目 次
不正アクセスとは
近年の不正アクセス事件の動向
国内の不正アクセスによるセキュリティ被害の事例
不正アクセスの主な原因と犯行手口
不正アクセスに有効な7つの対策
不正アクセス対策ならLANSCOPE プロフェッショナルサービスにお任せ
まとめ
サイバー攻撃の「不正アクセス」とは、悪意ある第三者が個人情報の取得や詐欺を目的に、不正にコンピュータに侵入する、あるいはIDやパスワードを悪用する等の行為を指します。
不正アクセスにより、個人情報を含むデータの流出やシステムやサーバーの停止、Webサイトの改ざんといった事件が起こってしまった場合、その被害や影響は計り知れません。金銭的な被害はもとより、顧客や取引先からの信頼および企業イメージも大きく損なわれる懸念があります。
この記事では、不正アクセスによる近年の被害事例や具体的な手口をご紹介した上で、「不正アクセスに有効な7つの対策」について解説します。
▼この記事でわかること
- 不正アクセスの概要・どんな被害が想定されるか
- 不正アクセスの近年の動向・発生件数
- 不正アクセスに、どんな手口が使われるか
- 不正アクセスの被害事例
- 有効な不正アクセス対策やセキュリティソリューション
不正アクセスとは
不正アクセスとは、アクセス権限のない第三者がデバイスやサーバーに不正にログインをし、情報システム内部などへ侵入して、さまざまな被害をもたらすサイバー攻撃のことです。
不正アクセスを受けてしまうと
- 機密データや個人情報の漏洩
- 重要なデータ・ファイルの消去や搾取
- データの暗号化や、それに伴う身代金の要求(ランサムウェア攻撃)
といった被害を受けるリスクがあります。
また不正アクセス被害では、一度侵入した悪意ある第三者が、その後いつでも侵入できるよう、外部通信用のサーバーを内部に設置する「バックドア(裏口)」という手口が良く見受けられます。
バックドアが設置されてしまうと、悪意ある第三者が何度でも容易にシステム内部へ侵入できてしまうため、不正アクセス被害が拡大しやすくなってしまいます。
不正アクセスによるセキュリティ被害の例
不正アクセスによる被害の一例として、具体的には以下のようなものがあります。
- Webサイトの改ざん
- 顧客情報の流出
- ウイルス感染
- システム・サービス停止
- 身代金の要求
例えば、不正アクセスにより企業のwebサイトが改ざんされることで「不適切な情報を発信してしまう」「サイト訪問時にウイルスに感染する」「カード情報を盗まれる」などの被害に遭うことが想定されます。
また顧客情報や会社の機密データが流出してしまうと、刑事罰の罰金や顧客への損害賠償の支払い、またシステム復旧や原因調査・顧客対応コストなどを負担しなくてはなりません。社会的な信用や企業イメージが損なわれる、あるいは顧客離れを招くなど、金銭面以外でのダメージも甚大です。
ランサムウェア攻撃による身代金の要求
不正アクセスによりファイルを暗号化したり、顧客情報などのデータを盗み取ったりすることで、データの身代金を要求する「ランサムウェア攻撃」も猛威をふるっています。ランサムウェア攻撃では、暗号化したファイルの解除や、盗んだデータを公開・拡散・売買しないことと引き換えに、巨額の身代金を要求されます。
国内でも悪質なランサムウェア事件が後を絶たず、2020年には大手ゲーム会社にて、VPN機器の脆弱性を狙った、不正アクセスによるランサムウェア被害が発生しています。
顧客情報を含む相当量のデータを盗まれ、社内システムのファイルが暗号化されてしまいました。サイバー犯罪集団の「Ragnar Locker」を名乗る組織からの攻撃で、企業側は11億円を超える身代金を要求されたものの、支払いを拒否したと言われています。
近年の不正アクセス事件の動向
深刻な不正アクセス被害が相次いだことにより、以前に比べてセキュリティ対策を講じる企業も増えてきました。しかし、不正アクセスの手口は年々巧妙化・悪質化しています。近年の不正アクセス事件の動向として、発生件数や犯行の傾向について見ていきましょう。
不正アクセス行為の犯行数はやや増加傾向に
警察庁の報告によると、2022年度に報告された不正アクセス行為の発生状況は「2,200件」であり、前年(令和3年)と比べ、前年の1,516件とくらべ684件(約45.1%)増加しています。
引用:警察庁│不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
ただし、2019年は2,960件・2020年は2,806件の不正アクセスが報告されているなど、令和4年の件数を上回る数値が報告されています。
テレワーク普及により、クラウドサービスを狙った不正アクセスも
