2019.04.05
企業が業務を行うにあたって欠かせないパソコンなどのインターネットに接続できる機器は、不正アクセスの被害を受ける可能性がないとはいえません。不正アクセスの被害を受けた場合、企業の業務やブランドイメージに多大な不利益や損害をもたらす可能性があるため、防御対策が必要です。この記事では、不正アクセスとはどのようなものなのか、防御対策にはどのようなことがあるのかを解説します。
不正アクセスの定義はとても広く、不正アクセスを取り締まる不正アクセス禁止法においては、大きく分けて3つの意味合いがあるとしています。1つ目は、本来アクセスする権限を持っていないにもかかわらず、サーバーや内部システムにアクセスしてくることです。2つ目は、サーバーや情報システムへの侵入やなりすましも不正アクセスとなります。3つ目は、アクセス権限を持つ人のID情報やパスワードなどを本人の許可を得ずに使用することです。
インターネットは世界中とつながっているため、世界のどこからでも不正アクセスをされる危険性があるといえるでしょう。不正アクセスによって、サーバーや情報システムが停止したり重要な情報が流出したりすると、企業にとっては大きな損害になってしまいます。企業のブランドイメージは大きく傷つけられてしまいますし、業務を遂行するうえでも多大な損害を受けることになるのです。
日本では不正アクセス禁止法(正式名称は「不正アクセス行為の禁止等に関する法律」)が制定されていることもあり、不正アクセスは犯罪につながる可能性があります。不正アクセス禁止法は不正アクセスを行う者への規制と管理者の防御対策が2本の柱で、不正アクセスを防止することを目的とした法律です。1999年8月13日に公布、2000年2月13日に施行され、2013年5月31日に改正されました。
なりすまし行為やセキュリティホール攻撃を行った者に対しては、3年以下の懲役もしくは100万円以下の罰金が科せられます。他人のパスワードを正当な理由なく取得すること、他人のIDやパスワードを無断で他人に教えること、他人のパスワードなどを不正に保存することも禁止事項です。フィッシングサイトを構築したり電子メールを利用したりして他人をだましてパスワードを入力させるなどのフィッシング行為も禁止されています。これらの禁止事項に違反した場合の罰則は、1年以下の懲役もしくは50万円以下の罰金です。
攻撃をする者は、企業のサーバーや情報システムに不法な侵入を試みることが少なくありません。侵入に成功した場合は、ホームページの書き換えを行ったり、顧客情報や機密情報を抜き取ったり、重要なファイルを削除したりすることもあります。ホームページを書き換える場合、関係のない画像を貼り付けるなどの他に、リンク先やファイルの書き換えを行い、閲覧した人がウイルスに感染するように仕掛けるなど、厄介なケースも少なくありません。機密情報には金銭的な価値もあるため、産業スパイを狙う者にとっては、かっこうの餌食といえるでしょう。不正アクセスによって顧客情報が流出した場合、社会から企業の信用が失われるだけでなく、損害賠償問題に発展した事例も少なくありません。
ターゲットになるのは企業などの法人だけではなく、個人のケースも多いです。正規ユーザーのIDやパスワードを盗み出し、本人になりすまして当該サイトに不正アクセスし、サービスを利用したり買い物をしたり、預金を引き出したりするケースもあります。ネットショッピングは便利である反面、購入者と支払い者が同一であるかを見極めるのが難しいことが弱点です。そのため、正規のユーザーになりすまして商品を購入し、正規のユーザーに支払い請求があって悪用されたことが初めて分かるケースもあります。
