
近年、企業の不正アクセスによる被害が相次いでいます。
総務省HPによると、不正アクセスとは本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。
情報漏洩の原因の1つである不正アクセスは、企業活動をする上で対策が必須となります。なぜならば、社会的な信用の低下、賠償責任、取引先への説明などの結果に直結するためです。
この記事では、不正アクセスされる原因や事例、対策法を徹底します。
不正アクセス禁止法とは?
日本国内においては、2000年2月13日に不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為などの禁止を規定した不正アクセス禁止法が施行されました。
この法律でいう『不正アクセス行為』とは、次の三つの行為を指します。
他人のID・パスワードを悪用する行為
ウェブサイトの脆弱(ぜいじゃく)性を狙って不正なプログラムを実行する行為
マルウェア・コンピューターウイルスなどによって攻撃する行為
不正アクセス禁止法に接触する行為や罰則とは?
不正アクセス禁止法に接触する行為や罰則とは以下のものがあげられます。
- 不正アクセス罪
- 不正取得罪
- 不正助長罪
- 不正保管罪
- 不正入力要求罪
具体的にどのような内容なのかご説明します。
不正アクセス罪
不正アクセス禁止法の第3条によると「何人も、不正アクセス行為をしてはならない。」と記載されています。これは、第三者が不正アクセスすること自体を禁じるものです。
第3条に違反した場合は3年以下の懲役あるいは100万円以下の罰金が課されると、第11条で定められています。
ここでいう不正アクセスとは、他人のID・パスワードなどを悪用してなりすます行為やシステムの脆弱性を利用して内部に侵入する行為を指します。
不正取得罪
第4条によると「何人も、不正アクセス行為(中略)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。」と記載されています。この識別符号とは、ログインIDやパスワードのことを指します。
第4条では、不正アクセスする目的で他人のID・パスワードを取得した時点で罪に当たると定められています。
違反した場合、1年以下の懲役あるいは50万円以下の罰金が課されます。
不正助長罪
第5条によると「何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。」と記載されています。
これは、「正当な理由がないのに他人のIDやパスワードを第三者に教えてはいけない」ことを意味している記述です。自分が不正にID・パスワードを取得したわけではなくても、他者の不正取得を助長すれば罪に該当するため注意しなければなりません。
違反した場合、1年以下の懲役あるいは50万円以下の罰金が課されます。
不正保管罪
第6条によると「何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。」と記載されています。不正に取得した時点で第4条に該当して罰せられるだけでなく、さらにそれを保管すると第6条にも違反していると該当されます。
違反時の罰則は、1年以下の懲役あるいは50万円以下の罰金です。
不正入力要求罪
第7条によると「何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。」と記載されています。
次の2つの行為が禁止されている項目に該当します。
- アクセス管理者がログイン情報の入力を要求していると一般公開すること
- アクセス管理者がログイン情報の入力を要求しているとメールで送ること
これらに違反した場合、1年以下の懲役あるいは50万円以下の罰金が課されます。
不正アクセスの手口
第三者が不正アクセスする最終目的は、相手の情報を悪用するためです。
不正アクセスする手口として、複数ありますが、その中で代表的な手口をご紹介します。
認証情報の盗難
認証情報の盗難は、主に次の手法で行われます。
- 有名企業を騙ったWebサイト(フィッシングサイト)に個人情報を入力させ、認証情報の盗難を行う
- システムの脆弱性を狙い、不正に侵入し認証情報の盗難
ウイルス感染
メールの本文にウイルスを添付し、メールを開くと感染する手口があります。
個人や企業など不特定多数の人間に一斉に送信されるタイプです。こちらの厄介な点は、同じネットワーク内にいる機器へ感染する恐れがあり、他の情報も盗み取られる危険性があります。
不正アクセスで起こりうる被害
不正アクセスで起こりうる被害には以下のようなものがあります。
- 銀行口座やクレジットカードの不正利用による金銭的被害
- 取引先や機密情報の漏洩
