不正アクセスとは?被害例やよくある手口、対策方法を解説
2024年12月11日
不正アクセスとは?被害例やよくある手口、対策方法を解説
不正アクセスとは、悪意のある第三者が不正入手した他人の ID・パスワードを利用してログインすることです。近年、不正アクセスの被害は増加・悪化傾向にあり、安全な企業運営のためには対策が欠かせません。
ここでは、不正アクセスの代表的な手口や被害の例のほか、不正アクセスの対策方法などについてご紹介します。
不正アクセスによる被害が増加
デジタル化が進むにつれ、企業の不正アクセスによる被害が増加しています。不正アクセスとは、本来権限を持たない者が不正に入手した他人の ID・パスワードを悪用し、コンピューターにアクセスすることです。
不正アクセス被害に遭えば、顧客への損害賠償やデータの復旧に金銭的・時間的コストがかかるだけでなく、企業としての信頼を失い、その後の運営が成り立たなくなるおそれもあるでしょう。
<不正アクセスのリスク>
・顧客情報の流出による信頼性の低下
・機密情報の漏洩やデータの改ざん
・復旧による企業活動の停滞や損失
・顧客への損害賠償 ウイルス感染
・ほかのサイバー攻撃の踏み台として利用される
2000 年には不正アクセスや不正アクセスの罪を罰する不正アクセス禁止法が施行されましたが、それでも被害がやむことはありません。
リモートワークの普及により、企業のサーバーや VPN 機器などの脆弱性をついた不正アクセスも増えており、企業の安全な運営のためには、巧妙化する不正アクセスへの備えや対策が必須です。
不正アクセスの代表的な手口
年々巧妙化する不正アクセスの手口は、大きく 2 つに分けられます。不正アクセスの対策をするためにも、代表的な手口を知っておきましょう。
識別符号窃用型
識別符号窃用型とは、不正に入手した識別符号(ID やパスワードなど)を利用して、コンピューターに不正アクセスすることです。警察庁が 2024 年 3 月に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、不正アクセスの被害の約 9 割がこの識別符号窃用型だそうです。
具体的な手口としては、過去に何らかの理由で流出したパスワードを利用する「パスワードリスト攻撃」や、考えられるすべての組み合わせでパスワード突破を試みる「ブルートフォースアタック(総当たり攻撃)」といった方法が考えられるでしょう。
取引先や金融機関になりすましたメールで開封を誘い、URL をクリックさせてログイン情報を盗むフィッシング詐欺なども、不正アクセスにつながるため注意が必要です。
セキュリティホール攻撃型
セキュリティホール攻撃型とは、システムや OS などの開発段階で生じた、設計ミスや不具合(バグ)を狙った不正アクセスです。
具体的な手口としては、SQL インジェクションやバッファオーバーフローなどが挙げられます。
SQL インジェクションはウェブサイトの検索ボックスや入力フォームなどに不正な SQL コードを挿入し、データベースの内容を窃取したり改ざんしたりする行為。バッファオーバーフローは、プログラムのメモリに処理しきれない量のデータを送ってシステムを不安定にさせ、コンピューターの乗っ取りを図る行為です。
不正アクセスの被害事例
不正アクセスの被害は増加傾向にあり、さまざまな企業が被害に遭っています。ここでは、実際に起きた不正アクセスの被害事例をご紹介します。
標的型メール攻撃によって、約 125 万件の顧客データが流出
2015 年、ある団体の職員が外部からの標的型メール攻撃により、不正アクセスの被害に遭うという事件がありました。標的型メール攻撃とは、特定の組織や個人を狙い、機密情報や ID・パスワードといったアカウント情報を盗み出そうとする行為です。
この事件では、職員が標的型メールを開封して不審な URL をクリックしてしまったことに端を発します。メールの開封によってマルウェアに感染しましたが、団体はウイルスソフトを更新。いったんは収束したように見えましたが、初めに流出した情報をもとにその後何度も不審なメールが送られ、そのたびに何名かの職員が添付ファイルを開いてしまい、マルウェアの感染が広がりました。
