不正アクセス(不正ログイン)とは、アクセス権を持たない第三者がサーバやシステムの内部へ侵入することであり、不正アクセス禁止法で禁じられた犯罪行為です。
もし不正アクセスされた状態を放っておくと、「情報漏えい」「マルウェア感染」「サービス停止」など甚大な被害に発展する可能性があります。不正アクセスによって他者へのサイバー攻撃の踏み台にされることで、自分自身が加害者になってしまう恐れもあります。
このような被害を防止するために、本記事では、不正アクセスの有無を調べる方法や安全な対処方法、そして不正アクセスが疑われる場合の対処法を解説します。
目次
不正アクセス・不正ログインとは何か?
不正アクセスとは、第三者のコンピューターやネットワークに許可なくアクセスする行為です。
また不正ログインとは、第三者の認証情報を不正に取得して許可なくログインする行為を指します。
不正アクセスや不正ログインが行われると、個人情報や機密情報の盗難、不正送金、システムの改ざんなど、さまざまな被害が発生する可能性があります。
こうした被害に遭遇した場合、個人情報取扱事業者は法的観点から被害原因を究明し、流出した経路や情報を特定する必要があります。また再発を防止し、場合によっては発生した損害を補償する必要もあります。こうしたケースでは行政機関や法執行機関との提携、ないし法的に正当な手続きが必要となりますが、この際、フォレンジック調査が有効です。
フォレンジック調査とは、デジタル機器から法的に正しい手続きを踏まえて証拠を収集・分析・保全し、不正の痕跡や原因を究明する調査手法です。ただし、フォレンジック調査は、専門的知識と技術が必要不可欠であり、通常は専門の調査会社に依頼するのが一般的です。
なお、フォレンジック調査業者には相談から見積もりまで無料で行っている業者も存在するので、まずは相談することを検討してください。
不正アクセスによって生じるリスク
不正アクセスによって生じるリスクは多岐に渡ります。以下に挙げるのは一般的な例です。
- 機密情報の漏えい
- 顧客情報の盗難
- システムの改ざん
- サービス停止・金銭的損失・企業イメージの低下
- サイバー犯罪の踏み台にされる
機密情報の漏えい
不正アクセスにより、企業や個人の機密情報が漏えいする可能性があります。
これには、クレジットカード情報、社内文書、個人情報などが含まれます。漏えいした情報が悪用されると、金銭的被害やプライバシーの侵害などが発生する可能性があります。
顧客情報の盗難
不正アクセスにより、企業の顧客データベースが侵害されると、顧客の個人情報が盗まれる可能性があります。
これには、氏名、住所、電話番号、メールアドレス、購買履歴などが含まれます。盗まれた顧客情報は、不正な目的で使用される可能性があります。たとえば、悪意ある第三者によって個人情報を売り買いされたり、不正な金融取引を行われたり、スパムメールの踏み台に悪用されたりすることがあります。
Webサイト・システムの改ざん
不正アクセスによって、企業や組織のシステムが改ざんされる可能性があります。
これにより、データの改ざんや破壊、システムの停止、機能の乱れなどが発生し、業務の継続性やデータの正確性に重大な影響を与える可能性があります。
またWebアプリケーションのデータベースに不正にアクセスする手法として「SQLインジェクション」があります。これは、Webアプリケーションに送信されるユーザー入力に不正なSQLコマンドを挿入し、データベースにアクセスする手口です。
SQLインジェクション攻撃が行われると、データの盗難・改ざん・消去などの被害を引き起こす可能性があります。この攻撃を防ぐには、Webアプリケーション開発時に入力値の検証やエスケープ処理などを実施しておくことが重要です。
サービス停止・金銭的損失・企業イメージの低下
不正アクセスによって、企業のウェブサイトやオンラインサービスが一時的または長期間にわたって停止する可能性があります。
ウェブサイトが不正アクセスによって停止した場合、顧客はサイトにアクセスして商品やサービスを購入できなくなります。これにより、企業は売上を失う可能性があります。
また、ウェブサイトが不正アクセスによって停止したことが顧客に知られると企業の信頼が低下しやすく、被害が顧客にも及んだ場合、企業は管理責任を追及され、業績悪化や信用失墜に陥るおそれがあります。
サイバー犯罪の踏み台にされる
