不正アクセスとは? 代表的な手口、企業で行うべき対策を詳しく解説!

はじめに 不正アクセスとはどのようなものなのか、日本国内での発生件数をふまえて解説します。

不正アクセスとは、サイバー攻撃の一種であり、アクセス権限を持っていない人が、企業内のサーバーやパソコンなどへ許可なく無断で侵入する行為のことです。他人の ID やパスワードを盗んで、その情報を基に不正にログインする方法や、システムの脆弱性に対してサイバー攻撃を行いログインする方法など、さまざまな手法が用いられています。不正アクセスの被害を受けてしまうと、企業で保管している機密情報や個人情報の流出、システム ダウン、ウェブ サイトの改ざんなど大きな被害につながるおそれがあります。

総務省の「令和 3 年における不正アクセス禁止法違反事件の認知・検挙状況等について」によると、令和 3 年における不正アクセス行為の認知件数は 1,516 件 (令和 2 年は 2,703 件） と発表されました。過去 5 年の不正アクセス行為の認知件数の推移は以下のとおりです。

• 平成 29 年→ 1,202 件
• 平成 30 年→ 1,486 件
• 令和元年→ 2,960 件
• 令和 2 年→ 2,806 件
• 令和 3 年→ 1,516 件

参考: 総務省「令和 3 年における不正アクセス禁止法違反事件の認知・検挙状況等について」

前年 (令和 2 年) よりも 1,290 件ほど減少しましたが、不正アクセスの被害は毎年数千件規模で報告されているのが現状です。情報漏洩や企業のシステムやサーバーの停止などにつながる危険性が高いため、企業には不正アクセスへの厳重な対策が求められています。

日本国内では、インターネットの利用拡大が進んだ 2000 年に「不正アクセス行為の禁止等に関する法律」が制定されました。「不正アクセス禁止法」と呼ばれることが多いです。不正アクセス禁止法では、以下の行為を禁止しています。

• 不正アクセス行為
• 不正アクセス行為につながる識別符号の不正取得、補完行為
• 不正アクセス行為を助長する行為

参考: 総務省「不正アクセス行為の禁止等に関する法律」

たとえば、自分以外の社員の ID やパスワードを盗み見して勝手にログインしたり、他人のアカウント情報を利用して SNS やメールにアクセスしたりする行為などが不正アクセスに該当します。不正アクセスが発覚した場合、不正アクセス罪として、3 年以下の懲役または 100 万円以下の罰金を科せられるため注意が必要です。

総務省の「令和 3 年における不正アクセス禁止法違反事件の認知・検挙状況等について」では、不正アクセス後にどのような行為が行われたのかがまとめられています。不正アクセス後の行為の内訳と件数は以下のとおりです。

• インターネット バンキングでの不正送金など→ 693 件
• インターネット ショッピングでの不正購入→ 349 件
• メールの盗み見などの情報の不正入手→ 175 件
• 知人に成りすましての情報発信→ 71 件
• オンライン ゲームやコミュニティ サイトの不正操作→ 65 件

参考: 総務省「令和 3 年における不正アクセス禁止法違反事件の認知・検挙状況等について」

それぞれの被害の内容について簡潔に解説します。

インターネット バンキングの IDやパスワード、ワン タイム パスワードなどの情報を窃取して、犯人の口座へ不正に送金します。資産を奪うだけではなく、資金の一部を新しい犯罪やテロ活動などに利用するケースも多く見受けられます。

他人の個人情報を使用して、商品やサービスを不正に購入します。ブランド品や家電製品、パソコン、ゲーム機器など換金性の高い商品を大量購入して転売するケースが多いです。

メールを盗み見して、企業内の重要な情報を不正に入手する行為です。たとえば、企業の売上情報や社員の個人情報、顧客の情報などを不正入手し、悪用するケースが多く見受けられます。情報自体が外部に漏洩すれば、企業の経済的な損失や社会的な信頼低下を招くおそれもあるでしょう。

知人になりすまして嘘の情報を流したり、特定の人を誹謗中傷したりする行為です。コミュニティ サイトで本人になりすまして暴言を吐いたり、SNS で不特定多数の人に向けて嘘の情報を発信したりなど、さまざまな場所で悪意のある行為を行います。

オンライン ゲームやコミュニティ サイトにログインし、不正操作などを行います。他のメンバーに迷惑をかけるだけではなく、運営および管理者の業務妨害などにもつながります。

不正アクセスの主な手口は、パスワードそのものをねらった不正アクセスと、フィッシングによる不正アクセス、セキュリティの脆弱性をねらった不正アクセスの 3 つに分けられます。この章では、それぞれの手口について詳しく解説していきます。

