不正アクセスとは?
不正アクセスとは、本来アクセスが許されないシステムに、「情報を盗む」「データを改ざんする」などの悪意を持って不正に侵入することです。2000年2月に施行された「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」に抵触する場合は法的処罰の対象になります。
1.不正アクセス禁止法で禁止されている行為とは?
不正アクセス禁止法は、電気通信の秩序を維持して情報通信社会の健全な発展を目指す法律です。禁止されている不正アクセスとは、アクセス制限がされたシステムに通信回線を介して侵入し、制限されている行為を行うか行える状態にすることで、下記の3つが対象です。
- 他人のIDとパスワード(識別符号)を使った不正アクセス
- セキュリティ対策のぜい弱性を利用した不正アクセス
- ネットワーク上の他システムによるアクセス制限をかいくぐる不正アクセス
加えて、IDとパスワードの不正な提供や取得、保管、要求も禁じられています。
2.不正アクセスで企業が受ける被害
不正アクセスによって企業が受ける被害の代表例を以下で紹介します。
- ・サーバー内に保存された機密情報や個人情報が外部に流出する
- ・システムやデータが破壊・消去されて業務が停止する
- ・顧客や取引相手のメールアドレスにマルウェア感染したメールが送信される
- ・サーバー全体が暗号化されて身代金を要求される
不正アクセスは企業に金銭的なダメージだけでなく信用の失墜をもたらすおそれがあり、看過できません。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
不正アクセスの近年の動向・認知件数の推移
警察庁は2019年1月1日~12月31日の期間に発生した不正アクセスの状況を2020年3月に公表しました。主なポイントを以下で紹介します。
【不正アクセス行為の認知件数】
2019年の認知件数は2960件(2018年の1486件と比べて約2倍に増加)
【不正アクセス後に行われた行為の内訳】
1位:インターネットバンキングでの不正送金など(61.1%/前年の約5.5倍に急増)
2位:インターネットショッピングでの不正購入(12.7%)
3位:メールの盗み見など情報の不正入手(11.1%)
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
不正アクセスの主要手口
不正アクセスの主な手口を4点紹介します。
1.不正ログイン・アカウントの乗っ取り
もっともポピュラーな不正アクセスの手口は、他人のIDやパスワードを使った不正ログインやアカウントの乗っ取りです。「個人認証が弱い」「アカウント管理が甘い」といったことが原因になりやすく、管理者のアカウントが乗っ取られると事業がストップしたり機密情報が流出したりするおそれがあります。
個人情報が流出した場合は顧客への謝罪や損害賠償などの対応が必要になり、企業イメージが損なわれかねません。
2.マルウェアに感染させる手口
マルウェアと呼ばれる不正な動きをするソフトウェアを利用して、重要な情報を抜き取ったりデータを改ざんしたりする手口です。メールの添付ファイルやWebサイト、ソフトウェアなどに仕込まれたマルウェアから感染するケースや、USBメモリなどの外部媒体によって持ち込まれるケースなどがあります。
マルウェアに感染したメールを顧客などに送信すると加害者としての責任を問われる可能性も出てきます。
3.システムやWebサイトの脆弱性を狙った手口
システムやWebサイトに存在する脆弱性を利用してシステムに不正に侵入する手口です。そもそも、ソフトウェアに完全なものはなく、修正プログラムが配布されたら直ちにアップデートを実施する必要があります。アップデートを怠ると弱い部分を放置することになり、不正アクセスを許して情報を盗まれたりシステムを破壊されたりするおそれが高まります。
4.フィッシングサイトへの誘導
本物そっくりに作られた偽サイトにユーザーを誘導して、IDやパスワードの入力を促して盗み取ったり、マルウェアに感染させたりする手口です。「メールやSNSに偽サイトのURLを記載する」「企業がよく利用するサイトを偽造してアクセスを待つ」などの方法があります。
管理者のIDやパスワードが流出すると、業務が止まったり重要な情報が流出したりする可能性が高まり、企業の死活問題にもなりかねません。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
【2020年】不正アクセスの被害事例
ここでは、2020年に発生した不正アクセスの被害事例を4つ紹介します。