不正アクセスされたシステムは、攻撃者にとって便利な踏み台として悪用されやすく、企業や個人が被害者ではなく加害者として扱われる可能性があります。また、攻撃に使用されたシステムが解析され、企業や組織に不備がある場合、法的な問題に巻き込まれる可能性もあります。
【不正アクセスを受けた場合】個人情報取扱事業者は、正確に被害実態を把握する義務がある
2022年4月に改正個人情報保護法が改正されました。これにより、不正アクセスを受けた企業は、正確に被害実態を把握し、被害を受けた関係者や個人情報保護委員会に報告をおこなう「義務」があります。
情報漏えいが発生した場合、被害者は、不正に取得された個人情報の利用により、金銭的被害や名誉毀損などの被害を受ける可能性があるからです。
実際に、個人情報保護法第26条では「個人情報取扱事業者は、個人データの漏えい等が発生した場合、速やかに、その旨を本人に通知し、かつ、個人情報保護委員会に報告しなければならない」と定められています。
出典内閣府
不適切な対応をおこなうと、ペナルティを受ける恐れも
個人情報保護法の義務規定に違反した個人情報取扱事業者等は、最大で1億円の罰金と社名公開という重いペナルティが課せられる可能性があります。
たとえば個人情報保護委員会からの報告徴収に応じなかった場合や、報告徴収に対して虚偽の報告をした場合等には、刑事罰(50万円以下の罰金)が科される可能性があります。
また委員会の命令に個人情報取扱事業者等が違反した場合、委員会は、その旨を広く公表することができ、加えて、当該命令に違反した者には、刑事罰(1年以下の懲役又は100万円以下の罰金)が科される可能性があります。
情報漏えいの事実調査は第三者機関(フォレンジック調査会社)への相談が推奨されている
情報漏えいインシデントに対する取り締まりが強化されていることに伴い、より正確かつ信頼度の高い調査の必要性も高まっています。
自社で攻撃手法を分析する場合、抜け漏れが発生しやすく、不完全なものとなる恐れがあります。詳細に分析する場合は、「フォレンジック」と呼ばれる科学捜査を専門としているサイバーセキュリティの専門家に対応を依頼することを検討しておきましょう。
フォレンジック調査は、デジタルデータを介した様々なインシデントの調査において非常に有効で、たとえば攻撃の傾向やパターンを分析し、攻撃者が使用した手口や脆弱性を正確に把握することができます。
マルウェア・ランサムウェア、不正アクセス、サイバー攻撃などの被害を受けた疑いがある場合、感染経路や影響範囲を特定するために信頼できる調査機関でのフォレンジック調査を行いましょう。
信頼できるフォレンジック調査専門会社を選ぶポイントは次のとおりです。
- 官公庁・捜査機関・大手法人の依頼実績がある
- スピード対応している
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記の6つのポイントから厳選したおすすめランキング1位の調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式HPデジタルデータフォレンジック
✔警視庁への捜査協力を含む、累計23,000件の相談実績
✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応
✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制
✔警視庁からの表彰など豊富な実績
✔14年連続国内売上No.1のデータ復旧技術を保有(※)
(※)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2021年)
こちらのデジタルデータフォレンジックは、累積ご相談件数23,000件以上を誇る、対応件数で国内最大級のフォレンジック調査会社です。マルウェア感染・情報漏えい・社内不正といったインシデント調査からデータ復元技術を活用した証拠復元まで幅広くサービス展開しています。
不正アクセスされたか調べる方法
不正アクセスの可能性が疑われる場合、以下のようなポイントを確認することで、不正アクセス被害の有無を調べることができます。
- アクセスユーザーとアクセス先が不審ではないか
- ログイン失敗回数が短時間で多発していないか
- アクセス元のデバイス・IPアドレスに問題はないか
- 不審な操作ログがないか
ただし、社内に決まった情報システム管理担当者がおらずログの確認方法が分からない場合は、無理に自分でチェックしようとするのは避け、警察やサイバー攻撃被害調査の専門家に相談しましょう。
