近年、企業の不正アクセスによる被害が相次いでいます。
総務省HPによると、不正アクセスとは本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。
情報漏洩の原因の1つである不正アクセスは、企業活動をする上で対策が必須となります。なぜならば、社会的な信用の低下、賠償責任、取引先への説明などの結果に直結するためです。
この記事では、不正アクセスされる原因や事例、対策法を徹底します。
目次
不正アクセスとは?
不正アクセスとは、本来アクセス権を持たない第三者がサーバやシステムの内部へ侵入することであり、不正アクセス禁止法で禁じられた犯罪行為です。
範囲は幅広く、個人のSNSへの不正なログインから企業のサーバーへの不正侵入行為まで「不正アクセス」とみなされます。
不正アクセス被害を受けると「情報漏えい」「マルウェア感染」「サービス停止」など甚大な被害に発展する可能性があるため、万が一発覚した際は不正アクセスによって他者へのサイバー攻撃の踏み台にされることで、自分自身が加害者になってしまう恐れもあります。
不正アクセス禁止法による「不正アクセス」の定義
日本国内においては、2000年2月13日に不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為などの禁止を規定した不正アクセス禁止法が施行されました。
この法律でいう『不正アクセス行為』とは、次の三つの行為を指します。
- 他人のID・パスワードを悪用する行為
- ウェブサイトの脆弱(ぜいじゃく)性を狙って不正なプログラムを実行する行為
- マルウェア・コンピューターウイルスなどによって攻撃する行為
不正アクセス禁止法に接触する行為や罰則
不正アクセス禁止法に接触する行為や罰則は以下の5つです。
- 不正アクセス罪(不正アクセスそのものを罰する)
- 不正取得罪(他人のパスワード等を不正に入出する行為を罰する)
- 不正助長罪(他人のパスワード等を許可なく教える・不正窃取の手助けをする行為を罰する)
- 不正保管罪(不正に窃取した他人のパスワード等を保管する行為を罰する)
- 不正入力要求罪(パスワード等の情報を不正に入力させる行為を罰する)
それぞれの罪に対して最大懲役期間・罰金額が決められており、不正アクセス罪に該当した場合は3年以下の懲役あるいは100万円以下の罰金が科されます。
不正アクセス禁止法についての詳しい解説は以下記事をご覧ください。
不正アクセスの手口
第三者が不正アクセスする最終目的は、相手の情報を悪用するためです。
不正アクセスする手口として、複数ありますが、その中で代表的な手口をご紹介します。
認証情報の盗難
認証情報の盗難は、主に次の手法で行われます。
- 有名企業を騙ったWebサイト(フィッシングサイト)に個人情報を入力させ、認証情報の盗難を行う
- システムの脆弱性を狙い、不正に侵入し認証情報の盗難
ウイルス感染
メールの本文にウイルスを添付し、メールを開くと感染する手口があります。
個人や企業など不特定多数の人間に一斉に送信されるタイプです。こちらの厄介な点は、同じネットワーク内にいる機器へ感染する恐れがあり、他の情報も盗み取られる危険性があります。
不正アクセスで起こりうる被害
不正アクセスで起こりうる被害には以下のようなものがあります。
- 銀行口座やクレジットカードの不正利用による金銭的被害
- 取引先や機密情報の漏洩
- データやWebサイトなど情報の改ざん
- なりすましによるウイルス拡散
銀行口座やクレジットカードの不正利用による金銭的被害
ECサイトやネットバンキングを利用する場合、登録情報には何かしらのクレジットカード情報や銀行口座が登録されているケースがほとんどです。もし、これらのアカウントが第三者によって不正アクセスされた場合、不正購入や不正送金の被害にあう可能性があります。
被害者がすぐに気付きクレジットカード会社や銀行へ連絡出来たら防ぐことは可能ですが、知らない間に悪用されてしまうと莫大な被害額となり取り返しのつかないことになる恐れがあります。
取引先や機密情報の漏洩
業務で使用しているシステムに不正アクセスされると、顧客情報や取引先情報、企業ノウハウの機密情報など、企業にとって重要な情報が盗まれる可能性があります。状況によっては、相手方に損害賠償責任を果たす必要が生じる可能性があります。そうなった場合、今後の企業活動に大きく関わり最悪のケースですと倒産に追い込まれることも珍しくありません。
データやWebサイトなど情報の改ざん
不正アクセスされると、サーバー上のデータが書き換えられ使用不可になったり、意図しない悪質なファイルを埋め込まれてしまう場合があります。
