不正アクセスとは？原因やおもな手口、企業ができる6つの対策を解説

不正アクセスは年々進化しており、攻撃者はさまざまな手口でシステム内部への侵入を試みます。もし、不正アクセスを受けた場合は、社内外の情報漏洩やデータの改ざんといった深刻な被害が出る可能性があります。

そのため、各企業は十分なセキュリティ対策が必要です。

この記事では、不正アクセスの原因やおもな手口、企業ができる6つの対策を解説します。さらに、不正アクセスされたときの適切な対応方法も紹介しているので、ぜひ参考にしてください。

 

■不正アクセスとは

そもそも不正アクセスとは、アクセス権限のない者が他人のID・パスワードを利用し、情報システムの内部などに侵入する行為です。

実際に不正アクセスが起きると、情報漏洩やデータの改ざん・削除、システムの停止といった被害が出るおそれがあります。このような被害は、企業のブランドイメージや信用にも大きく影響し、損害賠償などの問題に発展するケースもあります。

インターネットは世界中の人が利用しているため、どこの国からでも不正アクセスをされる可能性があるのです。

なお不正アクセスは、平成12年2月（平成24年5月改正）に施行された「不正アクセス行為の禁止等に関する法律」により禁止されています。その名のとおり、不正アクセス行為やそれに関連する行為を取り締まる法律です。

参照：e-GOV法令検索｜不正アクセス行為禁止等に関する法律

 

■不正アクセスの90％以上はパスワードの管理体制が原因

警察庁が公表している「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、令和5年に不正アクセス禁止法違反で検挙した件数のうち、90％以上がパスワードの管理体制を原因とするものでした。

最も数値が高かったのは「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」で、42.7％です。

また同データでは、令和元年～5年までの不正アクセス行為の認知件数も公表されており、令和5年は前年に比べると3倍近くも増加しています。

企業側は不正アクセスを防ぐため、適切なセキュリティ対策が求められます。

参照：警視庁｜不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

 

■不正アクセスのおもな手口

不正アクセスの手口は日々巧妙化していますが、代表的な手口を知っておくことで被害に遭うリスクを減らせます。ここでは、不正アクセスのおもな手口を4つ紹介します。

◇システムの脆弱性を突く犯行

OSやサーバー、アプリケーション、ネットワーク機器などの脆弱性を突く犯行です。

この犯行には、検索ボックスや問い合わせフォームなどから不正なSQLコードを注入する「SQLインジェクション」や、Webサイトの入力フォームに不正なOSコマンドを注入する「OSコマンドインジェクション」などの手口があります。

ホームページの改ざんや他企業を攻撃するための踏み台として利用される、などの被害が懸念されます。

◇パスワードの解読・入手による犯行

パスワードの解読・入手によって行なわれる犯行です。

全パターンの組み合わせを試してログイン突破を狙う「ブルートフォースアタック（総当たり攻撃）」や、別の場所で盗んだパスワードリストでログインを試す「パスワードリスト攻撃」などの手口があります。

簡単なパスワードに設定していたり、複数サイトで同じパスワードを使用していたりすると、被害に遭う可能性が高まるため注意が必要です。
そのほか、スマートフォンを覗き込んでパスワードを盗むような手口もあります。

◇ウイルス感染による犯行

マルウェアのようなウイルス感染によって行なわれる犯行です。メールの添付ファイルを開封することで感染する「Emotet」や、ウイルスを感染させたあとにデータを暗号化し、身代金を要求する「ランサムウェア攻撃」などの手口があります。

取引先や顧客を装ったメールが届くこともあり、気付かずにファイルを開封するとウイルスの侵入を許してしまいます。

◇フィッシングを利用する犯行

「フィッシングを利用する犯行」は、実在する企業や公的機関などのWebサイトと酷似したものを作成し、個人情報を盗む犯行を指します。

フィッシングメールをユーザーへ送信し、添付されたURLから偽物のページに誘導。その後、パスワードやクレジットカード番号などを入力させて情報を盗みます。
過去には、不正アクセスされた企業ページが改ざんされ、一部がフィッシングサイトになっていた事例もあります。

 