アクセスユーザーとアクセス先が不審ではないか
以下のように不審な点が認められる場合は、不正アクセスの可能性があります。
- 本来アクセス権のないはずの領域にアクセスしたユーザーがいる
- 普段はアクセスしない(使用しない)ようなフォルダにアクセスしている
ハッカーが不正アクセスする場合だけでなく、既に退職した人がアクセスしている場合も情報持ち出しなどの可能性が考えられます。
ログイン失敗回数が短時間で多発していないか
不正アクセスでよく利用される手段のうち、ログイン成功するまで試す「総当たり攻撃」「辞書攻撃」「パスワードリスト攻撃」といった手法では、ログイン失敗回数が増加します。
もし一定時間でログイン失敗回数が頻発している場合は、不正ログインを疑ったほうがよいでしょう。
アクセス元のデバイス・IPアドレスに問題はないか
登録していないデバイスや不審なIPアドレスからのアクセスを発見した場合は、問題ないかどうか必ず確認しましょう。
会社や社員の自宅からのアクセスではなく、遠く離れた場所からのアクセスや海外からのアクセスは不正アクセスの可能性が高いです。
不審な操作が行われていないか
不審な操作とは、以下のような場合を指します。
- 大量のファイルを参照・コピー・ダウンロードしている
- 本来そのユーザーに対して想定されていない操作を行っている
さらに詳細な調査は専門のフォレンジック調査会社に相談する
ここまでご紹介した方法で確認できるのは、あくまで「不正アクセスされたかどうか」という点のみです。もし不正アクセスされている可能性が高い場合は、不正アクセス後に情報を抜き取られていないか、不正なアプリケーションを設置されていないか等、さらなる被害全容の調査が必要です。
被害状況を詳細に調べる際は、サイバー攻撃の被害調査を専門としているフォレンジック調査会社に相談するのがおすすめです。
フォレンジック調査会社では、パソコンに残ったアクセスログや操作履歴から犯罪の痕跡を調べることができます。調査できるのは、おもに以下のような項目です。
- 想定される被害の範囲(どこまで侵入されているか)
- 漏えいした可能性があるデータ
- 侵入経路
さらに、今後必要な対処についてアドバイスを受けたり、有効な対策についても提案してもらえる会社であれば、原因の調査だけでなく再発防止までサポートを受けることができます。
自社の調査のみで不十分と感じる場合は、専門の調査会社に相談しましょう。
不正アクセスが発覚した際に取るべき対処法
不正アクセスが発覚した際、まず何をすべきでしょうか?安全かつ被害を最小限に食い止めるために適切な対処の流れを紹介します。
- ネットワークから遮断する
- ログイン履歴を確認する
- パスワードを変更する
- 情報漏えいの可能性がある情報保有者に連絡
- OS・ソフトウェアのアップデートとウイルススキャン
- インシデント対応チームを編成する
- 警察・サイバー犯罪相談窓口に相談
- ハッキング調査に対応している業者に相談する
また不安のある方はできるだけ早く専門業者に相談することをお勧めします。
ネットワークから遮断する
不正アクセスが疑われる場合、被害の拡大を防ぐためにも端末をネットワークから切り離してください。
- LANを使用している場合、すぐにLANケーブルを抜く
- Wi-Fiを使っている場合、ワイヤレススイッチを切りデバイスをオフライン状態にする
ただし、これは被害の拡大を防ぐための一時的な方法ですので、安心せずに、すぐ次に示すような対処を取りましょう。
ログイン履歴を確認する
SNSやWebの使用履歴を確認し、身に覚えのないログイン・パスワード変更メールなどがある場合は、端末が乗っ取られている危険性があります。ログインの有無にかかわらず、パスワードの変更を行い、被害拡大の防止に努めましょう。
パスワードを変更する
誕生日や推測しやすい文字列をパスワードとして設定していると、総当たり攻撃で容易に侵入されてしまい、大変危険です。
パスワードは必ず英数字とアルファベット、記号を組み合わせた個別のものを設定するようにしてください。また、同じパスワードを様々なサービスで使い回している場合は、それも変更してください。
直ちにネットバンキングやECサイト、SNSなどのパスワードを変更しましょう。使用しているパスワードが何者かに知られている可能性が高く、そのまま放置しているとパスワードを変更されて乗っ取られる可能性があります。この際、変更後の情報が盗まれることを防ぐために、必ず他の端末から再設定を行いましょう。