- データやWebサイトなど情報の改ざん
- なりすましによるウイルス拡散
銀行口座やクレジットカードの不正利用による金銭的被害
ECサイトやネットバンキングを利用する場合、登録情報には何かしらのクレジットカード情報や銀行口座が登録されているケースがほとんどです。もし、これらのアカウントが第三者によって不正アクセスされた場合、不正購入や不正送金の被害にあう可能性があります。
被害者がすぐに気付きクレジットカード会社や銀行へ連絡出来たら防ぐことは可能ですが、知らない間に悪用されてしまうと莫大な被害額となり取り返しのつかないことになる恐れがあります。
取引先や機密情報の漏洩
業務で使用しているシステムに不正アクセスされると、顧客情報や取引先情報、企業ノウハウの機密情報など、企業にとって重要な情報が盗まれる可能性があります。状況によっては、相手方に損害賠償責任を果たす必要が生じる可能性があります。そうなった場合、今後の企業活動に大きく関わり最悪のケースですと倒産に追い込まれることも珍しくありません。
データやWebサイトなど情報の改ざん
不正アクセスされると、サーバー上のデータが書き換えられ使用不可になったり、意図しない悪質なファイルを埋め込まれてしまう場合があります。
なりすましによるウイルス拡散
不正アクセスされたアカウントや端末は、外部へのサイバー攻撃やウイルス拡散するために利用される可能性があります。
このなりすましによるウイルス拡散の恐ろしい点は、不正アクセスされた被害者が、犯罪に加担させられ
被害者である自分が加害者になるという点です。
身に覚えがないにも関わらず、被害請求が届くケースも過去にはあります。
不正アクセスが発覚した場合に必要な対処
不正アクセスが発覚した場合に必要な対処として代表例をご紹介します。
被害拡大防止のためシステムを隔離
まず、不正アクセスされた事実が発覚した場合、被害拡大防止のためにサーバーやネットワークからの遮断をおすすめします。
不正アクセスされた認証情報によっては、他のシステムへの介入など二次被害、三次被害が引き起こされる恐れがあるからです。
パスワードの変更
次に、パスワードの変更の対処をすべきです。不正アクセスされたという事実は自分のパスワードが漏洩している可能性が高いため、すぐに変更しないと第三者からいつでもログインされる状況になってしまいます。
不正アクセスの証拠を保管
セキュリティ製品によって差異はありますが、機器やネットワークのログが残っていた場合、適切に保管しましょう。
ログの種類として、該当日時に何をしていたのか、どこにアクセスしていたのかなどが判明しますが、
機器が動作する状態ですと、ログが更新され古いログが消える恐れがあります。ログが消失すると、肝心の見たい情報も閲覧不可となり今後の対応などに影響を及ぼすので、すぐに保管することをおすすめします。
行政への報告や顧客への窓口設置にかかる費用
2022年4月に改正個人情報保護法が全面施行されました。
この法律は、企業が保有している個人情報が1名以上漏洩した際、個人情報保護委員会と漏洩した本人への報告が義務化されたものです。
個人情報の漏洩については、以下のように定義されています。
- 個人を識別できる情報が外部に流出
- 何かしらの理由で個人を識別できる情報が元に戻らない状況
後者の元に戻らない状況を具体的にいうと、サイバー攻撃を受けてしまい情報が暗号化されるようなケースです。
また事故発生時、企業は速やかに報告や対応する必要があります。それに伴い顧客に通知する専用窓口設置などの対応費も莫大となります。
最寄りの警察署又は都道府県警察サイバー犯罪相談窓口に相談
不正アクセス被害の相談については、スクリーンショットやログ等の被害の状況が分かる資料を準備し、居住地または法人所在地を管轄する最寄りの警察署に事前連絡をした上で相談しましょう。
不正アクセスされた原因の究明
不正アクセスされた侵入経路の特定やログの証拠保管などで被害範囲の特定調査・分析を行い、事故が起きないよう再発防止対策を出す必要があります。
復旧作業を行う
不正アクセスされた調査結果を基に機器やシステムの復旧を行う必要があります。会社の売上に直結するため、速やかな復旧対応は必要不可欠です。いざという時のために、普段からバックアップをとっておけば業務の復旧など可能です。
被害者への見舞金や賠償金などの準備
不正アクセスによって顧客の個人情報が漏洩または被害を受けた場合、被害者への見舞金や賠償金の支払いが必要となる可能性があります。裁判などのケースに発展した場合は、裁判費用や弁護士費用なども含められます。件数や被害規模に応じて金額が変動するので、あらかじめ準備しておくことを想定したほうが良いでしょう。
不正アクセスの被害事例
