DX 化が進む昨今、企業の不正アクセスによる被害が相次いでいます。不正アクセスによる情報漏えいやシステム改ざんの結果、企業は責任を問われることもあります。
顧客への賠償やシステムの復旧、社会的な信用を取り戻すことに多大な費用と労力がかかるため注意が必要です。
本記事では、不正アクセスの概要や禁止する法律と罰則について解説します。具体的な手口や対策、4つの被害事例についても紹介しますので、参考にしてください。
不正アクセスとは
不正アクセスとは、本来アクセス権限を持たない者が、サーバーや情報システムの内部へ侵入を行う行為です。他人のパスワードや ID を盗んで、その情報をもとにログインします。
またシステムの脆弱性に対してサイバー攻撃を行い、不正にログインする場合もあります。サイバー攻撃が増加するなか、他にもさまざまな不正アクセスが行われる状況です。
不正アクセスにより多くの企業が、機密情報の流出やシステムダウン、ウェブサイトの改ざんなどの被害を受けています。
不正アクセス禁止法とは
不正アクセス禁止法は、不正アクセスをはじめとしたサイバー攻撃に関する罪を罰する法律です。次のような処罰が定められています。
- 不正アクセス罪:3年以下の懲役又は100万円以下の罰金
- 不正アクセス罪以外:1年以下の懲役または50万円以下の罰金
不正アクセス罪には、最も重い罰則が定められているのです。たとえば、なりすまし行為やサイバー攻撃による他人のシステムへの侵入が不正アクセス罪に該当します。
なりすまし行為とは、他人の ID やパスワードを持ち主の許可を得ずに入力して、会員サイトやEC サイトにログインする行為です。
サイバー攻撃による他人のシステムへの侵入の場合は、まずはセキュリティホールやサイトの脆弱性に対してサイバー攻撃が仕掛けられます。その後、アクセス制御を回避して企業システムへ侵入して機密情報の窃取や Web サイトなどを書き替える行為が行われるのです。
不正アクセスの手口
ここではパスワードを狙った不正や、フィッシング行為、脆弱性を狙った不正アクセスの手口についてお伝えします。
パスワードを利用した不正アクセス
パスワードを利用した不正アクセスには、ブルートフォースアタックやパスワードリスト攻撃があります。それぞれについて、詳しく解説します。
ブルートフォースアタック
ブルートフォースアタックとは、ユーザーのアカウントやパスワードを割り出すために、考えられるすべてのパターンを試す方法です。日本語に訳すると「総当たり攻撃」です。コンピューターを使って何万通りにもおよぶ ID やパスワードを試して、正解を導き出します。効率的に攻撃をするために”辞書”と呼ばれるよく使われる文字列のフレーズを利用することもあります。
そのため、”1234567890” や ”password” と言った容易に想像がつくパスワードは不正アクセスのリスクが高いと言えます。
パスワードリスト攻撃
パスワードリスト攻撃とは、リストを用いてサイトにログインする不正アクセスです。リストには、何らかの方法で入手した ID とパスワードの組み合わせが書かれています。ID とパスワードを入手する際には、ターゲットよりも脆弱なサイトに侵入して盗んだり、ダークウェブ上で購入したりします。
複数のサービスで同じ ID とパスワードを使ったユーザーを狙った攻撃であり、パスワードを使い回すと不正にログインされやすいのです。
フィッシング行為からの不正アクセス
フィッシング行為とは、有名企業を語ってユーザーに偽のログイン Web ページへ誘導し、ユーザーに偽サイトに ID やパスワードを入力させ盗みます。
偽サイトは企業の運営する正規サイトと酷似しており、ユーザーは見分けがつきません。偽のログイン画面で、ID やパスワードを入力させたり、偽のクレジットカード登録画面で、カード情報を入力させたりします。サイバー攻撃で得たメール情報が、フィッシング行為に利用されることもあります。
サイバー攻撃者はこの盗み出した ID とパスワードを使って不正アクセスを行います。
脆弱性を狙った不正アクセス
脆弱性を狙った不正アクセスには、SQL インジェクションやパッチ未適用のサーバーに対する攻撃が存在します。それぞれの不正アクセスの手口について解説します。
SQL インジェクション
SQL インジェクションとは、アプリケーションの脆弱性を狙ったサイバー攻撃です。ログインID やパスワードを入力するスペースに、サイトの誤作動につながる SQL 文を入力します。適切に対策がされていない Web サイトは誤作動を起こし、SQL 文の実行結果を表示してしまい、サーバーにあるデータを盗まれたり、改ざんされたりします。
パッチ未適用のサーバーに対する攻撃
一般的に、サービス提供企業は脆弱性が公開されるとセキュリティパッチが公開されますが、前後して PoC(概念実証コード)というその脆弱性を突いた攻撃が可能なコードも公開されることがあります。