不正アクセスに気が付かずパスワードを変更されてしまった場合は、不正送金などを阻止するためにアカウントを利用停止する必要がありますので、サービスの運営元に問合せをしてください。
情報漏えいの可能性がある情報保有者に連絡
不正アクセスによって情報漏えいの可能性があるデータを確認し、その情報の保有者に連絡しましょう。特に取引先や顧客情報の流出は、会社の信用失墜にもつながります。
放置すると流出した取引先・顧客リストに対してマルウェア付きのメールが送られるなど、二次被害を引き起こす危険性もあるため、できるだけ早く対処しましょう。
OS・ソフトウェアのアップデートとウイルススキャン
不正アクセスなどのサイバー攻撃は、OSやソフトウェアの脆弱性を狙ってくることも珍しくありません。
最新版にアップデートしておくことで、脆弱性による攻撃リスクを最小限に収めることが出来ます。
また、不正なアプリケーションを仕込まれている可能性もあるため、ウイルススキャンソフトを利用している場合は、最新バージョンでのウイルススキャンも実行しておきましょう。
インシデント対応チームを編成する
不正アクセスの調査を担当するためには、社内で専門チームを結成することが一般的です。
このチームは、セキュリティ担当者、ネットワークエンジニア、システム管理者、法務担当者などの複数の役割を持つメンバーから構成されるべきです。
ただし、攻撃手法を正確に把握し、脅威を分析する場合、ログファイル、ネットワークトラフィック、データベースの内容などの証拠を「法的に正しい手続き」で収集するスキルが必要です。この場合、科学捜査の専門的なスキルを持つサイバーセキュリティの専門家に対応を依頼することで、攻撃の痕跡や侵入経路を明らかにすることができます。
警察・サイバー犯罪相談窓口に相談
不正アクセスは不正アクセス禁止法によって定められた犯罪行為であり、発覚時点で速やかに通報することが望ましいです。相談窓口では、どういった対応を取るべきかといった助言も受けることができます。
不正アクセスが発覚したら、自社内だけで対応するのではなく、速やかに最寄りの警察やサイバー犯罪相談窓口に相談しましょう。
不正アクセス調査ができるフォレンジック調査会社に相談する
不正アクセスされていることに気が付かずそのまま該当端末の使用を続けてしまうと、自分が加害者となってしまうといった二次被害に繋がりかねません。
しかしながら、個人での調査には限界があるため、不正アクセス・ハッキングされているかどうかを正確に把握したいという方は、一度ハッキング調査に対応しているフォレンジック業者へ相談してみてください。フォレンジック業者では以下のような項目が調査可能です。
- ウイルス感染の有無
- 不正アクセスされているかどうか
- いつ、どのような経路で不正アクセスされたのか
- 不正アクセスによる情報漏えいなどの被害状況
フォレンジック業者によっては、相談から見積りまで無料で対応しているため、個人での対処が難しい場合は専門業者に相談してみましょう。中には最短当日での調査も対応している所もあるため、迅速に対処することができます。
おすすめのフォレンジック調査会社
フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるフォレンジック調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計2万3千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も250件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計23,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
不正アクセス禁止法とは
不正アクセス禁止法は、「不正アクセス行為」、「識別符号(IDやパスワード)の不正取得・保管行為」、「不正アクセス行為を助長する行為」等を禁止する法律です。
この法律は、IDやパスワードによってアクセス制限された機器やサービスに対し、本来は利用権限がないのに、他人のID・パスワードを入力したり、脆弱性を突いたりなどして、不正に利用できる状態にする行為そのものを禁止しています。また不正アクセスを助長する行為、他人の識別符号の入力を不正に要求する行為も同様に禁止されています。
