不正アクセスとは?起こりえる被害と手口・対策方法を解説
企業のセキュリティ対策を考える際は、不正アクセスへの対応を万全にしておく必要があります。不正アクセスの手口は多種多様です。万が一不正アクセスの被害にあってしまうと、WEBサイトを改ざんされたり、内部のシステムを破壊されたりするなど、多くの実害が発生してしまいます。
当記事では、不正アクセスの被害と手口、セキュリティ対策の方法を詳しく解説します。不正アクセスがどのようなものか知り、適切な対策を講じる一助にしてください。
目次
1. 不正アクセスで起こる被害
不正アクセスとは、アクセス権限を持っていない人がデバイスやサーバー、システムなどに不正に接続したり、侵入したりする行為です。日本では「不正アクセス行為の禁止等に関する法律」、いわゆる「不正アクセス禁止法」で罰則などが定められています。
不正アクセスは「侵入行為」と「なりすまし行為」に大別できます。
侵入行為とは、攻撃者がソフトウェアやアプリなどの脆弱性を突いてデバイスやシステムなどに侵入する行為です。なりすまし行為とは、攻撃者が不正入手したIDやパスワードで標的のアカウントにログインし、悪用する行為を指します。
企業へ不正アクセスが行われると、システムやサービスが停止したり、機密情報や顧客情報が漏洩したりといった実害だけでなく、企業のイメージや信用が傷つく恐れもあります。
以下では、不正アクセスで起こる具体的な被害について解説します。
1‐1. WEBの改ざん
WEBの改ざんとは、攻撃者が標的とするWEBを不正に操作して、情報の書き換えなどをする行為です。改ざんが行われたWEBは、本来の意図とは異なる情報を掲載したり、サイト訪問者をマルウェアに感染させたりする可能性もあります。
WEBを改ざんする主な手口は2つあり、1つはWEBなどの脆弱性を利用する手口です。JavaScriptやHTMLなどのコンピューター言語を悪用し、システムの誤作動や情報の窃取、偽ページへの誘導などを行います。
もう1つの手口は、管理者アカウントの乗っ取りです。攻撃者は正当な管理者になりすまして正規の処理方法でWEBを改ざんするため、発覚が遅くなる傾向があります。
1‐2. 破壊行為
破壊行為とは、情報の破壊を行う不正行為です。攻撃者が標的の情報を暗号化して利用できない状態にし、正常な状態への復元と引き換えに金銭を要求するランサムウェアは、破壊行為を伴う代表的な不正アクセスです。
警察庁によると、2022年のランサムウェアによる被害の報告件数は230件で、前年比で約6割増加しました。被害を受けるのは大手企業だけではなく、中小企業や各種団体も標的となっています。
また、ランサムウェアの被害を受けた企業や団体の中で、システムや機器のバックアップから被害直前の状態まで復旧できなかった割合は8割に上ります。
出典:警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
1‐3. 情報漏洩
情報漏洩とは、個人・企業・公共団体などが持つ情報が外部に流出することです。対象となる情報は個人名・住所・クレジットカード情報・従業員名簿・開発情報など多様です。
攻撃者が使う情報漏洩の手口には、マルウェア感染や不正侵入などがあります。大学の業務用PCがマルウェア感染して学生の個人情報が流出したり、企業の社内ネットワークに不正侵入されて顧客情報などが流出したりといった事件が起きています。
万が一、不正アクセスによって情報漏洩が確認されたら、システムを隔離して被害の拡大を防ぐとともに、不正アクセスの証拠を保管することが重要です。大量の情報漏洩があった場合には、行政機関である個人情報保護委員会などへの報告も欠かせません。
2. 不正アクセスの手口
不正アクセスの手口は多種多様です。以下では、主な手口の4つについて説明します。
3. 実施したい不正アクセス対策
企業の事業や利益、従業員などを不正アクセスから保護するためには、さまざまなセキュリティ対策の実施が不可欠です。具体的に何を行えばよいか、以下で詳しく解説します。
3‐1. ソフトウェア更新
ソフトウェアは開発・発売後に不具合や欠陥などの脆弱性が明らかになるケースがあります。脆弱性は攻撃者にとって絶好の狙い目となるため、ソフトウェアの開発元が修正プログラムを提供したら、企業のシステム管理者は迅速に対応することが大切です。
脆弱性の公表と同時に修正プログラムが提供されない場合、システム管理者は一時的な回避策を適用するなどしてシステムを保護します。開発元が発信する最新の製品サポート情報や脆弱性に関する情報などを注視することも、不正アクセス対策の一環です。
3‐2. セキュリティ対策ソフトの導入
不正アクセスに対しては、セキュリティ対策ソフトの導入も欠かせません。
例えば、ファイアウォールは不正なアクセスをブロックして社内ネットワークを保護するセキュリティ対策ソフトです。企業内外の通信を監視・記録し、インターネットを介した外部からの攻撃に対する防御壁として機能します。
不正侵入防止システムのIPSや不正侵入検知システムのIDS、アプリケーション向けのWAFなどは、脆弱性を突いた攻撃に対して有効です。防御する範囲が異なるセキュリティ対策ソフトを複数導入することで、社内ネットワークやシステムをより強固に保護します。
3‐3. 情報リテラシーの向上
情報リテラシーとは、情報を適切に整理・分析して活用する知識や能力を意味します。不正アクセス対策においてはソフトウェアの更新や導入に加え、システムを利用する人々の情報リテラシーを向上させることが非常に重要です。
情報リテラシーの欠如は企業にとっての大きなリスク要因です。従業員の情報リテラシーが低いと、詐欺行為の被害を受けたり、個人情報を流出させる原因を作ったりする可能性もあるでしょう。
従業員の情報リテラシーを向上させるには、社内研修の実施やeラーニングの活用がおすすめです。インターネット上の多様な情報についての真偽や公平性を的確に分析・活用できる能力促進に役立ちます。
不正アクセス対策をより確実にするためには、グループ企業や取引先などに対しても情報リテラシーの向上を求める必要があります。
まとめ
不正アクセスとは、デバイスやサーバー、ネットワークに不正に侵入することで、日本では「不正アクセス禁止法」により禁じられています。不正アクセスを受けることにより、WEBサイトの改ざんや情報漏洩などの被害にあう恐れがあり、企業のイメージや信用にも影響します。
不正アクセスを防ぐために、企業全体でセキュリティ対策を実施しましょう。CTCが提供するSecurity Stewardでは、現状分析を行った上で必要なセキュリティ対策を行うことが可能です。