不正アクセスとは？手口・被害事例から企業ができる対策まで徹底解説【お役立ち情報】 | OFFICE110

「サイバー攻撃の種類と被害」記事一覧

不正アクセスとは？手口・被害事例から企業ができる対策まで徹底解説

この記事では、数多くの企業が被害を受けている「不正アクセス」について徹底解説します。

その理由と効果的な対策まで解説するので、自社のセキュリティ強化の参考にしてください。

不正アクセスとは？企業を狙う犯罪行為の特徴

不正アクセスとは、デバイスやシステムなどにアクセス権限のない悪意を持った第三者が、何かしらの方法で不正にログインするサイバー攻撃手法です。
第三者が企業に不正アクセスする理由をいくつか挙げると、以下の通りです。

不正アクセスによる被害は増加傾向にあり、総務省の報道資料によると2020年には2,806件もの被害が報告されています。
そのうち、なんと2,703件が一般企業という事実が明らかです。

報告されている件数だけでも、約3,000件です。つまり実際には、相当数の企業が被害に遭っていると予想されます。

（参考：不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 | 総務省）

不正アクセス禁止法とは

不正アクセス禁止法とは、不正アクセス行為や不正アクセスにつながる行為を禁止する法律です。
「不正アクセス行為の禁止等に関する法律」では、法律の目的を以下のように定めています。

第一条　この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。

（引用：不正アクセス行為の禁止等に関する法律 | e-Gov法令検索）

この法律により、業務都合による正当な理由がある場合以外は不正アクセス行為をしてはいけない、と定められています。

不正アクセスによる罰則

不正アクセス禁止法によると、不正アクセスをおこなった者には「3年以下の懲役」、もしくは「100万円以下の罰金」が課せられます。
しかし罰則があるにもかかわらず、不正アクセスによる被害は増加傾向です。

なぜ罰則があるのに不正アクセスは減らないのか？
それは罰則以上に、不正アクセスによって得られる利益が大きいためだと考えられます。

不正アクセスの大半は、「金銭を盗む」という目的でおこなわれます。
1回の不正アクセスで、罰金上限の100万円以上を得ることもあるでしょう。

そうした理由から、不正アクセス行為の禁止は法律で定められているにもかかわらず、犯罪が減るどころか年々増え続けているのだと推測されます。

企業が不正アクセス対策するべき理由｜企業存続への影響は？

企業が不正アクセスによって受ける被害は、おもに2種類です。

これらの被害により、最悪の場合には企業存続の危機に陥る可能性もあるため、企業は不正アクセスの対策を徹底すべきです。
それでは次に、それぞれどのような被害を受けてしまうのか解説します。

金銭が盗まれる・クレジットカードの不正利用・情報漏えいによる信用低下

不正アクセスによる被害の多くは、「金銭的な被害」です。
総務省の調査によると、実際に以下のような被害が発生しています。

例えばインターネットバンキングのID・パスワードが盗まれ、不正に金銭を引き出されます。
少額ずつ不正送金され、気づかないうちに大きな金銭被害になっている場合もあるでしょう。

さらに事業継続の妨害目的で、「情報漏えい」させられることもあります。
社内の機密データや顧客情報が漏えいすると、企業の信用が下がり、最悪のケースでは倒産に追い込まれることも。

全ての企業において、事業の継続には「金銭」も「信用」も重要です。
そのため企業は、不正アクセスを受けないために対策を強化する必要があります。

踏み台にされサイバー攻撃の加害者となる

不正アクセス被害でもっとも避けたいのが、サイバー攻撃の踏み台にされてしまうこと。
サイバー攻撃の被害を受けるだけではなく、他の企業に危害を加える「加害者」にもなる恐れがあります。

というのも、不正アクセスにより自社のネットワークを経由して、別の企業にサイバー攻撃を仕掛けるケースも。
この場合、世の中的には踏み台にされた企業がサイバー攻撃したことになります。

つまり被害を受けた自社が犯罪に加担した加害者となり、誤認逮捕もあり得ます。
別の企業に迷惑をかけないため、なにより自社を守るためにも、不正アクセス対策は企業にとって必須の対策です。