罰則として、不正アクセス行為に対しては、最長三年の懲役または最高百万円の罰金が規定されています。また、ID・パスワードを不正に取得、保管する行為に対しても、最長一年の懲役または最高五十万円の罰金、不正アクセスを助長する行為に対しては、最高三十万円の罰金が規定されています。
ただ、不正アクセス禁止法に適合する証拠を収集する場合、いくつかの注意点があります。たとえば注意点は以下のとおりです。
- 証拠収集の目的を明確にする
- 適切な証拠を収集する
- 証拠を正しく保管する
- 証拠を裁判で提出できるようにする
この際、サイバーセキュリティの専門家に依頼することで、証拠の劣化や改ざんを防ぎ、法的に正しい手続きで不正アクセスの立証を行うことができます。ただし、証拠の収集方法は、ケースバイケースで異なります。そのため、不正アクセスの被害に遭った場合は、まず専門家に対応を相談することをおすすめします。
不正アクセス・ログイン被害を防ぐ対策方法
不正アクセス・不正ログイン被害を防ぐ対策方法について、以下の方法があります。
- サーバを利用したログを監視する
- ソフトウェアを定期的に更新する
- アクセス権限(パーミッション)を設定する
- SQLインジェクションへの対策
- ファイアウォールや侵入防止システム(IPS)の導入する
- 機器構成の変更やソフトウェアのインストールを制限する
- 2段階認証・多要素認証の設定
- 不正検知システムの導入
- 脆弱性診断やペネトレーションテストを実施する
サーバを利用したログを監視する
サーバ上でのアクセスログやシステムログを監視することで、不正アクセスを早期に発見することができます。ログの解析により、どのようなアクセスがあったか、どのようなデータが取得されたか、また、どのような変更が加えられたかを確認できます。
なお、最新の脅威に対処するために、監視システムを常に最新の状態に保つことが重要です。この際、さまざまな監視ツールを使用し、異なるログを組み合わせて分析することで、不審なアクティビティや異常なパターンをより正確に検知することができます。また、監視システムには、アラート機能を設定しておくことも重要です。アラートを設定することで、不正アクセスが検知された場合に、早急に対応することができます。
ログの解析や監視システムの構築、運用には専門知識が必要です。セキュリティ専門家に依頼することで、より安全な環境を構築することができます。
ソフトウェアを定期的に更新する
システムやアプリケーションのセキュリティパッチやアップデートを定期的に適用することで、既知の脆弱性を修正し、攻撃への対策を強化します。
アクセス権限(パーミッション)を設定する
ユーザーやシステムのアクセス権限を適切に設定し、最小限の必要な権限のみを与えることで、不正なアクセスや情報漏えいを防止できます。
SQLインジェクションへの対策
ウェブサイトやアプリケーションのセキュリティには、多くの脅威が存在します。その中でも、SQLインジェクションは最も一般的な攻撃手法の1つです。この攻撃手法に対抗するために、入力データのバリデーションやプレースホルダーを使用することが重要です。さらに、防御力を高めるために、特定のデータベースエンジンに固有の脆弱性に対処することも必要です。
SQLインジェクションへの対策を以下に示します。
プレースホルダーを使用する
プレースホルダーを使用してクエリを作成し、ユーザーからの入力を直接組み込まずにクエリを実行します。プレースホルダーは、SQL文の中でパラメーターの値を置き換えるための特殊な記号やプレースホルダー名のことで、SQLインジェクション攻撃を防止するのに役立ちます。
エスケープ処理を行う
入力データをエスケープ処理することで、SQLコマンド内の特殊文字を無効化します。たとえばデータベース操作に利用される特殊文字(例: シングルクォーテーション)を適切にエスケープすることで、不正なSQLコマンドの注入を防止します。
入力データのバリデーションと検証
入力データを受け取る前に、適切なバリデーションと検証を行います。データの形式、文字列長、許容される文字セットなどをチェックし、不正な入力を拒否します。入力データに対しては、ホワイトリスト検証を行い、予期しないデータが含まれていないことを確認します。
ファイアウォールや侵入防止システム(IPS)の導入
ネットワークやシステムのセキュリティを強化するためには、ファイアウォールや侵入防止システム(IPS)などのセキュリティ対策が必要です。
