不正アクセスの対策とは? 手口や発生する被害、発生時の対処法を解説
不特定多数をターゲットとする不正アクセスは、誰もが被害者になりえる犯罪です。対策が不十分で顧客にも被害が拡大すれば、企業の社会的信頼を失墜させることになりかねません。では、不正アクセスの被害を防ぐには、どのような対策を行えばよいのでしょうか。
本記事では、不正アクセスの手口や被害例、とるべき対策のほか、発生時の対処法などを解説します。
不正アクセスとは、第三者が不正にパソコンやシステムに侵入する犯罪行為
不正アクセスとは、パソコンやサーバー、システムなどへのアクセス権限を持たない第三者が、脆弱性を突いたり他人のID・パスワードを無断で使ったりする方法などで、不正に侵入する犯罪行為です。個人情報や機密情報のデータの取得、詐欺行為などを目的として行われるのが一般的です。
不正アクセスが起こると、サーバーやシステムの停止によって業務を行えなくなったり、顧客情報が漏洩して企業のブランドイメージや信頼を損なったりする可能性もあります。
また、1度目の不正アクセスで、自由に不正侵入できるようになるバックドアが設置されると、繰り返し攻撃を許して被害が拡大する恐れもあります。
不正アクセスの手口
不正アクセスを防ぐには、攻撃者の手口を知ることが不可欠です。不正アクセスの代表的な手口としては、下記の3つが挙げられます。
脆弱性を利用した侵入
不正アクセスは、ネットワーク機器やサーバー、OS、アプリケーションなどの脆弱性を突いて行われることがあります。脆弱性とは、プログラムのバグや人的ミスによるセキュリティ上の欠陥のことです。
脆弱性が発見された場合、メーカーなどから配布される更新プログラムを実行することで脅威を回避できます。しかし、プログラムのインストールを怠ったり、誰も気づいておらず更新プログラムの開発が間に合っていない脆弱性を突かれたりすると、侵入を許してしまう可能性があります。
リモートワークの普及で需要が高まったVPN機器の脆弱性が狙われて、不正アクセスされたケースも発生しています。
なりすまし
不正アクセスの代表的な手口のひとつは、何らかの不正な方法で入手したIDとパスワードを使い、アカウント所有者になりすましてログインする方法です。IDとパスワードを入手する方法には、大きく分けて、IDとパスワードの組み合わせを何通りも試して正解を探す方法と、過去の流出データを利用する方法の2通りあります。
単純で推測されやすいIDとパスワードを使っていると、不正アクセスされるリスクが高まります。また、ひとつのID・パスワードの組み合わせを様々なサービスで流用していたりすると、一度不正アクセスされた場合に被害が拡大しかねません。
ウイルス感染
不正アクセスは、マルウェアなどのウイルス感染によって発生することもあります。ウイルスを感染させる代表的な方法は、ウイルスに感染させるファイルを添付したメールを送信して、ファイルを開いたパソコンなどにウイルスを感染させる方法です。メールは、取引先や顧客などを装った巧妙な手口で送られてくるケースもあるため、不注意や知識不足によって侵入を許してしまうことがあります。
不正アクセスによって発生する被害
不正アクセスを受けると、企業や組織の運営を揺るがす重大な事故につながりかねません。不正アクセスが引き起こす被害としては、下記の3点が代表的です。
情報漏洩
不正アクセスで発生する代表的な被害は、重要な個人情報や機密情報の漏洩です。不正アクセスされた端末内に保存された情報だけでなく、端末からアクセスできるすべてのシステムの情報が盗まれる可能性があります。
東京商工リサーチの「2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」によれば、2023年に上場会社とその子会社で起きた情報漏洩・紛失事故の原因のうち、最も多い原因がウイルス感染・不正アクセスで、過半数を占めていました。2番目に多い誤表示・誤送信の倍以上の割合になっており、多くの企業が不正アクセスによる情報漏洩の被害に遭っていることがわかります。
- 併せて読みたい
データの改ざん
不正アクセスによって、データが無断で改ざんされたり、暗号化されて読めなくなったりするケースもあります。
ランサムウェアと呼ばれる、システム内のデータを暗号化して身代金を要求するサイバー攻撃を仕掛けられた場合、暗号化されたデータは容易に復旧できません。攻撃者の言いなりになって身代金を支払っても暗号化が解除されるかは不明であるため、身代金の要求には応じないことが推奨されます。