パスワードをねらった不正アクセスは、ブルート フォース アタックやパスワード リスト攻撃といった方法で行われることが多いです。それぞれの手口の特徴をみていきましょう。

• ブルート フォース アタック
  ブルート フォース アタック (brute force attack) とは、ユーザーのアカウントやパスワードを割り出すために、考えられるすべてのパターンを試す方法です。日本語で「総当たり攻撃」という意味であり、コンピューターを使って何万通りの ID やパスワードを試して、正解を導き出します。たとえば、4 桁の暗証番号の場合、「0000」～「9999」まで一万通りあるため、1 つ 1 つを人の手で入力するとしたら多大な時間と労力がかかります。しかし、これらの試行をコンピューターで行えば、スピーディーにすべての番号を試して解読できます。ブルート フォース アタックは、他のサイバー攻撃と比べて専門的な知識がなくても実行できる点が特徴です。
• パスワード リスト攻撃
  パスワード リスト攻撃とは、不正に入手したID とパスワードのリストを用いて順番にサイトへのログインを試す手口です。「アカウント リスト攻撃」または「リスト型 アカウント ハッキング」と呼ばれることもあります。パスワード リスト攻撃は、複数のサービスで同じ ID とパスワードを使っているユーザーが被害を受けやすいことが特徴です。そのためサービスやアプリケーションごとに ID とパスワードを変えておくことで、パスワード リスト攻撃を防止できるでしょう。

フィッシングとは、公的な企業や大規模な企業を名乗り、偽のログイン Web ページへユーザーを誘導し、ID やパスワードを入力させて盗みだす手口です。ID やパスワードの他に、偽のクレジット カード登録画面でカード情報を入力させる手口もあります。この偽サイトは、実在する企業のホームページに似せて作られているため、ひとめで偽物だと判別するのは困難です。偽のサイトで入力させた ID とパスワードを利用し、不正アクセスを行います。

セキュリティの脆弱性をねらった攻撃として有名なのが「SQL インジェクション」です。SQL インジェクションは、アプリケーションの脆弱性をねらった攻撃であり、ログイン ID やパスワードを入力するスペースに、サイトの誤作動につながる SQL 文を入力していきます。SQL (Structured Query Language) とは、データベース サーバーを操作するための命令文のことです。Web サイトやショッピング サイトなどのデータベースに、ユーザーからの入力情報を送るときなどに利用されています。

SQL インジェクションは、このようにユーザーからの入力情報を基に SQL 文を作成する際に、本来の意図ではない SQL 文を作成し注入するのが特徴です。これにより、サーバーにあるデータを読み取ったり、データを改ざんしたりします。

不正アクセスは、パスワードの設定や管理の甘さにつけ込んで行われるケースが非常に多いです。総務省の「令和 3 年における不正アクセス禁止法違反事件の認知・検挙状況等について」によると、令和 3 年に検挙した不正アクセス禁止法違反の検挙件数のうち、「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が 153 件と、最も多い結果となりました。

参考: 総務省「令和 3 年における不正アクセス禁止法違反事件の認知・検挙状況等について」

そのため、推測されやすいパスワードは設定しない、パスワードを使い回さないなどの対策を徹底して行う必要があります。

不正アクセスを受けてしまうと、さまざまな被害を引き起こすおそれがあります。たとえば、企業の機密情報を拡散されてしまったり、ホームページのコンテンツ ファイルを改ざんされてしまったりと、企業の経営活動に大きな影響が及ぶでしょう。また、経済的な損失だけではなく、不正アクセスされた事実が、社会的な信頼低下や顧客の取引停止などにもつながります。このようなトラブルを防ぐためには、企業のセキュリティ対策を見直し、改善することが重要です。この章では、不正アクセスを防ぐために企業で行うべき対策について解説します。

前述した通り、不正アクセスは、パスワードの設定やパスワード管理の甘さにつけ込んで行われるケースが非常に多いです。そのため、企業内でパスワードの適切な設定/管理を徹底して行うことで、不正アクセスのリスクを軽減できます。個人でパスワードの設定/管理を行う際には、下記の点を守るようにしましょう。

• 自分の名前や電話番号、生年月日などを用いた推測されやすいパスワードは絶対に設定しない
• 自分の家族の名前、誕生日なども避ける
• できる限り数字やアルファベットを織り交ぜて複雑なパスワードにする
• 意味の分からない (他人が推測しにくい) パスワードを設定する
• 複数のウェブサイトやアプリなどで同じ ID/パスワードの組み合わせを使用しない。同じパスワードを使い回さないように注意する
• 自分のパスワードを適切に管理する。パスワードを他人に教えたり、紙や付箋などで記録したりなど、他人に知られるおそれがある行為は行わない