不正アクセスの犯行傾向として、近年はクラウドサービスを狙った犯行も増加しています。テレワークが広く普及したことにより、従来のクローズドなネットワーク環境から、クラウドサービスなど外部ネットワークを利用するサービスのニーズが高まったためです。
クラウド環境の導入が進んだことで、
- 社外の第三者によるクラウドサービスへの不正アクセス
- 意図せぬユーザー招待やファイル共有
といった、クラウドサービス独自のセキュリティリスクへの対策が、企業に求められています。
国内の不正アクセスによるセキュリティ被害の事例
日本国内の企業においても、不正アクセスによるセキュリティ被害は後を絶ちません。実際の被害実例として、2022年3月に起きた大手製菓メーカーの事例をご紹介します。
| 企業 | 製菓メーカー |
|---|---|
| 被害時期 | 2022年3月 |
| 攻撃の手口 | 不正アクセス |
| 被害内容 | ネットワーク機器の脆弱性を悪用した不正アクセスにより、顧客情報約164万人分の流出が疑われた。 |
同社はこの不正アクセスにより、製造に関係するシステムが一時停止して生産に影響が出たほか、顧客164万人超の個人情報が流出した可能性があるとし、対応に追われました。侵入経路には、同社がインターネット回線に設置していたネットワーク機器の脆弱性を悪用されたとのことです。
同社が管理運用する複数のサーバーにて障害が発生し、原因を調査したところ、第三者からの不正アクセスの痕跡があったことが発覚。同社では被害の拡大を防ぐため、外部ネットワークとの遮断を行い問題の解決にあたりました。
個人情報にクレジットカード情報は含まれてはいなかったものの、最大164万人8,922人分の顧客氏名・住所・電話番号などの流出が疑われるなど、大規模なセキュリティ事故へと発展。同社では当該のインターネット回線を完全に遮断し、さらなる不正アクセスが起きないよう対策を行いました。
不正アクセスの主な原因と犯行手口
不正アクセスの犯行手口は、主に下記2つに分けられます。
- 識別符号窃用型
- セキュリティ・ホール攻撃型
| 識別符号窃用型 | 他人の識別符号(正規の利用者であると識別するためのIDやパスワードなど)を使って、不正アクセスする手口 |
|---|---|
| セキュリティ・ホール攻撃型 | プログラミングのミスや不具合などで生じた、セキュリティ上の穴を狙ってサイバー攻撃を仕掛け、不正アクセスをする手口 |
警察庁の報告した「不正アクセス行為の検挙状況」によると、2022年に検挙された不正アクセス行為のうち、90%以上が識別符号窃用型による犯行に該当します。
引用:警察庁│不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
また、識別符号窃用型の不正アクセスにおける「手口の内訳」を見ると「管理の甘さにつけ込んで入手(230件)」が最多、次いで「識別符号を知り得る立場にあった元従業員や知人等による犯行(41件)」が続く結果となりました。
引用:警察庁│不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
上記の結果より、不正アクセスを防止する基本的な対策として「IDやパスワードの管理」「厳重なパスワード設定」「パスワードだけに頼らないログイン方法の導入(多要素認証など)」等の実施が重要であることが伺えます。
不正アクセスにはどんな手口と攻撃種類がある?
続けて、不正アクセスの主な犯行手口について、より具体的に解説します。
▼不正アクセスの主な手口
- システムやネットワークの脆弱性を狙った不正アクセス
- ウイルスを利用した不正アクセス
- パスワード解読による不正アクセス
- フィッシングによる不正アクセス
- クラウドの設定不備による不正アクセス
- ソーシャルエンジニアリングによる不正アクセス
システムやネットワークの脆弱性を狙った不正アクセス
システムやネットワーク、アプリケーションにて、脆弱性やセキュリティホールを狙って攻撃を仕掛ける不正アクセス方法です。ソフトウェアにて、最新のバージョンやセキュリティパッチの更新をせず、脆弱性を放置することでリスクが高まります。
攻撃例としては、Webサイトに設置された問い合わせフォームや、ログインパスワードの入力欄に不正なSQL文を入力することで、攻撃を仕掛ける「SQLインジェクション」などがあります。
ウイルスを利用した不正アクセス
マルウェア等ウイルスに感染させることで、システムやネットワークに侵入する不正アクセス方法です。マルウェアとは、デバイスやネットワークに不正な動作をさせるべく作成された、悪意あるソフトウェアやプログラムの総称です。
代表的なものとして、ファイルを暗号化して身代金を要求する「ランサムウェア攻撃」、メールを感染源とする「Emotet(エモテット)」などが有名です。
パスワード解読による不正アクセス