身代金の要求に応じない場合は、専門業者などに依頼して復旧することになるため、専門業者への報酬や復旧までの機会損失などによって、多大な損害を被る可能性があります。
関係者へのサイバー攻撃の拡大
不正アクセスが起きると、侵入された端末はもちろん、その機器を通じてほかの端末なども被害を受けるリスクがあります。侵入された端末からウイルスを添付されたメールが関係者に送信されれば、顧客や取引先にも被害を広げかねません。また、閲覧者に感染が拡大するマルウェアなどを、Webサイトに仕掛けられる可能性もあります。
不正アクセスの対策
不正アクセスの被害を未然に防ぐには、平時から適切な対策をとっておくことが必要です。主な不正アクセス対策としては、下記の9点が挙げられます。
ソフトウェアのアップデート
ソフトウェアの脆弱性を突いた攻撃を防ぐには、脆弱性の修正を目的として配布されるソフトウェアのアップデートプログラムを確実にインストールすることが必要です。
ソフトウェアは通常、リリースされた時点ではセキュリティ対策も万全です。しかし、リリース時にはわからなかった脆弱性が後から発見された場合は、アップデートプログラムを適用しなければ対応できません。アップデートで、常に最新の脅威に対応できる状態を保つことが重要です。
従業員による設定変更やソフトウェアのインストールの制限
システムの設定変更やソフトウェアのインストールを従業員の判断に任せていると、企業や組織の管理が行き届かず、不正アクセスを招きかねません。セキュリティ意識の低い従業員による設定変更や、脆弱性のあるソフトウェアのインストールなどでセキュリティ上の穴が発生し、不正アクセスを許すこともあります。
システム全体の安全性に影響を及ぼす可能性のある設定変更やソフトウェアのインストールは、一定の権限がある人しかできないように権限を設定しておくのがお勧めです。
適切なアクセス権限の設定
ファイルやフォルダーへのアクセス権限は、アクセスが必要な人に限定して、必要な範囲での権限のみを付与するようにしなければ、不正アクセスの際に被害を拡大させる可能性があります。「見る人が多岐にわたるから」「関連する部署が多いから」といった理由でファイルやフォルダーへのアクセス権限をオープンにしているケースもありますが、それでは社内のネットワークに侵入した攻撃者にすべてのデータを公開しているのと同じです。
ファイルやフォルダーへのアクセス権限は、従業員の属性などに応じて必要性を判断して、書き込みや読み取り、実行などの権限を適切に設定しましょう。
- 併せて読みたい
パスワード管理の強化
不正アクセスを防ぐには、パスワードの管理も重要です。単純で推測されやすいパスワードや、ほかのサービスなどで使用しているパスワードの使いまわしは、不正アクセスを引き起こしやすくなります。記号などを混ぜた複雑なパスワードに変更するとともに、定期的にパスワードを変更するようにしてください。
多要素認証の導入
多要素認証の導入も、不正アクセス防止には有効です。多要素認証とは、サービスへのログインなどで用いる認証方法のひとつで、ID・パスワードによる知識情報の認証だけでなく、生体情報や所持情報を含めた3要素のうち複数の要素で認証する仕組みです。生体情報とは、例えば顔、指紋といった身体の特徴に関する情報のことで、所持情報とは、例えばスマートフォンを所持している人だけがわかる認証コードなど、ユーザー本人しか所持していない物に関連する情報を指します。
多要素認証を導入することにより、パスワードが流出しても簡単には情報にアクセスできなくなるため、セキュリティが向上します。
モバイル端末の適切な管理
不正アクセス対策では、業務で持ち運んでいるモバイル端末の適切な管理も重要です。企業から貸与されたモバイル端末は基本的に従業員ごとに管理するため、企業や組織のセキュリティ対策が行き届きません。セキュリティ対策が甘い端末が紛失などで第三者の手に渡ったら、簡単に企業のネットワーク内の情報にアクセスにできてしまいます。
端末内に保存する情報の選別や、紛失に備えた遠隔ロックの導入などで、モバイル端末のセキュリティも高めておきましょう。
- 併せて読みたい
セキュリティ対策ソフトの導入
ウイルスやマルウェアの感染を防ぐセキュリティ対策ソフトの導入も、基本的な不正アクセス対策のひとつです。ウイルスが添付されている可能性のあるメールを自動的に仕分けたり、不正アクセスにつながるソフトウェアの機能を制限したりすることで、不正アクセスから企業の情報資産を守ります。
ファイアウォールなどの導入
