不正アクセスとは?主なリスクと必要な対策を解説
公開日:2024年7月29日
サイバーリスク
悪意のある第三者が個人情報の取得や詐欺行為を働く目的で、不正にコンピューターに侵入する被害が増えています。不正アクセスの手口は巧妙化しているため、どのような被害が起こっているのかを把握した上で、基本的なセキュリティ対策を強化していくことが重要です。
この記事では、不正アクセスがもたらす主なリスクや被害の事例、必要な対策等を解説します。
不正アクセスとは
不正アクセスによる被害を防ぐには、基本的な意味について正しく理解しておく必要があります。近年における不正アクセスの認知件数等も踏まえて解説します。
不正アクセスの意味
不正アクセスとは、IDやパスワードによってアクセスが制限されている情報機器やサービスに対して、不正に侵入する行為をいいます。不正アクセスによって、サーバやシステムが停止してしまったり、コンピューターウイルスの感染で重要な情報が漏えいしてしまったりする被害が発生します。
被害が発生すると、日常業務に支障が出るだけでなく、取引先等も含めて大きな影響をおよぼす恐れがあるため、企業のブランドイメージの低下にもつながってしまうでしょう。インターネットは世界中のどこからでもアクセスできるため、不正行為が行われる可能性があります。
不正アクセスの動向
国家公安委員会等が公表している「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」という資料によれば、2023年の不正アクセス行為の認知件数は6,312件となっています。前年の2022年と比較をすると4,112件(約186.9%)増加しており、「インターネットバンキングでの不正送金等」が最も多くなっています。
近年ではテレワークの普及によって、職場以外の場所から業務に必要な情報にアクセスする機会が増えているため、以前よりも高度なセキュリティ対策が求められているといえるでしょう。
不正アクセスによる主な被害
不正アクセスによる被害を抑えるには、どのような被害が起こっているかを把握した上で、必要な対策を講じていくことが大切です。ここでは、主な被害について解説します。
ホームページの改ざん
ホームページが改ざんされる被害は多く発生しています。ホームページの改ざんは、官公庁や企業等に対して特定の目的を持って攻撃を仕掛ける場合と、セキュリティ対策が甘いホームページを無差別に攻撃する場合とに分けられます。
被害が起こる主な原因として、安易なパスワード設定や既知の脆弱性(ぜいじゃくせい)がそのままになっているなどのケースが見られており、基本的なセキュリティ対策を行っていなかったことが挙げられるでしょう。
重要なデータの流出
企業が保有している顧客情報等が、電子メールで外部に送信されるといった被害が起こっています。組織内で使用しているパソコンがコンピューターウイルスに感染することで起こるものであり、重要なデータが外部に流出することで大きな影響が生じる恐れがあります。
原因としてはさまざまなものがありますが、よくあるケースとしては取引先等を装って外部から送られてきたメールを開封し、コンピューターウイルスに感染することが挙げられるでしょう。
サーバやサービスの停止
外部からの不正アクセスによって、使用しているサーバやサービスが停止し、事業活動そのものに大きな影響がもたらされる場合があります。例えば、ECサイトを運営する企業が「SQLインジェクション」という手法によって、不正アクセスの被害に遭った事案が挙げられます。
SQLインジェクションは、Webサイト等の入力画面に対してデータベースを操作するプログラミング言語を入力し、不正アクセスを行う手法です。パスワードを知らなくてもログインができ、結果としてECサイトから大量の個人情報が流出するといった事案が起こっています。
サイバー攻撃の踏み台としての不正利用
不正アクセスによる被害は、攻撃を受けたパソコンだけに留まるものではなく、組織内の他のパソコンや取引先等にまで被害が及ぶ可能性があります。自社のセキュリティが脆弱なままであれば、サイバー攻撃の踏み台として利用される場合があるので注意が必要です。
自社のセキュリティ対策を強化することはもちろん、サプライチェーン等も含めた対策が必要であるといえるでしょう。
サプライチェーンが抱えるリスクや課題解決につなげるためのポイント、情報セキュリティ対策等を解説しています。
不正アクセスの被害事例
不正アクセスによる被害は増加傾向にあるため、さまざまな業界で被害の事例が報告されています。総務省の「安心してインターネットを使うために 国民のためのサイバーセキュリティサイト」で挙げられている実例を紹介します。
資料請求の情報漏えい
大手エステ会社のホームページから、資料請求のために登録された氏名、住所、年令、メールアドレス等の個人情報が3万件以上漏えいするといった事案が発生しました。被害が発生した原因は、Webサーバの初歩的な設定ミスだといわれています。
同様の事案としては、懸賞やプレゼントの応募者名簿、アンケートの情報、商品の購入者名簿等の情報漏えい事案が挙げられます。いずれのケースでも、サーバの基本的な設定ミスや脆弱性対策の不備等が原因となっている点を押さえておきましょう。