1.「三越伊勢丹オンラインストア/エムアイカード」の事例
「三越伊勢丹オンラインストア」とグループ会社の「エムアイカード」のWebサイトで発生した事例です。氏名や住所、クレジットカード番号の下4桁などの会員情報が閲覧されました。
【不正アクセスの手口】
他社サービスから流出した可能性のあるIDとパスワードを利用したパスワードリスト攻撃
【被害規模】
約5万4,000人
2.「ニンテンドーネットワークID(NNID)」の事例
任天堂のアカウントサービス「ニンテンドーネットワークID(NNID)」および連携する「ニンテンドーアカウント」で発生した事例です。クレジットカード情報を含む会員情報が不正に閲覧され、不正購入も確認されました。
【不正アクセスの手口】
他社サービスから流出した可能性のあるNNIDを利用したパスワードリスト攻撃
【被害規模】
約16万アカウント
3.動画配信サービス「Hulu」の事例
動画配信サービス「Hulu」で発生した事例です。アカウントを不正利用した動画視聴や氏名や住所、メールアドレスなどの会員情報漏えいが疑われます。
【不正アクセスの手口】
他社サービスから流出した可能性のあるアカウントを利用したパスワードリスト攻撃
【被害規模】
約800アカウント
4.「カメラのキタムラ」オンラインショップの事例
「カメラのキタムラ」のオンラインショップで発生した事例です。大量の不正ログインとポイントを利用した不正注文が確認されました。
【不正アクセスの手口】
他社サービスから流出した可能性のあるメールアドレスとパスワードを利用したパスワードリスト攻撃
【被害規模】
約40万件
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
不正アクセスがないかチェックする方法
不正アクセスがないかチェックする方法について解説します。
1.セキュリティソフトでマルウェア感染を調べる
セキュリティソフト(ウイルス対策ソフト)を導入していれば、マルウェア感染の有無を確認できます。駆除も可能で早めに対処すれば2次被害を最小限にできますが、修正プログラムが開発されていない新種のマルウェアは防げません。
2.ログイン履歴を確認する
自社が利用しているシステムやクラウドサービスがログイン履歴を保存している場合は、履歴から不正アクセスの有無が確認できます。定期的なチェックも大切ですが、不正なログインがあれば直ちに検知できる仕組みを導入しておくとより安心です。
3.ソフトウェアの使用履歴をチェックする
定期的にソフトウェアの使用履歴を調べて、不正な起動ログや操作ログがないか確認しましょう。見覚えがない不審なソフトウェアがインストールされている場合は、不正アクセスが疑われます。従業員が自分の判断でソフトウェアを利用するシャドーITを容認するとセキュリティリスクが上がるため、注意が必要です。
4.メールの送受信履歴を確認する
メールの送受信履歴を調べて不審なメールがないか確認しましょう。作成していないメールを送信した履歴がある場合は、マルウェアに感染している可能性があります。「添付ファイルを不用意に開かない」「記載されたURLはクリックする前に確認する」などのルールを作って社内で共有しましょう。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
不正アクセスの被害に遭ったときに取るべき措置
不正アクセスの被害に遭ったときの対処方法について解説します。慌てずにそれぞれの措置を確実に実行しましょう。
1.被害を受けたサーバー・端末をネットワークから遮断する
不正アクセスの対象になったサーバーや端末をネットワークから切り離します。2次被害を防ぐために、状況にあわせて「管理者IDのパスワードを変更する」「自社サイトを閉鎖する」「メールの受信者に連絡する」などの措置を取りましょう。
2.端末や証拠(ログなど)を保存しておく
被害を受けたサーバーや端末、ログなどの証拠はそのままの状態で保存します。徹底的に原因を究明して再発防止につなげる必要があるためです。
3.セキュリティ対策委員会により状況把握・原因調査を行う
社内のセキュリティ対策委員会が被害の把握や原因究明にあたります。セキュリティ対策委員会とは、企業のセキュリティポリシーを実際に運用するメンバーです。不正アクセスを速やかに解決するため、自社のセキュリティポリシーやセキュリティ対策委員会のメンバーを事前に決めておきましょう。
4.システムの復旧作業を実施する
新しいサーバーや端末を用意するか初期化を実施して、バックアップデータからシステムを復旧します。万が一に備えてシステムやデータのバックアップは確実に取っておきましょう。