ユーザーのパスワードを解読することにより、他人の識別符号で不正アクセスを行う方法です。
想定されるすべてのパターンを、総当たりで試してパスワードを割り出す「ブルートフォース攻撃」や、辞書に載っている単語などを組み合わせてパスワードを割り出す「ディクショナリーアタック」などがあります。
フィッシングによる不正アクセス
有名企業や行政機関などを装い、偽のWebページにログインなどをさせることで、IDやパスワードを盗んで不正アクセスを行う方法です。送信者や運用者を偽った詐欺メールや詐欺SMS・偽のWebサイトは、本物に酷似したつくりとなっており、見分けることが困難です。
事例として、国税局を騙った「未払い税金のお知らせ」や、メルカリ・大手キャリア等を語りメールやSMSを開封させるなど、多種多様なフィッシングが行われています。
引用:フィッシング詐欺協議会│ソフトバンクをかたるフィッシング (2022/12/01)
クラウドの設定不備による不正アクセス
AWSや Microsoft 365 、Google Cloud など、各種クラウドサービスの設定不備に起因する不正アクセスも、近年のクラウド利用の増加に伴い注目されています。クラウドサービスの設定を誤ることで
- アクセス権限設定のミスで機密データが外部ユーザーに搾取・改ざんされる
- 簡易パスワードや初期設定のパスワード利用により、アカウントを乗っ取られ不正アクセスされる
といったリスクを伴います。
ソーシャルエンジニアリングによる不正アクセス
情報通信技術などを使わず、人の行動ミスや隙・管理体制の甘さにつけこむ、不正アクセス方法です。
- ゴミ箱に捨てられている書類や記憶媒体から、IDやパスワードを探す「トラッシング」
- 肩越しにパスワードを盗み見る「ショルダーハッキング」
- システム担当者やユーザーを装って電話でパスワードを聞き出す
などの手口があげられます。
不正アクセスに有効な7つの対策
巧妙に行われる不正アクセスを防ぐには、いくつかの対策を並行して取り入れながら、自社に最適なセキュリティ体制を構築する必要があります。
不正アクセスに有効な、7つの対策方法をご紹介します。
2.強力なパスワードの使用と定期的な変更
3.定期的なパッチ適用やセキュリティアップデート
4.高性能なアンチウイルスの導入
5.社員のセキュリティ教育
6.自社システムやサーバーの定期的な脆弱性診断/ ペネトレーションテスト
7.クラウドサービスにおける環境や設定診断
1.二段階認証や多要素認証を取り入れる
認証の回数や要素を増やすことで、セキュリティを高め、不正アクセスのリスクを軽減できます。
- 二段階認証…IDとパスワードを入れ、さらに秘密の質問に答える等、2つの段階を踏む認証方法
- 多要素認証…IDとパスワードのような知識情報、スマートフォンのSMS認証のような所持情報、顔認証のような生体情報など、複数の異なる要素を組み合わせる認証方法
2.強力なパスワードの使用と定期的な変更
予測されにくい「強力なパスワード」を設定すること、あるいは定期的な変更を行うことも、不正アクセス対策として有効です。一方で
- 効率化を踏まえパスワードを簡略化する
- 各サービスでパスワードを使いまわしする
等の行為は、不正アクセスリスクを助長するため避けるようにしましょう。
強力なパスワードをつくるコツとしては、「なるべく長い文字数にする」「大文字、小文字、数字、記号を組み合わせる」「名前や会社名など推測されやすい文字列を使わない」ことが大切です。
3.定期的なパッチ適用やセキュリティアップデート
OS、ソフトウェア、アプリケーションの脆弱性をなくすことは、セキュリティ・ホール攻撃型の不正アクセスを防ぐ上でかなり有効です。脆弱性(セキュリティの穴)をなくすためには、セキュリティパッチの適用や、セキュリティのアップデートを定期的に行いましょう。
セキュリティパッチとは、OSやソフトウェア、アプリケーションで発見された脆弱性や問題を解決するために、後付けでつくられたプログラムのことです。なお、サポート期間が終わってしまっているソフトウェアなどは、新たにセキュリティパッチの作成がされません。
サポート終了後のものは使用をせず、パッチ更新のある新しい製品を使用しましょう。
4.高性能なアンチウイルスの導入
エンドポイントへの不正アクセスを防ぐために、アンチウイルスなどのウイルス対策ソフトの導入は欠かせません。ただし、マルウェアは1日で100万個※1 が新たに生成されていると言われています。
※1 VERIZON DBIR データ漏洩/侵害調査報告書2016の調査
そのため、既知のマルウェアだけでなく、未知のマルウェアにも対応ができる高性能なアンチウイルスを導入すると、不正アクセス対策としてより有効です。
5. 社員のセキュリティ教育
