不正アクセスとは?今さら聞けない情報セキュリティの基礎と対策

不正アクセスとは、コンピューターに対する不正な侵入と、乗っ取りのことを指し、不正アクセス禁止法という法律で犯罪として取り締まられています。警察庁での認知件数は、令和元年において2,960件となっており、前年比で約2倍に増加しています。

コンピューターに対する不正な侵入の手口と被害事例、そして、対策するうえで知っておきたい基礎知識と、実際の被害事例に応じた対策のポイントについてご説明します。

不正アクセスとは?

不正アクセスは、コンピューターに対する不正な侵入と乗っ取りのことをいいます。インターネットを利用して業務を遂行する限り、不正アクセスの危険性から逃れることはできないでしょう。

企業の代表的な被害事例を、総務省の「不正アクセスによる被害と対策」からご紹介しましょう。

  • ホームページを改ざんされる。
  • サーバ内に保存されていたデータが外部に送信される。
  • サーバのシステムが破壊される。
  • サーバやサービスが停止してしまう。
  • 迷惑メールの送信や中継に利用される。
  • 他のパソコンを攻撃するための踏み台として利用される。
  • バックドアを仕掛けられ、いつでも外部から侵入できるようにされる。

企業が被害者となる場合、機器の入れ替え、営業の中断などの被害が生じます。さらに、顧客情報を盗まれるケースなどでは、企業はさらに顧客に対する謝罪・損害賠償ないし補償などの対策を講じなければならなくなることがあります。そのうえ、マスコミ対応なども含め事故の処理を誤るようなことがあると、企業イメージ・評判にも傷がつくという重大な問題に発展する可能性があります。

不正アクセスの手口

不正アクセスの手口には次のようなものがあります。

  1. 不正なログイン・アカウントの乗っ取り

    管理者しか知らないはずのIDやパスワードを乗っ取られると、コンピューターに侵入して情報を窃取されたり、インターネットバンキングからお金が引き出されたりするなどの被害がでます。
    これらの、不正なログイン・アカウント乗っ取りは、ログインの認証が1段階で済むなど、認証の仕組みの弱さにつけ込む手口です。

  2. Webサイトの脆弱性をねらう

    Webサイトにある入力フォームで不正なプログラム(コード)を実行するなどは、Webサイトの脆弱性を狙った攻撃の手口です。
    入力フォームなどはWebサービスに必須の仕組みですが、脆弱性を抱えている場合があります。

  3. マルウェアによる攻撃

    DBなどから不正に情報を抜き取ることができるマルウェア=不正な指令を実行するソフトウェアがコンピューターに侵入し、情報を窃取したり、コンピューターを稼働不能にすることがあります。メールやUSBメモリ等からマルウェアに感染することもあります。

過去5年の不正アクセス行為の認知件数の推移

「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(警察庁)
https://www.npa.go.jp/cyber/pdf/R020305_access.pdf)を加工して作成

不正アクセスで企業はいかなる被害にあったか?

不正アクセスの手口ごとに、過去に企業があった大きな被害事例をご紹介します。

  1. 不正ログイン・アカウントが乗っ取られた事例

    ・次々とパスワード情報を入力する攻撃と見られるサイバー攻撃により、チケット予約サイトのユーザーアカウントが悪意を持ったものにより乗っ取られ、不正にクレジッカード情報・個人情報約3,700件が閲覧された。