不正アクセスをより確実に防ぐために、セキュリティ対策ソフト以外にも、攻撃者のアクセスを検知・遮断するツールの導入も検討しましょう。代表的なツールは、下記の3点です。
- 不正アクセスを検知・遮断する主なツール
-
- ファイアウォール:インターネットと自社ネットワークの間で、あらかじめ設定したルールに沿って不正なデータを除外
- IDS・IPS:ネットワークを監視して攻撃の兆候を早期に検知、遮断
- WAF:通信を解析して、ファイアウォールやIDS・IPSでは防げないWebアプリケーションの脆弱性を突いた攻撃を遮断
従業員教育
不正アクセス対策として、従業員教育でリテラシーを高めることも重要です。情報漏洩につながるインシデントには、従業員の不注意によるウイルス感染や、メールの誤送信といったケースもあります。
リモートワークの普及によって社外で仕事をする機会が増えた企業では、ID・パスワードの不適切な管理、社外に持ち出したパソコンの紛失などによる不正アクセスのリスクが高まります。セキュリティ対策を怠ることで発生する被害の大きさや、情報の適切な扱い方について説明する機会を設け、従業員の危機意識を高めてください。
不正アクセスされた場合の対処法
不正アクセスが発生した場合は、被害を最小限にとどめることを考えなくてはなりません。とるべき対応を社内マニュアルなどにまとめ、全社に周知徹底しておきましょう。
一般的には、不正アクセスが起きたら下記の3ステップで対応を進めます。
1.ネットワークからの切断
不正アクセスに気づいたときに最初に行うことは、被害に遭った端末のネットワークからの切断です。端末がネットワークにつながったままだと、自社内のほかのパソコンやシステムへの不正アクセスのリスクを高めるだけでなく、自社サーバーを踏み台として顧客や取引先に被害を広げてしまう可能性もあります。
「Wi-Fiを切る」「LANケーブルを抜く」といった方法で、被害を受けたパソコンを物理的にネットワークから切り離しましょう。
2.アクセスログと被害の確認
被害端末の隔離が済んだら、速やかにアクセスログ、ログイン履歴、メールの送受信履歴を調べ、被害状況を確認します。証拠になりそうな記録は、必ず保存しておきましょう。
被害状況については、流出した可能性のある情報を細かく調査し、ほかの端末やシステムなどに被害が拡大していないかを確認してください。
3.関係各所への報告と事後対応
被害状況を把握したら、情報が流出した可能性がある個人や取引先、関係者、警察などに連絡します。
個人情報の漏洩によって個人の権利や利益を害する可能性がある場合、該当する個人への連絡とともに個人情報保護委員会への報告も義務化されています。本人への通知が困難な場合は、Webサイトでの公表や問い合わせ窓口の設置で代替することもできます。
また、銀行口座の情報が流出している場合は銀行、クレジットカードならカード会社への連絡が必要です。口座番号の流出だけであれば、直ちに預貯金に被害が生じることはありませんが、口座情報とインターネットバンキングのパスワードの組み合わせが流出した場合は迅速に対処しなければなりません。
このような関係各所への報告を行いながら、必要であれば被害に遭ったシステムを復旧し、さらに今後不正アクセスを許さないための対策を検討する必要もあります。
- 併せて読みたい
不正アクセスへの対策のために、適切なシステムを導入しよう
不正アクセスの手口は日々進化し、巧妙化・複雑化しているため、セキュリティ対策ソフトやツールを導入しなければ攻撃を防ぐことはできません。ソフトウェアのアップデートや、従業員それぞれで保有しているモバイル端末の適切な管理、万が一不正アクセスが起きた際に備えるためのアクセスログの記録などによって、万全の対策を構築しましょう。
インターコムが提供するIT資産管理ソフトの「MaLion」シリーズは、企業のIT資産管理と不正アクセス対策を同時に行えるツールです。人的な管理に限界がある社内のIT資産の情報を一元的に収集し、ソフトウェアアップデートの状況を含めて確実に管理します。
セキュリティポリシー設定はもちろん、ポリシー違反者への警告通知、外部デバイス監視、送受信メール監視、ファイルアクセス監視、Webアクセス監視、個人情報ファイル制御などをひとつのシステムで実現できるため、セキュリティ対策に割ける人員が少ない場合でも手厚い対策を実施できます。社内情報の漏洩を未然に防ぐとともに、従業員に対する不正操作の警告表示などによるセキュリティ意識の向上もできます。
効率的に不正アクセス対策を導入したい場合は、ぜひ「MaLion」をご検討ください。
