不正アクセスとは？被害例と対策をご紹介

更新日 : 2021年04月16日

情報漏えい原因の1つである不正アクセスは、2015年頃から増加の一途を辿っています。

不正アクセス行為自体の禁止や犯罪の防止、不正行為の再発防止を目的を定めた法律があるのはご存じでしょうか。

不正アクセス禁止法（不正アクセス行為の禁止等に関する法律）はインターネット上での不正なアクセスに関する法律で2000年に施行され、インターネットを利用する誰もが普段から心がけたいポイントについてもまとめられています。

今回は、不正アクセスとはどういったものなのか、被害例と対策についてご紹介します。

不正アクセスとは

不正アクセスとは、本来アクセス権限を持たない第三者が本人になりすまし、サーバや情報システムの内部へ侵入を行うことです。

大手や中小といった企業の規模にかかわらず、不正アクセスはインターネットを利用する誰もが被害にあう可能性があります。

具体的な被害事例については3章の不正アクセス被害の例でご紹介します。

不正アクセス対策を実施すべき理由

不正アクセス対策を実施すべき理由として、大きく3点あげられます。

個人情報・機密情報の漏えい
不正アクセスによる情報漏えいは流出した個人情報の件数が多い傾向にあるため被害が大規模になるケースが多く、社会的な影響も大きくなります。
Webサイトの改ざんやサーバやシステムの停止
例えば、偽物の決済画面へ誘導するようにWebサイトが改ざんされたりなど、企業・組織の信用失墜にもつながります。
攻撃の踏み台（加害者）にされサイバー攻撃に加担させられる
攻撃者によってパソコンへ侵入され、お客様や取引先など外部に対しスパムメールを送信されるといったサイバー攻撃が挙げられます。

特に3つ目の理由は企業の信頼の失墜へとつながりかねないため、企業規模問わず注意しなければならないことがわかります。

情報漏えいが起こる原因と防ぐための対策については「情報漏えいの原因と対策～個人情報・顧客情報の流出を防ぐために～」にて紹介していますので、あわせてご確認ください。

不正アクセス被害の例

独立行政法人情報処理推進機構（IPA）作成のコンピュータウイルス・不正アクセスの届出事例［2020年上半期（1月～6月）］を基に、不正アクセス被害の例をご紹介します。

Emotet（エモテット）によるウイルス感染

被害内容

組織内の複数台のパソコンがEmotetに感染
組織内や組織外の取引先などにEmotetへの感染を狙う攻撃メールがばらまかれた
攻撃メールには、感染したパソコンに保存されていたメールアドレスやメール本文が含まれていたため、これらに記載されていた個人名やメールアドレスなどの情報が流出

発見経緯

セキュリティソフトの警告により、パソコンがウイルスに感染していることに気づいた。

被害原因

従業員が取引先を装ったなりすましメールの添付ファイル（Word文章ファイル）を開いたことによりEmotetに感染した。
感染した端末からさらに組織内外へEmotet感染を狙う攻撃メールが送信された。
攻撃メールを受信した別の従業員が同様に添付ファイルを開いたことにより、組織内の複数台のパソコンに感染が拡大した。

被害対応

セキュリティソフトによるウイルスの駆除、一部の機器については初期化を実施。
個人情報が流出した恐れのある相手にお詫びと、なりすましメールに対する注意喚起の連絡。

クラウド型メールサービスのアカウントへの不正アクセス

被害内容

一次被害者のアカウントへのログイン情報（ID、パスワード）が詐取され、不正にログインされたことにより、次の被害が発生した。
一次被害者が過去に送受信していたメールの内容を盗み見られ、顧客や取引先のメールアドレスが流出し、フィッシングメールの送信先に使用された。
一次被害者を差出人とした1,000件以上のフィッシングメールが組織内外へ発信された（二次被害者への攻撃）。

発見経緯

従業員（以下、一次被害者）が、自組織が利用するクラウド型メールサービスにおける自身のメールアカウントからフィッシングメールが送信されていることに、フィッシングメールの受信者（二次被害者）からの連絡で気づき、システム管理部門に報告した。