    ・企業が運営しているホームページの管理者権限を不正に入手した情報で乗っ取り、改ざん。個人情報が詐取された。

  2. Webサイトの脆弱性が狙われた事例

    ・Webサイトの脆弱性を狙ったサイバー攻撃によりオンラインショッピングサイトで利用した顧客のクレジットカード情報含む個人情報約2,000件が流出。

    ・サーバの脆弱性のために、文書転送サービスを提供していたサーバに悪意を持った者が不正侵入、約481万件以上の情報漏洩があり、サービスは停止に追い込まれた。

  3. マルウェアに攻撃された事例

    ・オンラインショッピングサイトでマルウェアを使用した攻撃を原因とする不正アクセスが生じ、約9,800件の顧客のクレジットカード情報が流出した可能性が生じた。

    ・交通機関のホームページが改ざんされ、閲覧者がウイルス感染を次々おこした。

企業への影響

クレジットカード情報流出の例では、クレジットカード情報を悪用されれば、顧客に多額の金銭的損害が生じることがあり、最終的には企業が法的に責任追及されることがあります。

文書転送サービスが終了を余儀なくされた事例では、事業が1つ消滅したということで、その企業には金銭的損害が出たと同時に、情報漏洩による顧客に対する損害賠償も可能性として考えなればならない状況が続いております。

これらは、サービス提供企業の信用や評判を損なった典型的な事例といえるでしょう。

不正アクセスの対策に困ったら?解決のヒント

そこで、不正アクセスの手口を封じる十分な対策を打つことが重要となります。

  1. 認証・パスワードを強化し、アカウント管理を徹底する

    二段階認証、生体認証と、文字列による認証を利用するなど、認証の仕組みを強化することを考えましょう。

  2. インターネットからのアクセスの制限

    多くの個人情報漏洩事故では、インターネット経由でのアクセスを遮断できれば事故が起きなかったと考えられており、インターネット経由でのサーバなどへのアクセスは、やむを得ない時のみに限定することが望ましいと考えられます。

  3. ソフトウェアを最新のものに更新する

    ソフトウェアには更新プログラムがあり、脆弱性が新たに発見された場合、更新プログラムで対応します。更新プログラムにより、ソフトウェアは最新化され、最新の攻撃に対応できるようになります。PC・サーバのOSやセキュリティソフトウェアだけでなく、アプリケーション・機器のファームウェアなども対象となる点に注意しておきましょう。

  4. 機器の構成変更やソフトウェアのインストールができない仕組みをつくる

    従業員が独自の判断で機器の構成を変更したり、PCへソフトウェアをインストールしたりすることは、不正アクセスの糸口につながる場合があります。それらの行為を禁止する社内規定を作るとともに、技術的に監視できる仕組みを作りましょう。

  5. 侵入・攻撃を早期に検知し、遮断する仕組みを導入する

    ファイアーウォール・不正侵入検知・防止システム(IPS/IDS)やWAFと呼ばれる装置・ソフトウェアを使います。
    これらの装置やソフトウェアを使うと侵入や攻撃を検知し、通信を遮断することにより、被害を最小限に食い止めることができます。

  6. 従業員に対する教育

    情報セキュリティ教育も不正アクセスを防ぐために有効な施策です。社内規則・ポリシーを遵守させるため、研修やアンケート・訓練などに定期的に参加させる仕組みを作り、従業員に対して繰り返し意識づけしていくことが有効です。

自社のIT部門の体制ではセキュリティ知識や人員に不足があるならば、外部のセキュリティコンサルタントに相談して対策を進めることも有効であると考えられます。なかでもセキュリティや脆弱性などの診断は、多くの場合、コンサルティング・サービスの入り口に位置付けられており、企業規模・予算にかかわらず手始めに導入しやすいサービスです。

また、対応策の導入にはクラウドサービスを導入するなどの方法で、設定および運用にIT部門からのサポートに大きく依存することなく導入・運用が可能な場合もありますので、ぜひ自社で実行可能な対応策を検討してみてください。

対策の組み合わせにより、不正アクセス被害の予防を

不正アクセスの手口は常に進化しており、企業の規模や業容・業態を問わず被害に遭う可能性があります。1つの対策だけに頼るのではなく、いくつもの対策を組み合わせると、悪意ある攻撃者にとってもいくつものハードルができることとなるので、攻撃しにくくなります。ぜひ取り組みを強化し、被害を未然に防ぎましょう。

SHARE