この状態でパッチを適用していないと、攻撃者は容易にその脆弱性を突いて攻撃することが可能になってしまいます。そのため、脆弱性の公開がされた場合パッチの適用は迅速に行うことが重要なのです。
即時のパッチ適用が難しい場合は WAF や IPS などでパッチ適用までの期間を手当てすることが必要になります。
不正アクセスによる被害を防ぐには
不正アクセスによる被害を防ぐためには、事前の対策と事後の対処が重要です。それぞれの方法について、詳しく解説します。
事前の対策法
不正アクセスを防ぐためには、事前の対策が重要です。企業の場合、セキュリティの管理部門を設けて安全対策を講じるとよいでしょう。
たとえば、次の場面でセキュリティ管理部門が活躍します。
- スマートフォンや持ち出し PC などのモバイル機器のパスワードの複雑性や長さ、暗号化方式が安全性の高いものかセキュリティをチェックする
- 従業員のパソコン利用を管理する(パスワードルール、二要素認証、パッチ適用状況の管理など)
- 社内セキュリティの改善を図る(従業員教育も大切です)
また最新のセキュリティ製品活用する手段もあります。アプリケーションサービスを利用している場合は、WAF や IPS の導入もおすすめです。脆弱性の保護やブルートフォース攻撃などが行えます。自社のシステムに適した対策を、事前に講じるとよいでしょう。
事後の対処法
個人情報を扱う企業の多くは、サイバーインシデントの事前、事中、事後対応を推進するために CSIRT を設置しています。不正アクセスの被害に関係する部署と、CSIRT メンバーで情報を共有して今後の対策を考えましょう。
たとえ CSIRT がない組織であっても上司または関連する部署に早急に報告し調査することをお勧めします。その場では何も起こっていないように見えても水面下で情報が盗まれているということもありえます。サイバー攻撃の被害は時間が経つほど大きくなるため、報告しないことが被害を拡大させます。
不正アクセスを防ぐ方法についてさらに詳しく知りたい場合は、次の記事を参考にしてください。
不正アクセスによる被害事例4選
ここでは、不正アクセスによる被害事例を4つ紹介します。
デジタル機器製造の大手企業における顧客情報流出
デジタル機器の製造を手がける大手企業では、プロジェクト情報共有ツールへの不正アクセスが起こりました。その際に、多くの企業や組織の情報が流出して、プロジェクト情報共有ツールが停止に追い込まれてしまいました。
被害企業や機関は100以上に達し、対応に追われました。調査によると、ツール内に複数の脆弱性の存在が判明しました。同社では、内閣官房内に設置された内閣サイバーセキュリティセンターに相談し、対策を行いました。
大手 EC サイトにおけるフィッシング詐欺
某大手 EC サイトのユーザーに、正規 EC サイト運営の名を語る迷惑メールが多数配信されました。そのメールは、偽サイトに誘導するような内容の書かれたフィッシングメールでした。
EC サイトの運営企業からは、ユーザーに対して偽サイトにアクセスしないように注意喚起が行われました。このようなフィッシング行為は、「アカウントをロックしました」や「異常を検知しました」など、ユーザーの不安を煽り、偽サイトに誘導を促すため注意が必要です。
輸送機器の大手製造会社への高度な不正アクセス
とある輸送機器の大手製造会社では、日本国内にあるデータセンターへの海外拠点からの不正アクセスが確認されました。
不正アクセスを確認後は、通信を遮断したようです。しかしデータセンター内の情報の一部が、流出したとみられています。
同社はセキュリティ対策を最重要課題として取り組んできたのですが、痕跡を残さない高度な手口で不正アクセスを許してしまったようです。さらなる調査の結果によると、個人情報の流出は確認されていないとされています。
マッチングアプリへの不正アクセスで情報流出
マッチングアプリへの不正アクセスで身分証の情報が流出した事例も報告されています。流出した個人情報は、名前や住所、生年月日などです。マッチングアプリ利用の際に提出を求められた保険証や免許証などから、番号や画像データが流出したとの報告もあります。
まとめ
不正アクセスとは、アクセス権限を持たない悪意のある第三者が、不正にサーバーや情報システムの内部に侵入する行為を指します。不正アクセス禁止法と呼ばれる法律が定められており、処罰の対象です。
情報漏えいやデータ改ざんを防ぐためにも、事前の対策を施して、不正アクセスを許さないことが重要です。もし不正アクセスを許してしまったら、まずはパスワードの変更を行うなどして、すぐに対処しましょう。
SBテクノロジーでは、監視や運用を含めたセキュリティ対策を提供しています。「サイバーレジリエンス」をテーマにした支援を行っている点も特徴です。情報セキュリティ対策プロセスの各段階で、対応可能なセキュリティサービスのご提供を行っていますので、どうぞご相談ください。
セキュリティ対策を見直すって何をすればいいの?がわかる資料についてはこちらをご覧ください。