■不正アクセスによる被害事例

不正アクセスはさまざまな場面で起きています。ここでは、実際に起こった不正アクセスによる被害事例を3つ紹介します。

◇不正アクセスによる金銭的被害の事例

決済サービスへの不正アクセスにより、ユーザーの電子マネーが不正利用された事件です。

犯行はパスワードリスト攻撃の可能性が高いとされていますが、システムの開発体制やリスクの管理体制が不十分であったことも、犯行を防げなかった理由と考えられています。
本事件の被害総額は4,000万円近くにもおよび、この決済サービスは3ヵ月ほどでサービス終了に至りました。

◇サイバー攻撃による事例

外部組織によるサイバー攻撃により、社内外のさまざまな情報が流出した事件です。

流出した情報は、個人情報や契約書、社内文書など多岐にわたります。外部組織からは「情報の一部を流出させた」という旨の主張があり、実際に情報の流出も確認されました。

約5億円もの身代金を支払いましたがデータは戻らず、自社の力でゼロから復旧しなければなりませんでした。

◇SNSアカウントの乗っ取りに関する事例

あるブランドのSNSアカウントが、不正アクセスによって乗っ取られた事件です。

被害に遭ったブランドは、「乗っ取られた期日以降、本アカウントを利用してこちらからダイレクトメッセージを送ることはない。もしブランドを装ったダイレクトメッセージを受信したり特定のページへ誘導されたりしても、決して開かないように」と呼びかけています。

大きな被害は確認されていないものの、アカウントの素早い復旧は困難と判断し、現在は新たなアカウントを作成しています。

 

■不正アクセスを防止！企業ができる6つの対策

 

ここでは、不正アクセスを防止するために企業ができる対策を6つ紹介します。

◇パスワードの適切な管理

簡単なパスワードは、すぐに突破されてしまいます。大文字・小文字・記号を組み合わせたり、文字数をなるべく多くしたりして、複雑なパスワードを設定するようにしましょう。自分の誕生日や名前、推測されやすいワードなどは避けてください。

また、パスワード管理の甘さは不正アクセスにつながります。「誰かに見られる状況下でパスワードを入力・設定しない」「他人にパスワードを教えない」などの意識が大切です。

◇OSやソフトウェアの更新

OSやソフトウェアの更新は、システムの脆弱性を突いた攻撃の防止に効果的です。これらの更新内容のなかには、セキュリティ上の脆弱性や問題点を解消するプログラムが含まれていることが多いため、アップデートが発表されたら早めに実行しましょう。

常に最新の状態を保つことで、不正アクセスのリスクを軽減できます。

◇多要素認証の設定

多要素認証の設定も、不正アクセス対策として企業が採り入れるべきものの一つです。多要素認証とは、知識情報・所持情報・生体情報のうち2つ以上の要素を組み合わせた認証方法を指します。

ID・パスワード（知識情報）を入力したあと、スマートフォンのSMSに送信されるコード（所持情報）の入力が求められる、などがその例です。

多要素認証を設定すれば、たとえID・パスワードが流出しても、もう1つの認証が完了しないとアクセスできないため、セキュリティ強化につながります。

◇従業員教育の実施

不正アクセスにつながる原因には、情報を含んだ端末の置き忘れや無断持ち出し、情報の不適切な管理など、人的なものも挙げられます。そのため不正アクセスを防止するには、従業員教育を実施して、一人ひとりのセキュリティ意識を高めることが大切です。

従業員教育の具体例は、以下のようなものが挙げられます。

• ●セキュリティ意識向上のための研修
• ●攻撃メール訓練の実施
• ●不正アクセスが発生した場合に想定される被害・賠償額の共有

など

◇セキュリティ対策ソフトや攻撃を検知・遮断するシステムの導入

セキュリティ対策ソフトや攻撃を検知・遮断するシステムを導入することで、自社のセキュリティをより強化できます。

セキュリティ対策ソフトには、個人情報保護や脆弱性診断などの機能が搭載されていますが、機能は製品によって異なります。さまざまな点を見比べて自社に適したものを選びましょう。

また、セキュリティの向上には攻撃を検知・遮断するシステムの導入も必要です。代表的なものには、「ファイアウォール」や「WAF」、「IDS」、「IPS」などが挙げられます。セキュリティソフト同様それぞれ役割が異なるため、自社の目的に合ったシステムの導入が必要です。

◇不要なサービスの停止

不要なサービスやアプリケーションがある場合は、停止または削除しておきましょう。動作しているサービスが多いほど侵入口も増えるため、不正アクセスのリスクが高まります。