ただし、企業で利用しているサービスやアプリケーションの数が多ければ多いほど、個人で ID/パスワードの管理を行う手間がかかります。また、ID やパスワードを管理している社員の業務の負担も増えるでしょう。毎年入社する社員が多い企業の場合、その都度入社するすべての社員分の登録作業が発生します。

ID やパスワード管理に有効なのが「シングル サインオン」です。シングル サインオン (Single Sign-On) とは、一度の認証で複数のサービスやアプリケーションへアクセスできるしくみを指します。1 つの ID とパスワードで複数のシステムへスムーズにアクセスできるため、サービスごとに異なるパスワードを入力する手間がなくなり、ユーザーの負担軽減にもつながります。

近年では、SMS や電子メールで金融機関や荷物の配送業者などの実在する企業を装ってフィッシング サイトへ誘導し、ID やパスワードを入力させる手口が多く発生しています。このようなフィッシング詐欺への対策方法として、SMS や電子メールに記載された URL には不用意にアクセスしないこと、不審なメールは開かずにゴミ箱に捨てることなどが挙げられます。

また、メールの送信者やドメインを確認することで、悪質なメールに気付きやすくなります。銀行や配送業者などから身に覚えのないメールが届いた際には、公式のメール アドレスやドメインを確認してみてください。メールに記載されている内容を鵜呑みにせず、金融機関や配送業者に直接問い合わせてもよいでしょう。

昨今、通信事業者を装い、スマートフォンなどに不正アプリをインストールさせ、ID やパスワードを入力させる手口も新たに確認されています。日ごろから馴染みのある企業からのメールであっても、本当にその企業から届いたメールだと確認できるまでは開封してはいけません。また、本文に記載された URL には絶対にアクセスしないように注意しましょう。さらに、定期的にフィッシング サイトが出回っていることや、本物の正規サイトであるかどうかを念入りに確認する必要があることを、社内全体に注意喚起することも大切です。

システムの脆弱性をねらわれないようにするためには、ウイルス対策ソフトの利用や OS、ソフトウェアのアップデートを徹底して行うことが重要です。普段の業務で利用するパソコンやスマートフォン、タブレット内のソフトウェアやアプリなどを、できる限り最新状態に保っておきましょう。

不正アクセスへの対策は、従業員に大きな負担がかかります。そのため、ID やパスワードのセキュリティ強化につながるツールや、自動で不正アクセスを検知するセキュリティ ツールの導入が有効です。ID やパスワードのセキュリティ強化におすすめなのが「多要素認証」と呼ばれるしくみです。多要素認証 (Multi Factor Authentication) は、認証の 3 要素から 2 つ以上を組み合わせて認証します。認証の 3 要素は以下のとおりです。

• 知識情報 (パスワード、P I N コードなど）
• 所持情報 (スマートフォン、IC カードなど）
• 生体情報 (指紋、静脈など）

多要素認証は、一般的な ID とパスワードによる認証よりもセキュリティ レベルが向上します。サイバー攻撃が多様化している背景もあり、多要素認証を導入する企業が近年増加しています。

不正アクセスの自動検知に有効なのが、Microsoft Defender for Business です。Microsoft Defender for Business は、従業員 300 人以下の企業向けに設計されエンドポイント セキュリティ ソリューションで、以下のような特長があります。

• 企業内のデバイスを一覧で表示し、正常性やリスク レベルなどの状態を可視化できる
• 不審な端末の分離や修復、調査などを実施できる
• 調査と修復を自動化できるため、アラートの数を減らしてタスクに優先順位を付けることが可能。高度な脅威に対して集中的に対応できる

不正アクセスを未然に防ぐためには、社内のデバイス管理も非常に重要です。Microsoft Defender for Business は、企業内のデバイスを一覧で表示するため、ひとめで各デバイスの状態を把握できます。また、手間がかかる調査や修復作業も自動化でき、デバイスの管理を効率よく行えるメリットもあります。

不正アクセスはさまざまな手口で行われており、企業への被害や経済的な損失を招く危険性が非常に高いです。また、顧客や取引先にまでも影響が及ぶおそれもあるでしょう。不正アクセスを未然に防ぐためには、パスワードの適切な設定/管理や、企業内のデバイス管理、OS やソフトウェアのアップデートなどを適宜行う必要があります。

ただし、これらの業務を日常的に行うのは、社員の負担増加につながります。そのため、ID やパスワードのセキュリティ強化が可能なツールや、自動で不正アクセスを検知するセキュリティ ツールの活用がおすすめです。Microsoft Defender for Business は、不審な端末の分離や修復、調査などを実施できるため、不正アクセス対策としても有効です。Microsoft Defender for Business などの製品を積極的に導入し、企業のデバイス管理をスムーズに実施していきましょう。

本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。