不正アクセス行為の手口｜よくある原因とは？

それでは、具体的にどのような手口で不正アクセスされてしまうのでしょうか？
不正アクセス行為の代表的な手口（原因）は、次の5つです。

手口①不正ログイン

不正アクセスで代表的な手法が、「不正ログイン」です。
IDとパスワードを不正に入手し、企業のデバイスやシステムに不正にログインします。

第三者によるIDとパスワードの入手方法は、さまざまです。

一度IDとパスワードが盗まれてしまうと、不正ログインに気づきにくく危険です。
不慮の事故でログイン情報が流出しないよう、日頃からセキュリティ意識を高めましょう。

手口②脆弱性を狙われる

パソコンのOSやアプリ、システムに「脆弱性」が見つかったとき、悪意のある第三者はそこを突いて不正アクセスします。
脆弱性を突いて自社のデバイスやシステムに侵入し、情報を盗まれたり、ファイルを改ざんされたりします。

脆弱性とは、「セキュリティ上の欠陥（弱点）」のことです。

脆弱性を放置しておくのは無防備な状態で、様々なサイバー攻撃に狙われる危険性があります。
また企業のセキュリティ対策不足を表すことにもなり、信頼を低下させてしまう恐れもあるので、早期発見と解消を心掛けましょう。

手口③フィッシングサイトによる詐取

フィッシングサイトとは、実在する企業や金融機関を装った偽サイトです。
偽サイトだと気づかずIDやパスワードを入力すると、悪意ある第三者に情報を自ら漏らすこととなります。

実はインターネットバンキングの不正送金のきっかけで多いのは、「フィッシングサイト」。
普段利用している金融機関を装い、IDとパスワードを入力させて情報を収集し、不正ログインして別の口座へ送金します。

こういった詐欺サイトが原因で、不正アクセスによる金銭被害が増加するのです。

フィッシング詐欺の意味とは？手口・被害事例やセキュリティ対策を解説

手口④マルウェアの感染

マルウェアを簡単に説明すると、悪意のあるソフトウェアの総称です。
PCなどの端末がマルウェアに感染すると、不正アクセスに必要な情報を盗まれます。

マルウェアに感染させる手法の多くは、「メール」や「ウェブサイト」経由です。
メールの添付ファイルや、本文中に貼り付けたURL先にマルウェアを組みます。

マルウェアに感染すると、不正アクセスされるだけではなく、データの改ざん・破壊やパソコンの乗っ取り、金銭被害にもつながる可能性があり大変危険です。

手口⑤標的型攻撃

標的型攻撃とは、特定の個人や企業を狙ったサイバー攻撃のことです。
ターゲットとなる企業に特化した手法で攻撃してくるため、防ぎにくいのが特徴です。

標的型攻撃の手法としてメールがあり、こうした手法は「標的型攻撃メール」と呼ばれます。
メールによるサイバー攻撃手法は多彩で、被害も多いのです。

企業が不正アクセスされた事例紹介｜事例から学ぶ不正アクセス手法

年々不正アクセス被害が増加していますが、実際に企業はどのような被害を受けているのか、想像しづらいでしょう。

そこで続いては、「情報処理推進機構（IPA）」から発表された情報をもとに、不正アクセスの事例を3つ厳選してご紹介します。

事例①サーバー侵害

◆発見経緯

B社社員が出社し、パソコンを立ち上げたところ、システムが利用できないことが判明した。
これを受け社内調査を実施したところ、複数拠点において、社員が使用するパソコンのファイルが暗号化され拡張子が変更されていることを確認した。

また、それらパソコンでは、データ復旧のためにダークウェブ上のチャットで連絡することを求めるメッセージが表示されていた。
さらに、VPN装置への不正アクセスや、Active Directory等のサーバへの不正アクセスとファイルの暗号化も確認された。