外部からの攻撃や不正アクセス対策を強化するのと並行して、社員のセキュリティ教育を実施することも重要です。実際、個人情報が漏洩するインシデントの多くは、情報の管理ミスや紛失・置き忘れ、不正な情報持ち出しといった、ヒューマンエラーが要因となっています。
セキュリティ研修や、攻撃メール訓練の導入・セキュリティ担当者からの定期的な注意喚起などを行い、社員のセキュリティ意識を高める必要があります。
6. 自社システムやサーバーの定期的な脆弱性診断/ ペネトレーションテスト
日々アップデートされる不正アクセスの手口に対抗するためには、自社システムやサーバーの脆弱性を、定期的に診断することが求められます。
不正アクセスの侵入口となる「脆弱性」を探し出す手段として
- セキュリティの専門家が社内の脆弱性を調査する「脆弱性診断」
- 実際に不正アクセス等、サイバー攻撃を受けた時のシミュレーションが可能な「ペネトレーションテスト」
などがあります。ペネトレーションテストでは、現在のセキュリティ対策がどの程度有効なのかを試すことで、自社のサイバー攻撃耐性を確認することができます。
7.クラウドサービスにおける環境や設定診断
テレワークの普及に伴い、クラウドサービスの利用は欠かせないものとなりましたが、外部との接触が多い分「不正アクセスの侵入口」として狙われがちです。また、急激にクラウド化が進んだことで、アクセス権限や共有設定など、不正アクセス・情報漏洩につながる設定ミスも常習的に発生しています。
クラウド環境の不正アクセス対策であれば、利用中のクラウドサービスにて専門家が設定不備を調査する「クラウド診断」がおすすめです。
不正アクセス対策ならLANSCOPE プロフェッショナルサービスにお任せ
「LANSCOPE プロフェッショナルサービス」では、不正アクセス対策に有効な、手厚いセキュリティソリューションを提供しています。
1.不正アクセスで狙われる脆弱性に有効な「セキュリティ診断(脆弱性診断)」
1つ目にご紹介するのが、自社のネットワークやアプリケーションのセキュリティ課題を明らかにする「セキュリティ診断(脆弱性診断)サービス」です。
先述のとおり、不正アクセスの大きな要因として、自社システムやネットワークの脆弱性があげられます。LANSCOPE プロフェッショナルサービスの「脆弱性診断」を行うことで、組織のセキュリティ上の課題や欠陥を洗い出し、適切な対策を打つことが可能となります。
関連ページ:セキュリティ診断(脆弱性診断)の詳細│LANSCOPE プロフェッショナルサービス
また、万一不正アクセスを受けた際に「どの程度の被害が起きるか」「感染後、適切な対策が可能か」を明らかにできる「ペネトレーションテスト」も提供しています。
??
▼ペネトレーションテストによる疑似攻撃の例??
ペネトレーションテストでは、実際のサイバー攻撃を想定した疑似攻撃を仕掛け、現状のセキュリティレベルや課題を洗い出すことが可能です。
関連ページ:ペネトレーションテストサービスの詳細│LANSCOPE プロフェッショナルサービス
クラウドサービスの設定による不正アクセス防止
2つ目にご紹介するのが「クラウドセキュリティ診断」です。
先述の通り、近年ではクラウドサービスを悪用した「不正アクセスや情報漏洩事故」が、後を絶ちません。これら被害の原因の多くが、「アクセス権限の設定不備」や「ログイン設定の脆弱性」に起因します。
クラウドセキュリティ診断であれば、Microsoft365 やAWS・salesforce といった、ご利用中のクラウドにおける設定不備を専門スタッフが改善。正しく設定することで、不正アクセスによる被害を最小限にとどめることが可能です。
関連ページ:クラウドセキュリティ診断の詳細│LANSCOPE プロフェッショナルサービス
まとめ
今回は、サイバー攻撃の中でも代表的な「不正アクセス」に関して解説しました。
▼この記事のまとめ
- 不正アクセスとは、悪意のある第三者がデバイスやサーバーへ不正にログインし、データの改ざんや搾取・破壊など、さまざまなインシデントをもたらす手口を指す
- 不正アクセスの被害内容として「機密データの漏洩」「ウイルス感染」「システム障害・停止」「金銭の要求」などが挙げられる
- 不正アクセスの手口には「識別符号窃用型」「セキュリティ・ホール攻撃型」の2種類があり、不正アクセスの9割は、前者(他社のIDやパスワードで不正にアクセスする)が該当する
- 不正アクセスに有効な対策として、多要素認証や強力なパスワードの設定・定期的なパッチ適用やアップデートなどがある。また専門家の知見を取り入れた「脆弱性診断」や「ペネトレーションテスト」「クラウド診断」等も有効
近年のサイバーセキュリティにおいて、不正アクセス対策は欠かせない課題の1つです。
ぜひ本記事も参考に、自社に最適な対策を実施していきましょう。