今年の6月ごろに衣料品大手メーカーがネットワークへの不正アクセスによるシステム障害が発生したことを発表しました。被害状況を確認するためすぐに一部システムを停止し、全国で約2200店舗でキャッシュレス決済や商品取り寄せサービスが利用出来なくなり業務が滞りました。個人情報の流出はないとしています。
その他にもクレジットカード決済基盤を提供している企業では、同社システムに対してSQLインジェクションやバックドアによる攻撃、不正ログインなどの影響を受け、データベースから最大で46万件もの決済情報が流出したと発表しています。
不正アクセスの対策方法
様々な情報を取り扱う企業において、不正アクセスへの対策は必須となっています。ここでは企業が行うべき不正アクセスの対策方法をご紹介します。
なりすまし行為への対策
ログイン及び特定の操作の認証手段として、多要素認証の実装が効果的です。
もしパスワードの認証情報が漏洩してしまった場合、不正アクセスされる恐れがあります。
しかし、パスワード認証後に、多要素認証などを組み合わせることですぐに不正アクセスされなりすまし行為を防ぐことが出来ます。
具体的には、ログインを行うと別途SMSから数字のコードを入力する必要なシステムなどがあげられます。
定期的なパスワードの変更
利用者側・管理者側ともにもっとも効果的な対策が、定期的なパスワードの変更です。
定期的に変更されることで、セキュリティ対策の向上が見込めます。
しかし、IDとパスワードなど簡単に推測されやすいものを使用するのは避けるべきです。また、複数のサービスで同一のパスワードの使い回しも非常に危険ですので避けましょう。
セキュリティ対策製品の導入
セキュリティ対策製品やファイアウォールの導入は必須です。セキュリティ対策製品には、認証情報の管理や迷惑メール防止機能などによって不正アクセスを防止できます。また、危険性の高いwebサイトを事前に通知する機能もあり、気付かず閲覧してしまう可能性も少なくなるでしょう。一方、ファイアウォールは不正通信のブロックやアクセスログの記録などが可能です。
ソフトウェアやOSの更新
そもそもソフトウェアやOSのバージョンアップする理由は、脆弱性が発見され悪用される危険性があるためです。
脆弱性を放置している間、外部からのサイバー攻撃を受けるリスクが跳ね上がります。
そのため、利用する端末のソフトウェアやOSは適切にアップデートしておくことをおすすめします。
専門のセキュリティ調査解析業者に相談
外部に個人情報が漏洩してしまった疑いがある場合は、被害があったかの有無や漏洩した被害規模を明確にするために調査が必要となります。個人で確認する以外に、確実な調査方法として専門業者に依頼・相談することをお勧めします。
個人情報を悪用された場合、さらなる被害にあう恐れもあります。そのような事態に発展する前に、少しでも疑いがある場合には、専門業者に相談しましょう。
不正アクセスの疑いがある場合は専門家に調査を依頼しよう
不正アクセス調査に対応している業者の中で「スピード対応」と「実績」が豊富な業者を選定しました。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
デジタルデータフォレンジックは、個人はもちろん、大手企業や警察からの依頼も多数解決しているため、実績・経験は申し分ないフォレンジック調査対応業者です。フォレンジック調査に対応している業者では珍しく個人のハッキング調査にも対応している特長があります。さらに、「Pマーク」「ISO27001」を取得しているため、セキュリティ面でも信頼がおけます。
相談から見積もりまで無料で行っているので、フォレンジック調査を検討している際は、まずは実績のあるデジタルデータフォレンジックに相談すると良いでしょう。
費用 | ■相談から見積もりまで無料 ※機器の種類・台数・状態によって変動 |
---|---|
調査対応機器 | RAID機器(NAS/サーバー)、パソコン(ノート/デスクトップ)、外付けHDD、SSD、USBメモリ、ビデオカメラ、SDカードなど |
調査実施事例 | 警察からの捜査依頼(感謝状受領)、パスワード解除、ハッキング・不正アクセス調査、データ復元、マルウェア・ランサムウェア感染調査など |
特長 | ■大手企業や警察を含む累計14,233件の相談実績 ■個人での調査依頼にも対応 ■「Pマーク」「ISO27001」取得済のセキュリティ |
デジタルデータフォレンジックのさらに詳しい説明は公式サイトへ
まとめ
不正アクセスは、企業が保有する機密情報の漏洩によって社会的信用の失墜など企業の被害は甚大です。サイバー攻撃から企業を守るには、セキュリティ対策が非常に必要です。まずは、被害を未然に防ぐことを目的にどのような手口があるのか対策に何が必要なのか理解する必要があるでしょう。