウェアが仕込まれたということで当時大きな話題になりました。