不正アクセスを許すと、企業の重要な情報が漏洩したり改ざんされたりして、重大な問題につながりかねません。また近年、不正アクセスの手口が巧妙化しており、新しいウイルスが生み出されていたりします。

本コラムでは、そんな不正アクセスに対する対策方法や事例について紹介していきます。

不正アクセスとは

不正アクセスとは、アクセス権限を持たない者が特定のコンピューターに対して、不正な接続を試みる行為や、システム内に侵入してそのコンピューターを操作することです。

不正アクセスの発生件数は増加傾向にあり、もしアクセス権をもたない第三者に侵入された場合、重要な企業の情報や、顧客の情報などが漏洩し、重大な問題を引き起こしかねません。

2000年には不正アクセス禁止法という、不正アクセス行為やそれに繋がる識別符号の不正取得、それらを助長する行為等の法律が施行されました。下記は、不正アクセス禁止法で明文化された不正アクセスの行為です。

コンピューター内への侵入

コンピューターのハードやソフトの脆弱性をつき、システム内に侵入する行為です。
攻撃などに用いる情報は、ダークウェブと呼ばれる、特別なツールを使って入手した情報が使われることが多くあります。

なりすまし

他人のIDやパスワード等のログイン情報を、何らかの方法で入手し、本人に「なりすまし」てログインする行為です。このなりすましには、本来のアカウント所有者が得るべきサービスを奪ったり、アカウントを悪用する行為、無断でログイン情報などを他人に知らせることなどが該当します。

不正アクセス被害と実例

不正アクセスによって実際に起こった被害は、「Web改ざん」「データの破壊」「情報漏洩」の3つに分類できます。ここでは実際に合った事例も交えて、不正アクセスによる被害を紹介していきます。

Webサイトの改ざん

Web改ざんとは、第三者が管理者の意志に関係なく、サイトを変更することです。ハードやソフトなどが抱えている脆弱性をついてコンピューター内に侵入したり、あるいはアクセスできる端末を経由して、改ざんが行われるケースが多くあります。
例えば、最近ではWordpress等のようなCMSに潜む脆弱性が悪用されるケースが散見されます。その事例は以下のものがあります。

実例：公官庁の被害

2000年に、OSやアプリの更新を怠っていた事を原因として、科学技術庁や総務庁などのWebサイトが改ざんされました。この事件が起こったことで、不正アクセス禁止法の法整備が早まるなど、世間に対して大きな影響のある事件でした。

情報漏洩

不正アクセスのよくある被害として、この情報漏洩が挙げられます。情報漏洩は外部からの攻撃に目が行きがちですが、実際には内部から漏洩するケースも多く散見されます。
特に、外部委託などをしている組織は注意する必要があります。
また近年、手口が非常に巧妙化している為、特に対策が必要だと考えられます。

不正アクセスによる情報漏洩リスクの一因として、管理されていないシャドーITの存在があります。シャドーITの発生原因や具体的リスク、対策についてはシャドーITとは？発生原因・リスクと対策、具体事例を解説で詳しく説明しています。ぜひあわせてご覧ください。

実例：東京大学の被害

2015年に、東京大学の業務用パソコンがウイルスに感染したことを原因に約3.6万件の学生・職員の個人情報が漏洩した事件です。
大学などでは特に多くの情報が集まっており、攻撃者から狙われることも多々あるので、しっかり対策を行うべき場所であるといえます。

データの破壊

データは盗まれるだけでなく、破壊される対象としても注意が必要です。特に近年、ランサムウェアと呼ばれるウイルスによる被害が多く散見されます。ランサムウェアはデータを恣意的に暗号化し、復号するために身代金を要求するものです。
2017年には、「WannaCry」というランサムウェアが猛威を振るい、多くの企業を悩ませました。

実例：自動車メーカー、ホンダの被害

自動車メーカーのホンダが「EKANS」というランサムウェアに感染し、社内ネットワークの中枢が狙われた事件です。これにより、製造ラインが数日間停止する等、製造に対して甚大な被害を与えました。