これらの対策を導入することで、不正なネットワークトラフィックや攻撃を検知してブロックすることができますが、さらに、セキュリティを強化するためには、これらの対策の定期的な更新や保守が必要です。
機器構成の変更やソフトウェアのインストールを制限する
システムの機器構成やソフトウェアのインストールを必要最小限に制限し、不要なサービスやポートを閉じることで、攻撃への攻撃面を減らします。
2段階認証・多要素認証の設定
パスワードだけでなく、追加の認証要素(SMSコード、ワンタイムパスワード、バイオメトリクスなど)を使用した2段階認証や多要素認証を導入することで、不正ログインを防止します
不正検知システムの導入
不正検知システムは、攻撃者が既知の脆弱性を悪用する場合や不審なトラフィックを生成する場合に特に有効です。
不正検知システムは、ネットワーク上やシステム内での不審なパターンや振る舞いを監視し、異常を検知するとアラートを発出したり、攻撃をブロックしたりします。また、これにはインターセプション検知システム(IDS)やインターセプション防止システム(IPS)が含まれます。仮にシステムに異常が検知されると、適切な対策を講じることができ、被害を最小限に抑えることができます。
脆弱性診断やペネトレーションテストを実施する
社内のシステムやツールに侵入可能な脆弱性がないか調べるには、専門の調査会社による「脆弱性診断」や「ペネトレーションテスト」を実施するのがおすすめです。
脆弱性診断とは、その名の通りシステム・ツールの脆弱性があるかどうかを確認する診断です。一方、ペネトレーションテストとは、確認できた脆弱性を利用し、実際に不正アクセスが可能かどうかテストして実際のサイバー攻撃に近いシナリオ(例:重要なシステムに対する侵入試行、特定の外部サーバー経由での機密情報の窃取思考など)に沿って疑似攻撃するものです。
脆弱性診断・ペネトレーションテストを実施する際は、社内のシステムを見せることになるので、信頼できる会社に依頼するようにしましょう。
詳細は以下の記事でも解説していますので、興味がある方はこちらもご覧ください。
不正アクセスの具体的な被害事例
不正アクセスによって引き起こされる被害は主に「金銭・譲歩の詐取・漏えい」もしくは「さらなる攻撃の踏み台にされる」といった2つの種類に分けられます。
ここでは、個人・法人に分けてよくある被害事例を紹介します。心当たりのある方は、次で説明する個人で行える対処法もしくは専門業者への相談を早急に行ってください。
個人のよくある被害事例
個人のよくある被害事例は次のとおりです。
- SNSの乗っ取りやなりすまし
- ネットバンキングからの不正送金
- ネットショッピングでの不正購入
SNSの乗っ取りやなりすまし
今では個人の情報ツールとして多くの人に利用されるSNSですが、最近では、多くのフォロワーを抱える企業や公式アカウントだけでなく、個人の被害も増加しています。
SNSが乗っ取られると、フィッシングサイトや架空請求などの不正な詐欺サイトの発信に利用されたり、ログイン不能になって結果的にアカウントを削除というような被害に遭うケースも報告されています。
ネットバンキングからの不正送金
金銭窃取を目的とした不正アクセスでは最も直接的な手口です。正規ユーザーのIDやパスワード情報を入手した第三者がネットバンキングに勝手にログインし、そこにある預金を不正に送金するため、被害者は預金を失います。
最近では仮想通貨を管理している口座から仮想通貨が盗み出されるといった事例も報告されています。
ネットショッピングでの不正購入
最近ではネットショッピングの質も向上し、ネットで買い物をするという方も少なくないはずです。非常に便利なサービスですが、一連の流れを顔の見えないネット上で行うため、攻撃者がこの特性を悪用するというケースも頻発しています。これは、正規のユーザーになりすまして商品を購入し、支払いを正規のユーザーに回すという手口で商品を窃取します。
法人のよくある被害事例
法人のよくある被害事例は次のとおりです。
- サーバーやサービスの停止(Dos/DDos攻撃)
- 身代金要求・データの詐取
- サイバー攻撃やスパムメールの中継に悪用
- バックドアを仕掛けられる
サーバーやサービスの停止(Dos/DDos攻撃)
Dos攻撃は、攻撃目標であるサイトやサーバに対し、大量のデータを送り付け、サーバやサイトをダウンさせることを目的に行われます。また、トロイの木馬などのマルウェアを使って複数のマシンを乗っ取った上でDoS攻撃を仕掛ける「DDos攻撃」という手口もあります。