なりすましによるウイルス拡散
不正アクセスされたアカウントや端末は、外部へのサイバー攻撃やウイルス拡散するために利用される可能性があります。
このなりすましによるウイルス拡散の恐ろしい点は、不正アクセスされた被害者が、犯罪に加担させられ
被害者である自分が加害者になるという点です。
身に覚えがないにも関わらず、被害請求が届くケースも過去にはあります。
不正アクセスが発覚した場合に必要な対処
不正アクセスが発覚した場合に必要な対処として代表例をご紹介します。
対応が少しでも遅れたり順番を間違えると、後からより大きな不正アクセス被害が再発したり、詳しい調査ができずに効果的な対策ができなくなってしまう可能性があります。
適切な対処の流れは以下の記事で詳しく解説していますので、あわせてご覧ください。
被害拡大防止のためシステムを隔離
まず、不正アクセスされた事実が発覚した場合、被害拡大防止のためにサーバーやネットワークからの遮断をおすすめします。
不正アクセスされた認証情報によっては、他のシステムへの介入など二次被害、三次被害が引き起こされる恐れがあるからです。
パスワードの変更
次に、パスワードの変更の対処をすべきです。不正アクセスされたという事実は自分のパスワードが漏洩している可能性が高いため、すぐに変更しないと第三者からいつでもログインされる状況になってしまいます。
不正アクセスの証拠を保管
セキュリティ製品によって差異はありますが、機器やネットワークのログが残っていた場合、適切に保管しましょう。
ログの種類として、該当日時に何をしていたのか、どこにアクセスしていたのかなどが判明しますが、
機器が動作する状態ですと、ログが更新され古いログが消える恐れがあります。ログが消失すると、肝心の見たい情報も閲覧不可となり今後の対応などに影響を及ぼすので、すぐに保管することをおすすめします。
行政への報告や顧客への窓口設置にかかる費用
2022年4月に改正個人情報保護法が全面施行されました。
この法律は、企業が保有している個人情報が1名以上漏洩した際、個人情報保護委員会と漏洩した本人への報告が義務化されたものです。
個人情報の漏洩については、以下のように定義されています。
- 個人を識別できる情報が外部に流出
- 何かしらの理由で個人を識別できる情報が元に戻らない状況
後者の元に戻らない状況を具体的にいうと、サイバー攻撃を受けてしまい情報が暗号化されるようなケースです。
また事故発生時、企業は速やかに報告や対応する必要があります。それに伴い顧客に通知する専用窓口設置などの対応費も莫大となります。
最寄りの警察署又は都道府県警察サイバー犯罪相談窓口に相談
不正アクセス被害の相談については、スクリーンショットやログ等の被害の状況が分かる資料を準備し、居住地または法人所在地を管轄する最寄りの警察署に事前連絡をした上で相談しましょう。
不正アクセスされた原因の究明
不正アクセスされた侵入経路の特定やログの証拠保管などで被害範囲の特定調査・分析を行い、事故が起きないよう再発防止対策を出す必要があります。
復旧作業を行う
不正アクセスされた調査結果を基に機器やシステムの復旧を行う必要があります。会社の売上に直結するため、速やかな復旧対応は必要不可欠です。いざという時のために、普段からバックアップをとっておけば業務の復旧など可能です。
被害者への見舞金や賠償金などの準備
不正アクセスによって顧客の個人情報が漏洩または被害を受けた場合、被害者への見舞金や賠償金の支払いが必要となる可能性があります。裁判などのケースに発展した場合は、裁判費用や弁護士費用なども含められます。件数や被害規模に応じて金額が変動するので、あらかじめ準備しておくことを想定したほうが良いでしょう。
不正アクセスの被害事例
実際にあった不正アクセスの被害事例は以下のようなものがあります。
大手衣料メーカーでクレジットカード情報を含む46万件以上の顧客情報が流出(2019年5月)
株式会社ファーストリテイリングにて、運営するアパレルブランド「ユニクロ」及び「ジーユー」の通販サイトに対しパスワードリスト(リスト型)攻撃が発生し、顧客情報46万1,091件が流出した可能性があると発表されました。情報の一部には、クレジットカード情報も含まれており、二次被害が懸念されています。
複数サーバーが不正アクセスを受け顧客164万人以上の個人情報が流出(2022年3月)
2022年3月22日、森永製菓株式会社が運用している複数のサーバーが外部からの不正アクセスを受け、同社運営のウェブサイト「森永ダイレクトストア(旧:天使の健康)」の顧客164万8,922人分の個人情報(氏名や住所、連絡先など)が流出した可能性があると明らかにしました。