現在利用しているサービスを一度見直し、不要なものがないかチェックしてみるのがおすすめです。

■不正アクセスされたときの適切な対応

不正アクセスの手口は年々進化しており、どれだけ対策をしても100％防げるとは言い切れません。もし不正アクセスされてしまった場合は、以下の流れで迅速に対応しましょう。

1.ネットワークの遮断・パスワードの変更

不正アクセスのおそれがある、もしくは不正アクセスが発覚したときは、該当の端末やシステムを速やかにネットワークから遮断してください。不正アクセスの被害を最小限に抑える（ほかのデータやシステムへの被害拡大を防ぐ）ためです。
有線接続の場合は、端末からLANケーブルを抜いて物理的に遮断し、無線接続の場合はWi-Fiを遮断します。

また、パスワードが盗まれるとログインできなくなる可能性があるため、重要度の高いものから優先的にパスワードを変更しましょう。

2.被害状況の確認・関係各所への報告

アクセスログやメールの履歴などを見て、被害状況を確認します。
自社にセキュリティ対策委員会などの組織が存在する場合は速やかに報告し、連携をとりながら対応していきましょう。

被害状況が確認できたら、関係各所や個人情報保護委員会へ報告します。クレジットカード番号が流出した場合はクレジットカード会社へ、銀行の口座番号が流出した場合は銀行へ、利用停止の連絡が必要です。

3.原因の調査

なぜ不正アクセスが起こったか、どこで情報が流出したかなどを調査・特定します。
原因の調べ方には、以下のような方法があります。

●ウイルススキャンを実施する
●ソフトウェアのバージョンを確認する
●業務で利用しているWebサイト・サービスで、不正アクセスの被害が出ていないかを
　確認する
●第三者がパスワードを把握できるタイミングがなかったかを調べる
など

4.復旧作業・証拠の保存

原因を特定したら、調査結果をもとに被害を受けたシステムの復旧作業を行ないます。普段から外付けハードディスクなどでデータのバックアップをとっておくと、復旧がスムーズに進みます。
再発を防止するため、対策も一緒に検討・実施しましょう。

なお、不正アクセス被害の証拠になるものは、必ず保存しておいてください。警察や弁護士などへ相談する際に必要です。
 

■不正アクセスされたら警察に相談？おもな問い合わせ先

不正アクセスの被害に遭った場合は、証拠を集めたうえで最寄りの警察署またはサイバー犯罪相談窓口に相談してください。

ただし、金銭的な被害や権利侵害が生じた場合は、弁護士へ相談します。警察はあくまでも犯罪行為を捜査する機関であり、金銭的なやり取りには介入できないためです。

不正アクセス被害を取り扱っていない弁護士もいるため、相談する際は事前に確認しましょう。

 

■不正アクセス対策には「GMOトラスト・ログイン」が有効

セキュリティを強化するには、サービスごとに異なるパスワードの設定が理想的です。しかし、どうしても管理が煩雑になり、リソースが不足している企業が多いのが現状です。不正アクセス対策にお悩みの場合は、「GMOトラスト・ログイン」をご検討ください。

「GMOトラスト・ログイン」なら、シングルサインオン機能が搭載されており、1度のログインで複数のサービスを利用できます。ほかにも、多要素認証や定期的な脆弱性診断も実施しています。

さらに2023年1月より、新たに「デバイス制限機能」が追加されました。本機能を利用すると、ユーザーの利用端末に紐づいた証明書が発行されます。それ以後、「GMOトラスト・ログイン」と連携しているサービスへのログインには、ID・パスワードだけでなく証明書も必要になるため、不正アクセスの防止に役立ちます。

詳細を知りたい方は、お気軽にお問い合わせください。

お問い合わせはこちらから

■まとめ

不正アクセスの手口は、システムの脆弱性を突くものやパスワードの解読・入手によるもの、ウイルス感染によるものなど多種多様です。手口は日々巧妙化しており、企業側は適切な対策を行なう必要があります。

万が一、不正アクセスされてしまった場合は、本記事で紹介した流れで対応してください。警察や弁護士へ相談する際は証拠が必要なため、必ず保存しておきましょう。

不正アクセスのリスクが心配、従業員のパスワード管理が大変、という方は「GMOトラスト・ログイン」の導入をご検討ください。