なお、これは他のサイバー攻撃とは少し異なり、政治的な動機(あるいは大掛かりな嫌がらせ)の一環で行われることが多い点が特徴的です。たとえば2017年には、PlayStation Network(PSN)が、DDoS攻撃により数十時間オフラインになり、この攻撃によって、PSNを利用している多くのユーザーがゲームをプレイできなくなりました。犯行声明を出したハッカー集団「Lizard Squad」は、動機について「ゲーム企業はDDoS攻撃などへのセキュリティ対策をないがしろにし、私腹を肥やしている」と主張しています。
身代金要求・データの詐取
ランサムウェアは、データを詐取・暗号化し、身代金を要求するマルウェアです。近年は、ランサムウェアのよる攻撃が激化しており、身代金を支払った組織の平均被害額は、約1億5000万円(144 万 8458米ドル)となっています。
2021年には、米国の石油パイプライン会社「コロニアル・パイプライン」は、ランサムウェア攻撃により、パイプラインが停止しました。この攻撃により、米国東海岸のガソリン価格が急騰し、多くの家庭や企業に影響を与えました。この事件はランサムウェアが、今やインフラにも大きな影響を与えるようになったことを示唆するものとなりました。
なお、ランサムウェアに感染した場合の適切な対処法については、下記の記事で詳しく解説しています。
サイバー攻撃やスパムメールの中継に悪用
攻撃者は捜査が自分に及ばないように足跡を隠すことにも注意を払っています。そこで多発しているのが、不正アクセスによって他人のアカウントやネットワークを遠隔操作し、犯罪行為を行うという非常に悪質な手口です。
たとえば、2015年に大手インターネットサービスプロバイダA社のネットワークが不正アクセスされ、顧客の個人情報が盗まれました際、この個人情報は、スパムメールの送信に使われ、不正アクセスされた顧客に大量のスパムメールが送信されました。これらの事例のように、不正アクセスで遠隔操作されたことでスパムメールの中継に使われることは、企業や個人にとって大きな被害につながる可能性があります。
また、なりすましの被害に遭っている人の大半は自分が犯罪の踏み台にされていることに気づかないことが多く、知らない間に犯罪に加担させられることになってしまいます。こうした不正アクセスによる被害を防ぐためには、セキュリティ対策を強化することが重要です。
バックドアを仕掛けられる
バックドアとは、「ハッキングのための裏口」のことを指します。バックドアそのものに有害性はありませんが、不正アクセスによってバックドアが設置されることでログインやセキュリティ対策をくぐり抜けて、システムの遠隔操作も可能になります。
バックドアは、不正アクセスやシステム改ざんなど、さまざまな被害につながる可能性があります。具体的な事例としては、以下のようなものがあります。
- 機密情報の漏えい
- システム改ざん
- システム停止
- データの盗難
- サイバー攻撃の誘発
また、一度設置されてしまうと駆除が難しいのも特徴です。放置しておくと、あらゆるサイバー攻撃の温床となり、知らぬ間にデータを窃取・改竄されたり、サービスをクラッキングされることもあります。
不正アクセスの具体的な手口
不正アクセスの手口には、パスワード・サーバーの脆弱性をついたものが多くみられます。ここでは、以下に示した代表的な不正アクセスの手口を紹介します。
- スパムメール・SMSメッセージ
- 総当たり攻撃(ブルートフォースアタック)
- インジェクション攻撃・データベースの改ざん
- アプリ連携を利用した乗っ取り
- 脆弱性の悪用(ゼロデイ攻撃)
- ソーシャルエンジニアリング
スパムメール・SMSメッセージ
スパムメールの内容は、感染被害に遭った関係者のメールを引用したものが多く、うっかり開封してしまいがちです。しかし、ファイルを開封したり、記載されたリンクをクリックすると、マルウェアがダウンロードされてしまい、個人情報が流出したり、攻撃の踏み台に利用されたりと、ありとあらゆるサイバー被害に遭遇してしまいます。
スパムメールに添付されているマルウェアの大半は「トロイの木馬」と呼ばれ、スパムメールやマルウェアともども、一見無害に見せかけてくるのが最大の特徴です。
トロイの木馬の詳細については、下記の記事を参照してください。
総当たり攻撃(ブルートフォースアタック)