警察に被害相談を行ったところ、警察による調査も行われ、リークサイト上にB社の情報と、窃取されたと思われるファイルがあることも確認された。

◆被害内容

サーバ6台、パソコン15台が、Spookと呼ばれるランサムウェアに感染させられ、1万以上のファイルが暗号化された。

侵害されたマシンでは、システムを復旧するためのデータや、各種ログが削除されていた。
Active Directory侵害後、バックアップ用サーバも侵害され、機能しない状態とされたため、システムの復旧に甚大な影響を及ぼした。

これらの被害により、約1か月間、業務管理のためのシステムの利用ができないまま業務運営を行うこととなった。

事例②脆弱性を悪用した攻撃

◆発見経緯

届出者が所有するウェブサイトがサービス停止していることを、サーバの保守運用を担っていた委託業者が発見した。

調査を行ったところ、ウェブサーバ上にあったファイルの改ざんや不正なファイルの設置により、サービス停止の発生が確認された。

◆被害内容

本件では、ウェブサイト上の複数のファイルの改ざんおよび不正ファイルの設置が行われた。
攻撃者は、ウェブサイトがMovable Typeで動作していることを前提としたファイルの改ざんを行った。

その結果、移行先であるCMSの機能が停止し、ウェブサイトへアクセスできなくなった。
なお、この時点で攻撃者からのアクセスを遮断したため、ファイルの改ざんや不正なファイルの設置、ウェブサイトのサービス停止以外の被害は確認されなかった。

事例③顧客情報が流出

◆発見経緯

届出者が運営するECサイトにおいて、特定のIPアドレスからのアクセスによるデータベースの負荷増大を発見した。

負荷増大の原因を調査した結果、長時間滞留しているSQL処理があることを発見した。届出者が保有している顧客情報（数十万件分）が漏洩した。

◆被害内容

届出者が保有している顧客情報（数十万件分）が漏洩した。
売上減や対象顧客への見舞金等により、総額2億円以上の損失になる見込みである。

企業ができる不正アクセスの対策｜被害をなくすために有効な方法

不正アクセスには様々な手口があり、企業の存続に大きな影響を与える脅威だとわかりました。

では、企業は不正アクセスの被害を受けないためにどのような対策ができるのか？

具体的な対策方法が知りたいですよね。
企業ができる不正アクセスの対策方法は、6つあります。

不正アクセス対策の強化は、企業の存続に関わります。
ここからは、企業ができる不正アクセスの対策について紹介します。

対策①セキュリティソフトを常に最新バージョンにする

セキュリティソフトが最新バージョンになっているかどうか、定期的に確認しましょう。

最新バージョンに更新しなければ、セキュリティ上の「脆弱性」が放置されたままとなり、不正アクセスされる原因となってしまうためです。
一度見つかった脆弱性は繰り返し利用されてしまうため、定義ファイルを更新しなければ、不正アクセスのリスクを高めることとなります。

セキュリティソフトが最新バージョンであれば、最新のサイバー攻撃にも対応しているということ。セキュリティソフトが最新バージョンになっているか、1ヶ月に1回は確認しましょう。

対策②OS・アプリを最新にする

パソコンのOSや使っているアプリのバージョンも、定期的に確認しましょう。

バージョンアップする理由の多くは、「脆弱性」が見つかったためです。
セキュリティソフトと同様に、欠陥のある状態のままだと不正アクセスの原因となります。

例えば、Windows XPは2014年4月にサポート終了しました。
物理的にはまだ使えるとはいえ、大半の企業はパソコンの買い換えを余儀なくされました。
その理由はWindows XPのサポートが終了し、更新プログラムの提供が終了したからです。

バージョンが古いと、脆弱性がそのままとなり、サイバー攻撃されやすくなり危険。
そうなると情報漏えいはもちろん、システムやデータの改ざんまで好き放題されることに。

サポート対象のOSでも、最新バージョンになっていないと同様のことが起こりえます。セキュリティソフトが最新バージョンになっているか確認すると同時に、パソコンのOSやアプリのバージョンも確認しましょう。