ネットバンキングで正規ユーザーのIDとパスワードを入力し、正規ユーザーが知らない間に預金の引き出しを行う手口も少なくありません。預金を狙った手口の中には、仮想通貨を管理する口座から仮想通貨を盗み出す事例も出てきています。個人をターゲットとしたものの中には、アカウントの乗っ取りやなりすましも少なくありません。アカウントの乗っ取りが起こると、本人になりすまして発言をしたり、登録している友人に近づいたりすることがあります。LINEの乗っ取りも事例の1つです。LINEの友達を装ってターゲットとなる人に近づいた攻撃者を本当の友達だと信じて、購入したプリペイドカードの番号を教えてしまった被害も少なくありません。また、若年層をターゲットとしたオンラインゲームでは、ゲーム上で利用可能な通貨を持っている人のアカウントに課金目的で不正アクセスをするケースもあります。
不正アクセスによってシステムに侵入されてしまうと、いつでもアクセスが可能になるように裏口を作られることも珍しくはありません。そこを突破口としてさらに内部のシステムへ侵入しようとしたり、そこからインターネットを通じて外部へ攻撃を行ったりすることもあります。自分が知らない間に攻撃者によって仕組まれた通りに、他のコンピューター宛にスパムメールを送り付けることも少なくありません。攻撃を行う者にとっては、加害者を増やすことで誰が本当の犯罪者なのかを分かりにくくするメリットがあります。知らない間に加害者に仕立てられてしまうと、最悪の場合は誤認逮捕されてしまうこともないとはいえません。
不正アクセスの届け出があった件数を2018年の第1四半期と第3四半期で比較してみると、第1四半期は11件だったものが第3四半期には15件となり、約1.36倍の増加傾向です。そのうち、被害があったものは第1四半期では7件だったのが第3四半期では14件と2倍に増加しています。届け出種別では、第1四半期にはアクセス形跡(未遂)、なりすまし、不正プログラム埋込の順でしたが、第3四半期ではなりすましが全体の4分の3で12件、アクセス形跡(未遂)、不正プログラム埋込、アドレス詐称が1件ずつでした。
不正アクセスの被害が出た原因は、第1四半期も第3四半期もID・パスワードの管理不備が最も多く、続いて設定不備となっています。また、不正アクセスの届出者は一般法人ユーザーが最も多く、続いて個人ユーザー、教育・研究・公的機関の順です。これらの結果から、不正アクセスは決してどこか遠いところで起こっているものではなく、身近なところで起こっており、自分の身にも起こりうるものであることが分かります。
不正アクセスの被害に遭う可能性があるのは、パソコンやサーバーコンピュータだけではありません。タブレットやスマートフォンなど、インターネットに接続できる機器は不正アクセスのターゲットになる可能性があり、実際に被害も出ています。スマートフォンが乗っ取られると、遠隔操作をされてマイクで盗聴されたり内臓カメラで写真や動画を取られたりする盗撮が行われることも少なくありません。また、スマートフォンにロックをかけられて身代金を要求されることもあります。スマートフォンに保存されている個人情報が流出すると、本人だけでなく登録している友人にも被害が及ぶ可能性を否定できません。
スマートフォンには位置情報を取得する機能があり、乗っ取られた場合は自分の居場所も特定されてしまいます。犯罪に巻き込まれるという意味で、位置情報を見知らぬ者に知られてしまうことは大変危険です。位置情報が見知らぬ相手に知られているため、ストーカーや嫌がらせの被害に遭うケースも出てきています。企業側としては、企業の中にあるパソコンや業務用のモバイル端末だけでなく、社員が個人で所有しているスマートフォンなどについても注意を呼び掛けたほうが良いでしょう。社員が企業のパソコンと自分のスマートフォンを接続することがないとはいえないからです。
攻撃する対象をマルウェアに感染させて不正アクセスが行われることも少なくないため、マルウェアに感染していないかを調べることがポイントです。セキュリティソフトを使うことによって、ウイルスや脅威に対する感染の有無を調べ、対策を行うことができます。アカウントが乗っ取られていないかを調べるには、ログイン履歴と実際にログインした時刻が合っているかを確認しましょう。クレジットカードの番号が不正入手されて、ネットショッピングなどで勝手に使われるケースがあります。クレジットカードの管理画面に最低でもひと月に1度はログインして、利用履歴の中に身に覚えのないものがないかを確認しましょう。ネットバンキングをしている場合も、定期的にログイン履歴と残高を確認するようにしましょう。