不正アクセスの不十分さや職員への教育の不足、初動対応の遅さなどから、最終的に流出した顧客情報は約 125 万件に及びます。収束までは団体内のコンピューターをインターネットから切り離す必要があり、業務が停止したばかりか、顧客からの信頼を失う大きな痛手となりました。
ランサムウェアに感染し、復旧費用が 2 憶円超
ある町立病院が不正アクセス被害に遭ったのは、2021 年 10 月のことです。VPN の脆弱性から不正アクセスされたと見られ、ランサムウェアの感染が起こりました。
VPN だけでなく、OS のアップデートを停止していたり、すでにサポートの終了した OS を利用し続けていたり、マルウェアの対策ソフトの稼働を停止していたりするなど、複数のセキュリティ対策の不備を放置していたことが、被害を拡大させた原因です。
電子カルテが利用できなくなったために、患者の過去の通院や治療の履歴がわからなくなり、患者の情報を集めるのは困難を極めました。また、請求システムも停止したことから、収入を得られない状態で診療にあたることになり、新規患者の受け入れを停止せざるをえないなど、収入面でも大きな打撃があったと見られます。
被害からの完全復旧には約 2 ヵ月を要し、復旧にかかった費用は 2 億円以上とされています。
不正アクセスを防ぐための対策
安心・安全な企業運営のためには、不正アクセスを防止する対策が必須です。続いては、企業が行うべき不正アクセスの対策方法をご紹介します。
認証システムの強化
業務システムやサービスなどへのログインの際に、多要素認証を利用して認証システムを強化することは、不正アクセスの対策となります。多要素認証とは、パスワードのほかに指紋認証やワンタイムパスワードなど、複数の要素の認証方式を組み合わせることです。
万が一パスワードが流出しても、もう一段階認証があることで、不正アクセスがされにくくなるでしょう。システムの機能として多要素認証がある場合は設定することで利用でき、機能がない場合は認証ツールを導入することで利用できます。
ワンタイムパスワードについては、以下の記事もご覧ください。
ソフトウェアの更新
OS やアプリといったソフトウェアを最新の状態に更新することは、不正アクセスの防止に効果的です。
不正アクセスの手口は日々新しいものが生まれており、ソフトウェアの更新はそれを防ぐためのプログラムが含まれていることがあります。アップデートの通知や告知があったら、すみやかに更新をするべきです。
セキュリティツールの導入
不正アクセスの被害を防ぐためには、高度なセキュリティツールが必要です。ウイルスソフトやファイアウォール、EDR(エンドポイントセキュリティ※)などを導入して不正アクセスを防ぐとともに、不正アクセスされてしまったとしても、すぐに検知できるようにしましょう。
※エンドポイントやエンドポイントに保存している情報を、サイバー攻撃から守るセキュリティ対策。エンドポイントはネットワークに接続している PC やサーバー、スマートフォンなどのデバイスを指す
社内のセキュリティ教育
社内でのセキュリティ教育も、不正アクセス防止のために行わなくてはならないでしょう。不審なメールや添付ファイルを開かない、URL をクリックしないといった基本的なことや、どのようなセキュリティのリスクがあり、不正アクセスされたらどのような被害が起こるのかも知らせるべきです。
不審なメールが届いたら誰に報告しどう対処するか、パスワードや業務で利用するデバイスはどう管理すべきかといったルールも策定し、周知して守らせることも重要です。
安心・安全な企業運営のため、不正アクセスを防止しよう
不正アクセスの手口は巧妙化しており、被害に遭う企業は増加傾向にあります。万が一被害に遭ってしまったら、業務の停止や復旧などで非常に大きなコストを支払う可能性があるとともに、顧客からの信頼が失墜するおそれもあります。
セキュリティ対策は、どれだけ行ってもやりすぎということはありません。万全なセキュリティ対策によって不正アクセスを防ぎ、安心・安全な企業運営を行いましょう。
「楽天モバイル法人向けサービス」は、業務効率の向上と通信コスト削減を同時に実現できる充実のプランを提供しています。シンプルかつ柔軟な料金体系で大量導入にも最適。リモートワークや外出先でも安定した通信環境を確保し、ビジネスのDX推進を力強くサポートします。安全・快適な法人用モバイル環境をご検討の際はぜひご活用ください。
楽天モバイル法人向けサービスについて詳しくはこちら
