クラッカー／クラッキングとは？悪意ある不正侵入との見分け方【SG試験】

まず結論

クラッカーとは、悪意を持ってコンピュータやネットワークを不正に利用する攻撃者です。クラッキングとは、権限なくシステムに入り、情報の取得、改ざん、破壊などを行う行為を指します。

SG試験では「悪意をもった不正利用か」「正当な管理・監査・試験か」を切り分ける問題として出題されます。

直感的な説明

イメージとしては、

技術を「悪いこと」に使う人
システムに侵入して情報を盗む・壊す人

です。

👉 同じ技術を持っていても、
目的が悪意ならクラッカーになるのがポイントです。

定義・仕組み

公式: JVN iPedia（脆弱性対策情報）：公式: JVN iPedia（脆弱性対策情報）クラッカーの特徴を整理します。

悪意を持って攻撃する

情報の盗取（個人情報・機密情報）
システム破壊・改ざん
不正送金や詐欺

技術力はさまざま

高度な攻撃（ゼロデイ、標的型攻撃）
既知の脆弱性攻撃

👉 スクリプトキディとの違いは「目的と理解度」

目的が明確

金銭目的（最も多い）
ハクティビズム（思想的攻撃）
サイバーテロ

👉 動機とセットで出題されやすい

どんな場面で使う？

SG試験での典型パターン

パターン①：攻撃者の分類

悪意あり → クラッカー
技術者（中立） → ハッカー

👉 「悪意があるか」が最重要ポイント

パターン②：対策のレベル判断

スクリプトキディ → 基本対策で防げる
クラッカー → 多層防御・監視が必要

👉 対策の強さを判断させる問題が出やすい

クラッキングとして問われたときの切り分け

問題文に「クラッキング」と出た場合は、権限なくシステムに入り、情報の取得、改ざん、破壊などを行う悪意ある行為を選びます。

選択肢の表現	判断
権限なくシステムに入り、機密情報の取得や改ざんを行う	クラッキング
製品検証として装置の壊れにくさを確認する	品質確認・試験であり、クラッキングではない
管理者が承認された範囲で設定変更や保守を行う	正当な管理作業であり、クラッキングではない
監査人が基準と証拠に基づいて対策状況を評価する	情報セキュリティ監査であり、クラッキングではない

👉 「悪意」「不正侵入」「盗み見・破壊・改ざん」がそろっていればクラッキング、正当な管理・監査・試験ならクラッキングではありません。

現場での意味

企業の情報漏えい事件の多くはクラッカーによるもの
標的型攻撃やランサムウェアも該当

👉 「被害を出す主体」＝クラッカーと考えると理解しやすい

よくある誤解・混同

❌ ハッカー＝クラッカー

→ ⭕ ハッカーは中立、クラッカーは悪意あり

👉 SG試験ではこの違いがよく問われる

❌ 技術力が高い人＝クラッカー

→ ⭕ 判断基準は「悪意」

👉 技術ではなく目的で分類する

❌ 外部の人だけがクラッカー

→ ⭕ 内部不正でも「悪意」があれば該当

👉 不正のトライアングルと関連づけて出題されることあり

確認問題（SG試験対策）

次のうち、情報セキュリティにおけるクラッキングの説明として最も適切なものはどれか。

ア. 承認された検証計画に従って、機器やサービスの品質を確認する。
イ. 権限なくシステムへ侵入し、情報の取得や改ざんなどを行う。
ウ. 管理者が正式な変更手続に基づいて、通信制御ルールを更新する。
エ. 監査人が証拠を集め、管理策の整備・運用状況を評価する。

▶ クリックして答えと解説を見る（ここを開く）

正解：イ

解説

ア：品質確認や試験の説明です。悪意ある不正利用ではありません。
イ：正しい説明です。権限のない侵入と情報への不正な操作があるため、クラッキングです。
ウ：承認された管理作業の説明です。正当な権限と手続がある点で異なります。
エ：情報セキュリティ監査の説明です。基準と証拠に基づく評価であり、攻撃行為ではありません。

👉 判断ポイントクラッキングは「悪意をもった不正侵入・盗み見・破壊」で切り分ける。

まとめ（試験直前用）

クラッカー＝悪意を持つ攻撃者
クラッキング＝悪意をもった不正侵入・盗み見・破壊・改ざん
判断基準は「技術力」ではなく「目的」
ハッカー（中立）との違いが頻出
スクリプトキディより対策レベルは高く必要
SG試験では「悪意かどうか」で切り分ける

🔗 関連記事

🏠 情報セキュリティマネジメントトップに戻る