不正アクセスの手口が巧妙化しており、新しいマルウェアやウイルスも生み出されています。そのため、企業サイトへの不正アクセスのリスクも増加傾向にあります。不正アクセスを許すと、システムデータの改ざんにより業務停止を余儀なくされたり、顧客情報の漏えいにより社会的な罰則を受けたりする可能性があります。
企業と顧客を守るためにも、セキュリティ対策を万全にして、不正アクセスを予防することが重要です。不正アクセス対策や対処法、被害事例について解説します。
不正アクセスとは
不正アクセスとは、本来アクセス権限を持たない者がシステムへ侵入する行為です。不正アクセスの被害を受けると、企業や組織の業務に支障をきたす可能性があります。
また、被害によっては企業ブランドのイメージに、大きなマイナスになる可能性もあります。昨今の企業への不正アクセス件数は増加傾向にあるため、注意が必要です。
企業の不正アクセス件数は増加傾向
企業の不正アクセス件数は、次のように推移しています。
| 年 | 件数 |
|---|---|
| 平成28年 | 1,823件 |
| 平成29年 | 1,177件 |
| 平成30年 | 1,314件 |
| 令和元年 | 2,855件 |
| 令和2年 | 2,703件 |
上記からもわかるように、平成28年以降は一般企業への不正アクセスが増加傾向です。令和元年を境に急激に上昇し、令和2年も2,700件を超えている状況です。
この数値は警察庁へ相談している件数であり、自己解決したものや認識していないものを含めると氷山の一角であると言えます。
不正アクセスの主な手口
不正アクセスの主な手口には、不正ログインと摂取した ID やパスワードを使ったアクセス、脆弱性への攻撃などが考えられます。それぞれについて、詳しく解説します。
不正ログイン
不正ログインの方法には、ブルートフォースアタックとパスワードリスト攻撃があります。ブルートフォースアタックとは、攻撃者が全てのパターンの ID とパスワードを一致するまで試す方法です。
パスワードリスト攻撃は、よく使われる ID やパスワードを組み合わせたリストを用意して、総当たりする、不正にログインする攻撃です。
不正アクセスについてさらに詳しく知りたい場合は、次の記事を参考にしてください
窃取した ID とパスワードによるアクセス
何らかの方法で ID とパスワードを入手し、不正ログインする方法もあります。入手する手段には、メールや偽サイトを利用したフィッシング行為やダークウェブでの売買などがあります。
偽サイトやダークウェブを通して、盗んだ個人情報をもとに不正にサイトへアクセスします。不正アクセス行為は令和2年で最も検挙件数が多かった不正アクセスの手口です。
脆弱性への攻撃
脆弱性とは、OS やソフトウェアにおけるセキュリティ上のリスクがあるプログラム上の不具合です。脆弱性を突くと攻撃者は容易にシステム内に侵入できてしまうことが多く、攻撃者は脆弱性を狙ってサイバー攻撃を行い、サイトに不正アクセスします。その結果、情報漏えいやサイト内プログラムの改ざんなどにつながる恐れがあります、
※すべての脆弱性がセキュリティ上重大なリスクがあるわけではありません。
企業でできる不正アクセス対策
ここでは企業でできる不正アクセス対策について、5つ紹介します。
ソフトウェアを最新の状態にアップデートする
企業の IT 担当者は、公開システム、業務用端末のソフトウェアのアップデートを欠かさずに行い、常に最新の状態にすることが重要です。
ソフトウェアに脆弱性が発見された場合は、それを解消するためのアップデートが実施されます。ソフトウェアメーカーのお知らせを定期的にチェックして、アップデートを見逃さないことも大切です。
とはいえ、全部の脆弱性をカバーするのは大変なので、基準を作って重要なシステムを優先的に対応していくような考え方もよいでしょう。
社内パソコンのインストールを許可制にする
社内パソコンでのソフトウェア利用を許可制にすると、管理担当者がインストール済みのソフトウェアを把握できます。
ソフトウェアの脆弱性が発見された場合は速やかに対応できるうえに、セキュリティ上の問題に対して迅速な対策の構築が可能です。また、従業員のセキュリティ意識の向上にもつながるでしょう。
従業員に正しいパスワード管理を徹底させる
従業員には、正しいパスワード管理を徹底させましょう。正しいパスワード管理をするためには、次の点を守ることが大切です。
- 自分や家族の誕生日や名前を避けること
- 英単語など意味のある文字列そのままの利用を避けること(適切な長さで複数の単語を数字記号交じりで使うのは可)
- 数字やアルファベットを織り交ぜて複雑な文字列にすること
- パスワードを紙に書いて張っておかないこと
- 他人のユーザー ID を自分の ID に設定しないこと
- 適切な長さの文字列であること(長い方が安全性が高く筆者は15文字以上を推奨)
- パスワードを使い回さないこと
以上を従業員に徹底して、セキュリティに対する意識を高めるとよいでしょう。
とはいえ、最近はクラウドサービスなども増えてきて、パスワード管理をするのも大変なので複数のシステムに一つの ID とパスワードでログインするシングルサインオンと多要素認証を組み合わせるのが現実的です。