対策③推測されやすいパスワードは使わない

パソコンやシステムでは、推測されやすいパスワードは使わないようにしましょう。
なぜなら、パスワードを不正に入手する方法があるためです。

第三者が不正にパスワードを入手する方法として、理論的に考えられるパスワードのパターンすべてを入力する「ブルートフォース攻撃」という手法があります。
たとえば4桁の数字パスワードの場合、0～9999の数字の組み合わせをすべて力任せに試すことで、いずれパスワードを解読できるというものです。

おすすめなのは、予想されにくい「大文字小文字の英数字」と「記号」を組み合わせるパスワードです。
その際には、同じパスワードを使い回さないよう注意しましょう。

仮にパスワードを使い回していた場合、一度漏えいすると他のデバイスやシステムにも不正アクセスされてしまいます。よってなるべく複雑なパスワードを設定した上で、使い回しは控えてください。

対策④怪しいメールは開かない

さらに、怪しいメールは開かないことを徹底しましょう。

なぜなら添付ファイルや本文中のURLには、マルウェアが仕込まれている恐れがあるため。
マルウェアに感染すると、通信内容をの盗聴や乗っ取りの被害に発展する恐れがあるので、次のような怪しいメールにはご注意ください。

怪しいメールか判断できる基準のひとつは、アドレスの「＠」以降です。有名企業からのメールに思えても、アドレスが1文字だけ違うパターンがあるんですよ。

対策⑤従業員のセキュリティ意識向上

従業員のセキュリティ意識向上は、企業の不正アクセス対策として欠かせません。
どれだけ対策しても、システムでは人による情報漏えいを防ぎきれないためです。

効果的なのは、半年に1回のペースで、「標的型メール攻撃」訓練をおこなうこと。
セキュリティ意識が薄れそうなタイミングで訓練すると、セキュリティ意識を高く保てます。

また、社内でサイバー攻撃の被害事例を共有するのも有効です。
過去の事例を知っていれば、従業員自らが気をつけて行動できます。

不正アクセスは、社外からの攻撃に限らず内部による不正も考えられます。よって、人による情報漏えいリスクを減らす取り組みを実施しましょう。

対策⑥サイバーセキュリティ製品を導入する

以上で、今すぐできる対策や簡単にできる対策を紹介しました。
しかしどれほど気をつけていても、さらに高度な手段で不正アクセスされる恐れがあります。

よって、あらゆる不正アクセスの手口に対応できる「セキュリティ製品」を導入しましょう。

セキュリティ製品を導入すれば、マルウェアに対し、そもそも自社のネットワークには入れないようにしてくれます。
また怪しいサイトへのアクセス制限もできるため、フィッシングサイトによる、IDやパスワードの漏えいを防ぐ効果も期待できます。

不正アクセスの手法は日々巧妙化しており、OSやセキュリティソフトのバージョンに注意するだけでは不十分企業の財産を守るためにも、サイバーセキュリティ製品を導入しましょう。

不正アクセス対策はOFFICE110へご相談を！あらゆる視点からトータル提案

弊社は全国に12万社の導入実績を誇る、オフィス機器総合販売の「OFFICE110」です。
サイバーセキュリティ無料診断をおこなっており、お客様のすべてのネットワーク機器のセキュリティ脆弱性を調査します。
そのうえで、最適なセキュリティ対策を提案いたします！

少しでも気になる方は、ぜひお気軽にOFFICE110へお問合せを。
また通常は10万円以上のセキュリティ診断を無料で実施しておりますので、自社のセキュリティの脆弱性が知りたい方も、この機会にお問合せください。

まとめ｜不正アクセスとは企業存続を脅かす犯罪行為

今回は、不正アクセスとはどういったものかを説明しました。

企業の不正アクセス被害は年々増加傾向にあり、特に「インターネットバンキングによる不正送金被害」が目立ちます。
中には毎回少額ずつ不正送金され、不正アクセスされていることに気づけないケースも。

自社が被害に遭うだけなら良いほうで、場合によっては踏み台にされ、不正アクセスの加害者になってしまう可能性があります。
自社を守るためには、不正アクセス対策強化は必須です。

自社のセキュリティ対策にお悩みなら「OFFICE110」へお問い合わせください。
あらゆる面から、ITの専門家が最適なご提案をさせていただきます。