人材派遣会社の登録者情報2.1万件以上が流出(2022年8月)
株式会社アットキャドが運用する人材派遣登録者管理サーバが外部から不正アクセスを受け、保存されていた2万1,751件の個人情報が流出。その後対象者に不審メールが届いていることも確認されました。
放送会社にて業務用サーバーから従業員2.3万人以上の個人情報漏えいの可能性(2023年9月)
NHKでは、2023年9月26日、東京都渋谷区にある放送センターの業務用サーバーが外部からの不正アクセスを受け、従業員等2万3,435名の個人情報が漏えいした可能性があると明らかにしました。
不正アクセスの対策方法
様々な情報を取り扱う企業において、不正アクセスへの対策は必須となっています。ここでは企業が行うべき不正アクセスの対策方法をご紹介します。
なりすまし行為への対策
ログイン及び特定の操作の認証手段として、多要素認証の実装が効果的です。
もしパスワードの認証情報が漏洩してしまった場合、不正アクセスされる恐れがあります。
しかし、パスワード認証後に、多要素認証などを組み合わせることですぐに不正アクセスされなりすまし行為を防ぐことが出来ます。
具体的には、ログインを行うと別途SMSから数字のコードを入力する必要なシステムなどがあげられます。
定期的なパスワードの変更
利用者側・管理者側ともにもっとも効果的な対策が、定期的なパスワードの変更です。
定期的に変更されることで、セキュリティ対策の向上が見込めます。
しかし、IDとパスワードなど簡単に推測されやすいものを使用するのは避けるべきです。また、複数のサービスで同一のパスワードの使い回しも非常に危険ですので避けましょう。
セキュリティ対策製品の導入
セキュリティ対策製品やファイアウォールの導入は必須です。セキュリティ対策製品には、認証情報の管理や迷惑メール防止機能などによって不正アクセスを防止できます。また、危険性の高いwebサイトを事前に通知する機能もあり、気付かず閲覧してしまう可能性も少なくなるでしょう。一方、ファイアウォールは不正通信のブロックやアクセスログの記録などが可能です。
ソフトウェアやOSの更新
そもそもソフトウェアやOSのバージョンアップする理由は、脆弱性が発見され悪用される危険性があるためです。
脆弱性を放置している間、外部からのサイバー攻撃を受けるリスクが跳ね上がります。
そのため、利用する端末のソフトウェアやOSは適切にアップデートしておくことをおすすめします。
専門のセキュリティ調査解析業者に相談
外部に個人情報が漏洩してしまった疑いがある場合は、被害があったかの有無や漏洩した被害規模を明確にするために調査が必要となります。個人で確認する以外に、確実な調査方法として専門業者に依頼・相談することをお勧めします。
個人情報を悪用された場合、さらなる被害にあう恐れもあります。そのような事態に発展する前に、少しでも疑いがある場合には、専門業者に相談しましょう。
不正アクセスの原因や被害範囲の特定調査をするのであれば、フォレンジック調査会社に相談するのが適切です。
フォレンジック調査とは、「デジタル鑑識」とも言い、デジタル機器から犯罪の痕跡を収集・分析・保全し、不正の証拠や原因を究明する調査手法です。デジタル機器のログは容易に改ざんや上書きできてしまうため、フォレンジック調査ではそのデータが改ざんされていないと法的に証明できるよう正しい手続きを踏まえて実施します。
フォレンジック調査は、専門的知識と技術が必要不可欠であり、通常は専門の調査会社に依頼するのが一般的です。自社での調査はログを不用意に書き換えてしまうリスクもあるため、まず先に専門家に相談することを推奨します。
フォレンジック調査については以下の記事で詳しく解説していますので、あわせてご覧ください。
おすすめの不正アクセス調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
-
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計2万3千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も250件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
まとめ
不正アクセスは、企業が保有する機密情報の漏洩によって社会的信用の失墜など企業の被害は甚大です。サイバー攻撃から企業を守るには、セキュリティ対策が非常に必要です。まずは、被害を未然に防ぐことを目的にどのような手口があるのか対策に何が必要なのか理解する必要があるでしょう。