5.関連省庁・セキュリティ関連団体へ報告する
管轄の都道府県警察署やサイバー犯罪対策課の窓口に報告します。経済産業省の指示を受けたIPA(情報処理推進機構)などのセキュリティ関連団体に任意で報告すれば、国内の不正アクセス防止に役立ちます。
6.2022年~個人情報漏洩時の報告が義務化される
2020年6月に交付された改正個人情報保護法によって、個人情報の扱いがこれまで以上に厳格化される見込みです。政府は法運用の基本方針を2020年7月に発表し、個人の権利を損なう個人情報が漏洩した場合、その事実を被害者全員と個人情報保護委員会に報告することを義務付けています。
企業が義務違反をした場合は最大1億円の罰金が科せられる可能性も出てきました。2022年内の施行が決まっているため、対策が急がれます。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
不正アクセスを受けないためのセキュリティ対策
不正アクセスを受けないためのセキュリティ対策を6つ紹介します。
1.ログインID・パスワードの強化・管理徹底
IDとパスワードの徹底管理はセキュリティ対策の基本です。定期的にパスワードを複雑で長いものに変えることも大切ですが、本人認証を強化するためには2段階認証や多要素認証の導入が効果的です。ワンタイムパスワードや生体認証など自社にあった認証の仕組みを取り入れましょう。
2.定期的なOS・ソフトウェアのアップデート
OSやウイルス対策ソフトをはじめとするソフトウェア、ファームウェアなどの修正プログラムが配布されたら、速やかにアップデートすることが大切です。「自動アップデートの設定をする」「クラウドサービスを利用する」といった方法を取れば、自ら作業しなくても常に最新の状態が維持されます。
3.ファイアウォールやIPS / IDSの導入
ファイアウォールやIPS(侵入検知システム)、IDS(侵入防御システム)の導入も欠かせません。ファイアウォールとIPS / IDSをセットで導入するスタイルが主流です。ファイアウォールはシステムへの不正なアクセスを監視して遮断する役割を果たし、IPS/IDSは通信内容の不正や異常を検知して遮断します。
4.セキュリティ対策ソフト・ツールの導入
マルウェア感染を防止するウイルス対策ソフトの導入はいまや常識ですが、より高度で総合的なセキュリティ対策機能を持つツールも登場しています。厳重に管理されたクラウド上でシステムを一元管理する方法やWebアプリケーションに特化したWAF(Web Application Firewall)を利用する方法も有効です。
5.サーバー上の使用しないサービスの停止
サーバー上に使用しなくなったソフトウェアやサービスがある場合は直ちに停止・削除しましょう。修正プログラムが開発されなくなった古いソフトウェアは不正アクセスの標的になる可能性があります。離職者のアカウントを適切に管理して、利用できる状態のまま放置しないことも重要なポイントです。
6.従業員への教育
システムが万全でも従業員が適切に運用できなければ不正アクセスは防げません。パスワードの管理方法や添付ファイルの扱い、端末へのダウンロードなどについて具体的なルールを決めてセキュリティポリシーに盛り込み、従業員に周知徹底させましょう。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
- UTM typeW
-
多彩なセキュリティ機能を持つ WatchGuard Technologies社のUTM機器が ネットワーク保護の運用管理を一元化
- マネージドサービス typeV
-
ネットワークセキュリティ対策を 一括アウトソーシング
- マネージドサービス typeY
-
Yamahaルーターをレンタルでご提供 ギガ対応VPNルーターの多拠点接続を低価格に
まとめ
不正アクセスによって企業が受けるダメージは計り知れません。改正個人情報保護法が2022年に施行されるとダメージが増大するおそれがあるため、早期に対策を講じておきましょう。
NURO Bizでは標的型攻撃・不正アクセスなどの脅威に対するネットワークセキュリティのマネージドサービスを提供しています。
ネットワークセキュリティ対策各種サービスの特長をまとめたパンフレットをご用意いたしましたので、是非ダウンロードしてご覧ください。
お役立ち資料をダウンロード
「NURO Bizセキュリティサービスカタログ」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。