不正アクセスの対策はどうすればいい？

上述したように、不正アクセスは組織にとって重大な問題を引き起こしかねません。特に顧客情報などが漏洩した場合、企業などの信頼は一気になくなってしまいます。そこで、ここでは事前に行える、不正アクセスへの対策を紹介します。

ソフトウェアは最新の状態に更新する

まずは、利用しているアプリケーションなどのソフトウェアを最新バージョンにアップデートしましょう。アップデートを行う事で、ソフトウェアに脆弱性があったとしても、修正し不正アクセスなどのリスクを事前に軽減することができます。
簡単な対策ですが、常に最新バージョンにアップデートされている状態を保つために、定期的に確認を心掛けてみましょう。

社用PCに制限をかける

社用PCに制限をかけていない場合、社員が個人の判断で使いやすいソフトウェアをインストールする為、管理が行き届かなくなってしまいます。もしセキュリティ性の低いソフトウェアがインストールされた場合、そこがセキュリティホールとなり、攻撃者に狙われる可能性が増大します。独断でのインストールを予防するために、社用PCにはインストール制限などの制限を設けましょう。

推測しづらいパスワードの管理

推測しづらいパスワードを設定することは、簡単に対策が行えて且つセキュリティ性に直結する重要な対策です。「12345」や「qwertyuiop」などの特定されやすいパスワードは避けましょう。
また複数のサービスやデバイスを使用する中で、同じパスワードを使いまわすのも良くありません。1つが見破られたときに、全てのサービス、デバイスが被害にあってしまいます。

セキュリティ対策製品を導入する

最も簡単にセキュリティ性を高める方法は、セキュリティに強いPCやソフトを導入することです。
上述してきたように、近年の不正アクセスの手口は非常に巧妙かつ多様化しており、対策するのも複雑です。そこで、予めセキュリティ性の強いPCやソフトを導入していれば、例えば過去の攻撃を記録した定義ファイルを基にウイルスを検知し、侵入を防御してくれます。万が一ウイルスに侵入されたとしても、そのウイルスを検知・駆除し、感染源のファイルの削除・隔離を実行してくれます。

このようにセキュリティソフトを導入することで、ウイルス感染の可能性をお幅に軽減してくれます。

社員教育を徹底する

社員のITリテラシーを向上させることも重要な不正アクセス対策と言えます。
特に近年は、働き方が非常に多様化してきており、リモートワークなどで、社外にIDやパスワードなどの情報が持ち出されることも多くあると思います。
攻撃者は、社外に持ち出されているものを狙うケースも多々あります。

社外に持ち出す頻度の高いデバイスには、IDやパスワードといったログイン情報を記憶させないようにしましょう。

Josysのブラウザ拡張機能は、ユーザーが利用する未承認アプリの検知・管理をリアルタイムに行うことで、シャドーITのリスクを軽減します。リモートワーク環境下でも効果的なシャドーIT管理の実例や使い方は、Josys ブラウザ拡張機能によるシャドウ IT の管理で詳しくご紹介しています。

不正アクセスの手口のトレンド

近年、不正アクセスの手口として頻繁につかわれるものとして、パスワードリスト攻撃があります。これは、多くのユーザーが利用している「12345」などのパスワード文字列をリスト化したり、不正入手等であるパスワードリストを基に、不正アクセスを試みる方法です。

攻撃者はセキュリティホールの脆弱性につけ込み、ネットワーク内への侵入を試みます。アプリケーションなどに欠陥があると、攻撃者は狙ってくる可能性が非常に高くなります。

また近年は、攻撃者は被害者に気付かれずに犯罪を行う事も増えました。知らぬ間に、多くの情報が乱用され、甚大な被害になってしまう可能性もあります。

企業にとって不正アクセス対策は最重要事項

本コラムでは、不正アクセスの対策方法や対策を怠った際に起きた事例について紹介してきました。
上述してきたように、不正アクセスは機密性の高い情報が漏れたり、破壊されたりと企業にとって非常に大きな脅威です。

ジョーシスでは、2段階認証やIPアクセス制限、SAML連携などに対応し、セキュリティレベルの向上をサポートしております。SaaSの導入数が増え、セキュリティレベルに不安を感じている際は是非一度ご相談ください。