中古パソコンからのデータ漏えい
中古パソコンを購入した大学生が、市販のデータ復元ソフトを使ってハードディスクのデータを復元したところ、ある医療機関が健康保険組合等に医療費を請求するために作成した診療報酬明細書の画像データが残されていたという事案がありました。中古パソコンを廃棄する際は、データが復元できない状態にしてから処理する必要がありますが、この事案においてはデータの消去が徹底されていなかったことになります。
携帯電話やスマートフォンといったデバイスも同様に、データが復元できないようにしてから廃棄することが大切です。
公式アカウントの乗っ取り
企業の商品やサービスの紹介、情報発信のためにSNSを活用することも多いでしょう。しかし、ある有名なゆるキャラのSNSアカウントが乗っ取られ、偽アカウントが作成されるという被害が発生しています。
SNSの購読者からの指摘で問題がわかり、悪意のある第三者が不正にログインしていることが判明したため、アカウントの閉鎖という処置が取られました。当時2万人ほどいたフォロワーに影響を与える事態となりました。
ホームページの書き換え
2000年には官公庁や大手企業、学校等のホームページが相次いで改ざんされるという事案が起こりました。基本的なセキュリティ対策が不十分であったことが原因であり、悪意のある第三者からのサイバー攻撃を受ける事態になったといえます。
情報セキュリティ対策の甘さ
ウイルス対策ソフトの導入や定期的な点検を行っていた企業であっても、不正アクセスによる被害が生じています。ある企業の事案においては、電子掲示板に自社の顧客情報が流出していることが判明しました。
原因は従業員が仕事のデータを自宅に持ち帰った際に、自宅のパソコンから情報が流出したり、データを保存していたUSBメモリを紛失してしまったりした可能性が考えられています。セキュリティ対策は社内だけで完結するものではない点を押さえておく必要があるでしょう。
【関連記事】
秘密情報の取扱い等に関する社内規程の策定や、在職中の従業員・中途採用者・退職者への情報漏えい対策について解説しています。
不正アクセスへの対策
不正アクセスによる被害を防ぐには、自社の状況に応じて必要な対策を施すことが大切です。具体的な対策について解説します。
利用するサービスの確認
TelnetやFTP等のサービスは、ホームページの改ざんや不正侵入等に利用されやすいので、サービスを利用している場合は継続する必要があるかどうかを検討してみましょう。近年では、通信路の暗号化を行うSSHやSFTP等が利用されるようになってきていますが、ポリシーに応じた適切な認証方式を選び、アクセス制御を確実に行うことが大切です。
ソフトウェアを最新の状態に保つ
利用しているソフトウェアやシステムの開発元が、脆弱性の修正についてアップデートを行う場合があります。不正アクセスの被害を回避するには、利用しているシステム等を最新の状態に保つことが大事です。
開発元が公表している情報を定期的にチェックして、必要に応じてアップデートを行いましょう。
ファイアウォールやIPSの導入
外部と内部のネットワークを結ぶ箇所に導入することで、外部からの不正な侵入を防ぐことができるシステムをファイアウォールといいます。ファイアウォールを導入することで、不要な通信をブロックしたり、実際に行われた通信のやりとりを記録できたりします。
ファイアウォールを導入した後も、システムが発するセキュリティ警告等の内容をチェックして、必要な対応を行ってみましょう。
機器の適切な管理
従業員が許可なく機器の設定を変更したり、ソフトウェアをインストールしたりすることがないように、社内ルールを徹底させることが大切です。許可されていないソフトウェアをインストールすれば、管理が適切に行えないだけでなく、脆弱性に直結する場合があります。
また、モバイル端末にユーザー名やパスワード等を記憶させないことも大切です。
VPN機器の管理
テレワークの普及によって、リモートアクセスを可能にするためのVPN(Virtual Private Network、仮想プライベートネットワーク)機器の脆弱性を利用したサイバー攻撃が急増しています。VPNとは、特定のユーザーだけが利用できる仮想ネットワークを構築して、通信内容を暗号化し、通信のセキュリティ性と匿名性を高めるための技術をいいます。
VPN機器の認証情報が窃取される被害が多くなっているため、VPN機器の認証情報の定期的な変更や多要素認証(二段階認証)の設置が有効な対策だといえるでしょう。
アクセス管理の一要素である識別・認証・認可の役割と、よりセキュアな認証を実現する多要素認証について解説しています。
まとめ
セキュリティの脆弱性等が原因で不正アクセスが発生してしまうと、時として大きな影響が生じる可能性があります。ホームページの改ざんや個人情報の流出等、どのような被害が起こるのかを把握した上で、不正アクセスを回避するためのセキュリティ対策を行うことが重要です。
また、必要な対策を行った後もシステムを最新の状態に保つなど、定期的にチェックをすることが大事だといえます。