総当たり攻撃とは、不正ログインを目的とした攻撃手法であり、 ID やパスワードの組み合わせを文字どおり総当たりで入力するというものです。
実際の攻撃はコンピューターが行なうため、簡単なIDやパスワードであれば、短い時間で解読されてしまいます。また、長いパスワードであっても、単純な固有名詞を羅列したようなものだと、簡単にハッキングされてしまう恐れがあります。
インジェクション攻撃
インジェクション攻撃とは、WEBサイト上のデータベースに、不正な命令をリクエストするサイバー攻撃です。もし攻撃を受けると、サイト情報を操作されたり、抜き取られたりする恐れがあります。代表的なインジェクション攻撃については、下記の記事でも詳しく解説しています。
アプリ連携を利用した乗っ取り
近年はSNSの「アプリ連携」を利用して不正アクセスを行うという手口があります。
アプリ連携とは、他のアプリが自分のSNSアカウントを利用できるようにする機能のことです。本来は使い勝手を良くするための機能ですが、これらを悪用して不正ログインを行うのがアプリ連携を利用した乗っ取りの主な手口です。
もし不正なアプリやwebサービスと気づかず、SNSアカウントをを連携させてしまうと、アカウントが乗っ取られ、自分になりすまして勝手にツイートされたり、他の人にさらなる詐欺の元となるダイレクトメッセージを送られたりしてしまい、知らない間に自分自身が犯罪に加担していたということも珍しくありません。
脆弱性の悪用(ゼロデイ攻撃)
脆弱性とは、ソフトウェアやシステムに存在するセキュリティ上の弱点や欠陥のことです。攻撃者は、脆弱性を見つけてその欠陥を利用し、システムに侵入します。脆弱性を悪用した攻撃は、既知の脆弱性に対する攻撃や、ソフトウェアのバグや設定ミスを悪用することで行われることがあります。
特に有名なものが「セロデイ攻撃」です。これはソフトウェアなどで脆弱性が発見・公表されてから、パッチが適用されるまでの間に行われる攻撃のことで、既存のセキュリティ対策では防ぎきれない場合があります。また一旦ゼロデイ攻撃が発生すると、攻撃者はその間、システムにアクセスし続けることができます。
ソーシャルエンジニアリング
これはユーザーの不注意を利用し、不正に情報を入手したり、あるいはシステムに侵入したりする手法です。
以下にソーシャルエンジニアリングを悪用した不正アクセスの一般的な手法をいくつか説明します。
フィッシング
ユーザーを騙して、個人情報やパスワードなどの機密情報を盗み出す攻撃です。攻撃者は、偽メールや偽サイトを作成して、ユーザーにアクセスさせます。そこで嘘の認証画面を表示させ、ユーザーの個人情報やパスワードを盗み取ります。SMSを悪用したフィッシングについては下記の記事でも詳しく解説しています。
ショルダーハッキング
ショルダーハッキングとは、肩越しに他人の情報を覗き見る行為であり、公共の場やオフィスの中で、攻撃者が被害者のキーボード入力や画面を盗み見ることで、パスワードや機密情報を入手しようとするような手法です。ショルダーハッキングは比較的簡単に実行される攻撃手法であり、例えば、カフェや公共の場でパスワードを入力する際に周囲の人々に注意を払わずに行うだけで盗まれてしまうことがあります。
対策としては、ディスプレイを特定の角度からしか見えないようにするため、他人の盗み見を防ぐスクリーンフィルターの使用がマストとなります。
まとめ
今回は、不正アクセス被害に遭ってしまった場合に備え、被害の有無を調べる方法から対処法までを順に解説しました。
近年、不正アクセスや乗っ取りの手口はますます巧妙化しており、事実や被害の特定が難しくなっています。仮に、不正アクセス被害に遭うと、取り返しのつかない事態に陥ることがあります。特に、企業の場合は顧客からの信頼を失い、業務の継続が困難になる可能性があります。
そのため、不正アクセスの疑いがある場合には、今回紹介した対処法の他にも、専門業者の活用やセキュリティ強化のための取り組みなど、様々な手法を試してみてください。これらの方法を実践することで、不正アクセス被害を未然に防止することができるだけでなく、被害を最小限に食い止めることもできます。
ウイルス感染調査には「フォレンジック調査」という方法が存在します。フォレンジックとは、スマホやPCなどの電子機器や、ネットワークに記録されているログ情報などを解析・調査することで、社内不正調査やサイバー攻撃被害調査に活用される技術のことです。別名「デジタル鑑識」とも呼ばれ、最高裁や警視庁でも正式な捜査手法として取り入れられています。