被害原因

一次被害者が、その関係者から届いたフィッシングメールに記載されていたURLのリンク先にアクセスし、フィッシングサイトへ誘導され、IDやパスワードを入力してしまったため、アカウント情報が詐取された。

被害対応

一次被害者のログインパスワードを強制変更。
個人情報が流出した恐れのある相手に、お詫びとフィッシングメールに対する注意喚起の連絡。
多要素認証の導入検討。

不正アクセスの対策

不正アクセスの被害にあわないための対策をご紹介します。

1.簡単に予測できるパスワードを使わない

パスワード管理関連サービスのNordPassは、2020年における危険なパスワードを公開しました。

1位は「123456」、2位「123456789」、3位「picture1」がランクインしました。もしこのパスワードを使用しているのであれば、すぐに変更しましょう。

また、一般社団法人JPCERTコーディネーションセンターは、安全なパスワードの条件を4つ挙げています。

安全なパスワードの条件

パスワードの文字列は、長めにする（12文字以上を推奨）
インターネットサービスで利用できる様々な文字種（大小英字、数字、記号）を組み合わせると、より強固になる
推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
他のサービスで使用しているパスワードは使用しない

更に、不正ログイン防止策として期待されている多要素認証という認証があります。

多要素認証の概要や二要素認証・二段階認証との違いについては下記コラムからご確認ください。

お役立ちコラム

多要素認証とは？二要素認証・二段階認証との違いを解説

多要素認証を取り入れれば、流出したID／パスワードで悪意の第三者がログインを試みた場合にも所有要素や生体要素での認証を要求するため、そう簡単にはログインを許しません。

多要素認証は、不正ログイン防止策として期待されているのです。

詳しく »

2.怪しいメールを開かない

不正アクセスを狙う攻撃で挙げられるのは、メールによる手法です。

例えば、実際にある企業名を名乗りメールを開かせ記載されたフィッシングサイトへ誘導したり、添付ファイルを開かせたりといった攻撃手法が確認されています。

こうした被害を減らすためには、従業員一人ひとりが適切に対処できるようなセキュリティ教育が重要です。

セキュリティ教育におすすめ

標的型メール訓練・教育サービス　SecuLiteracy（セキュリテラシー）

SecuLiteracy（セキュリテラシー）とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援する標的型メール訓練・教育サービスです。

詳しく »

3.エンドポイントセキュリティ対策、脆弱性対策を

被害例にもあったように、Emotetなどのマルウェア感染による被害や脆弱性を悪用した攻撃による被害も確認されています。

マルウェアに感染してしまった際に素早く検知・対処を行うEDR製品の導入も有効な手段といえます。

脆弱性対策の機能を有するEDR製品もありますので、ご利用中のウイルス対策ソフトを更新する前にEDR製品の導入を検討してみてはいかがでしょうか。

エンドポイントセキュリティ対策、脆弱性対策におすすめ

次世代型エンドポイントセキュリティ対策Cortex XDR Prevent ＆ Cortex XDR Pro

Cortex XDR Prevent ＆ Cortex XDR Pro（旧Traps）とは、日々巧妙化する既知・未知問わないマルウェア・ファイルレス攻撃・エクスプロイト攻撃などを防ぐNGAV機能と、万が一マルウェア感染してしまったとしても検知と対処（EDR）機能も持ったエンドポイントセキュリティ製品です。

詳しく »

まとめ

今回は、不正アクセスの概要と被害例、対策についてご紹介しました。

不正アクセスは、情報漏えいに繋がりかねない恐ろしいセキュリティインシデントです。

まずは、従業員一人ひとりが危険なパスワードを使用していないか、パスワード設定の見直しからでも行ってみてはいかがでしょうか。

参考元

コンピュータウイルスに関する届出について（独立行政法人情報処理推進機構）

なりすましを防ぐ　Microsoft 365でできる多要素認証とは？

なりすましによる金銭的被害がニュースになっている中、組織のセキュリティ対策を見直しませんか。今回は、Microsoft 365で利用可能な多要素認証をご紹介します。Microsoft 365をご利用中の方はもちろんのこと、これからMicrosoft 365への切り替え・導入をご検討されている方はぜひご覧ください。

詳しく »