多要素認証(MFA)の導入
結局の所、ID とパスワードの漏えいを完全に防ぐのは難しいです。多要素認証とは、管理方法の異なる複数の認証方法(例えば、登録済のスマートフォンの認証アプリ(物理)+パスワード(記憶))を使ってログインをすることで、IDとパスワードが漏えいしても攻撃者はログインをすることができないため、安全性が格段に上がります。
キャッシュカード(物理)と暗証番号(記憶)の関係を考えるとわかりやすいでしょう。
攻撃シナリオに応じたセキュリティ対策の導入
公開サーバーの不正アクセス対策であれば、ブルートフォースやパスワードリスト攻撃に対応する IPS や WAF が必要でしょう。これらは脆弱性をカバーすることもできます。従業員向けの対策としてはフィッシング対策ができるソフトウェアやプロキシサービスの導入が効果的です。攻撃シナリオを設定して自社に適したセキュリティソフトを選ぶと抜け漏れがおきにくくお勧めです。
また攻撃者に自組織のシステム情報を隠すことも大事です。例えば、ファイアウォールで不要なポートは閉じておく、CMS の種類やバージョンを非公開設定にする、エラーメッセージにソフトウェアバージョンを表示しないなどがあります。攻撃者は常に脆弱なシステムを探していますので、これら攻撃のヒントとなるような隙を与えないことも大切です。
不正アクセスが発生した場合の対処法
ここでは、不正アクセスが発生した場合の対処法を解説します。
CSIRT への報告
社内に CSIRT が設置されている場合は、被害の状況を報告しましょう。また、報告を社員にも周知することも大切です。
CSIRT とは、企業の情報セキュリティにかかるインシデント対処のために社内に設置される組織です。未設置の場合は、設置したほうがよいでしょう。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。
CSIRT について詳しく知りたい場合は、次の記事を参考にしてください。
不正アクセスへの対処
不正アクセスへ対処するには、インシデントの状況に応じて、外部との通信が発生していないか、侵入を許した原因が何かまで追究しましょう。プロキシのログやセキュリティシステムのログなど関連付けて調査する必要がありますが、まずは被害を食い止めること、次に影響範囲の特定を行い、再発防止のための原因調査までする必要があります。場合によっては対外的な発表や警察への届け出なども検討することもあります。
不正アクセスの影響範囲が大きい場合は、専門の業者に調査を依頼することも検討してください。早期対処は被害を小さくします。
セキュリティインシデントについて詳しく知りたい場合は、次の記事を参考にしてください
復旧作業に取り組む
原因調査のあとは、調査結果をもとに復旧作業に取り組みます。復旧を速やかに行うためにも、普段からデータのバックアップを心がけましょう。
被害の規模が大きい場合は、復旧するために多額な費用がかかることもあります。完全に戻すことができないケースもあります。
不正アクセスの最新の被害事例
ここでは、Emotet とフィッシング詐欺による不正アクセスの被害事例を紹介します。
Emotet による被害事例
企業内の複数のパソコンがマルウェア「Emotet」に感染した被害事例が報告されています。Emotet に感染して侵入された企業内のパソコンから取引先に、Emotet に感染させるためのメールがばらまかれたのです。
その結果、個人名やメールアドレスなどの情報が流出しました。日本国内でも被害が拡大しているため、2022年3月時点で情報処理推進機構からも注意喚起がされています。
Emotetについて詳しく知りたい場合は、次の記事を参考にしてください。
フィッシング詐欺による被害事例
2021年7月に、ある大学病院にて一人の医師がフィッシング詐欺に遭いました。具体的には、無断で使用していたクラウドサービスの ID とパスワードを盗まれ、第三者が患者の診療情報などを閲覧できる状態になりました。
その後、盗取された ID とパスワードでサーバーにアクセスができなくなったため、攻撃者によって変更された可能性が指摘されています。
基幹システムや電子カルテなどの医療情報システムへの不正アクセスは、確認できていません。全職員へのデータ管理についての指導を徹底するとともに、診療情報の保有状況について見直しも行われました。システムだけでなく、ルールを守らなかったことによる事例です。
まとめ
今回は不正アクセスの対策について、5つ紹介しました。不正アクセス対策には、脆弱性の管理や従業員への教育、セキュリティ対策の導入が考えられます。自社のセキュリティ対策を充実させて、サイバー攻撃による情報漏えいやデータ改ざんなどを防ぎましょう。
SBテクノロジーでは、監視や運用を含めたセキュリティ対策を提供しています。「サイバーレジリエンス」をテーマにした支援を行っている点も特徴です。情報セキュリティ対策プロセスの各段階で、対応可能なセキュリティサービスのご提供を行っていますので、ぜひご相談ください。
セキュリティ対策を見直すって何をすればいいの?がわかる資料(ホワイトペーパー)についてはこちらをご覧ください。