社内の一部の端末がマルウェアに感染した可能性がある場合は、即座にその端末を社内のネットワークから切り離すことが大切です。そのままにしておくと、他の端末に感染したり、重要なサーバーに多大な損害を与えたりする可能性があるためです。感染した可能性がある端末をWi-Fiから切り離したりLANケーブルを抜いたりするなどの対処をして隔離しましょう。なお、この対策は社内で共有する必要があります。
パスワードが盗まれている可能性がある場合は、社員に呼び掛けてパスワードを複雑なものに変更してもらいましょう。字数は最低でも8文字、できれば10文字以上にすると良く、大文字・小文字・数字・句読点・記号を組み合わせることが望ましいです。名前や誕生日などの個人情報、辞書に載っているような言葉や地名などは避けましょう。金銭が盗難された場合や個人情報の流出などの重大な被害が出ている場合は、早急に警察に通報することが必要です。
不正アクセスから身を守るためには、防御対策を行っておくことが欠かせません。セキュリティソフトを導入しても、すぐに新しいマルウェアが出現したり新しい手口で不正アクセスが行われたりします。そのため、セキュリティソフトは常に最新版にバージョンアップしておくことがポイントです。OSやアプリなども、セキュリティ上の脆弱性を修正するために、しばしばアップデートされています。そのため、OSやアプリなども最新版をインストールすることで、不正アクセスの被害を受ける可能性を低くすることが可能です。
異なるサービスに対して同じパスワードを使いまわすことは避け、パスワードは定期的に変更するようにしましょう。IDとパスワードだけでログインできてしまう場合、IDとパスワードを知られてしまうと不正アクセスの被害を受けかねません。そのため、2段階認証や2要素認証でログインできるようにすれば、セキュリティを強化させることが可能です。ネットバンキングなどでもこの手法が取り入れられています。2段階認証とは、認証を2回に分けて行うことによってセキュリティの強化を図る方法のことです。IDとパスワードの他に、秘密の質問やセキュリティコードなどのもう1つの本人のみが知る情報を入力することでログインができます。ただし、秘密の質問の答えをSNSなどで公開している場合は、他の人にも知られていることになるため注意が必要です。
認証の方法はパスワードの他にネットバンキングなどで用いられているトークンによるワンタイムパスワード、スマートフォンのログインなどで用いられている指紋認証などの生体認証があります。2要素認証とは、パスワードとトークン、パスワードと指紋認証など、2つの要素を組み合わせたログイン方法です。本人のみが知っているパスワードに本人のみが所有しているものを合わせていることから、セキュリティの強化が図られています。しかし、トークンを盗まれたり紛失したりした場合は、本人がログインしようとしても不正アクセスと判断される点がデメリットです。
ログインをするためのパスワードや秘密の質問などをパソコンやスマートフォンに保存すると、情報が流出したときに不正アクセスをされかねません。そのため、パスワードなどは紙のメモに記録するなどして、保管方法にも細心の注意を払いましょう。通信手段として無線LANを使っている場合、電波は外にも広がっています。暗号化せずに通信を行っていれば、知らない間に重要な情報が流出して不正アクセスの対象になることも少なくありません。通信をする際は、暗号化技術として最も優れていてセキュリティが高いといわれているWPA2という暗号化形式を利用すると良いでしょう。
不正アクセスをされてしまうと、顧客情報が流出したり機密情報が盗聴されたり、企業活動に多大な被害を受けることが少なくありません。不正アクセスを防ぐためには、最新版のセキュリティソフトで常時監視をしたり、パスワードを複雑なものにして定期的に変更したりするなど、日頃からしっかりと対策を行いましょう。