1.企業における不正アクセス件数の傾向について

総務省は平成28年から過去5年間の「不正アクセス行為の発生状況」について調査を行っています。平成24年度は1251件、平成26年度は3545件と大幅に増えており、平成28年度には1840件まで減少しています。この調査で見逃せないのは、調査対象のアクセス管理者のなかで、一般企業が最も多く不正アクセスされている点です。プロバイダや行政機関などの被害件数は年に数件から、多くても約50件です。対して一般企業では、どの年も1000件を超えています。事業者や各機関のほうが一般企業より数が少ないという事情はあるでしょう。しかし、一般企業を標的とした不正アクセスは他人事ではありません。自社を不正アクセスから守るには、加害者の手口や目的を理解したうえで、徹底した対策を取る必要があります。

2.企業のPCが不正アクセスされるとどんなリスクがある？

企業のパソコンやネットワークが不正アクセスされると、どのような被害を受けるのでしょうか。不正アクセスの目的は複数あります。企業のパソコンやネットワークに対する不正アクセスのリスクを紹介しましょう。

2-1.個人情報や機密情報の漏えい・盗難

よく知られる不正アクセスのリスクのひとつは、情報の漏えいや盗難です。ターゲットになりやすいのは、企業の機密情報と、企業が管理する顧客の個人情報でしょう。商品開発や販売ノウハウのような重要情報を盗難されると、商品を発表する前に他社に模倣されるリスクがあります。また、個人情報の漏えいでは、顧客の住所や電話番号、メールアドレスなどが流出してしまいます。結果的に、顧客がフィッシング詐欺の対象とされる可能性が出てくるでしょう。顧客からの損害賠償請求が増えれば、それだけ金銭的ダメージが大きくなってしまいます。

2-2.情報の改ざん・破壊

情報の改ざんやデータ破壊なども、不正アクセスの大きなリスクです。企業が発信している情報が改ざんされると、顧客に間違った情報を提供してしまうためイメージダウンにつながります。また、マルウェア拡散の目的でwebサイトを改ざんされた場合、webサイトにアクセスするだけで閲覧者のパソコンがウィルス感染するおそれがあります。難点なのは、表面上はwebサイトが変わっているように見えず、改ざんに気付きにくい点です。データが破壊された場合は、企業のwebサービスが運用できくなる可能性もあります。復旧までの時間が長くなるほど、経営活動に影響が出てしまいます。

2-3.送信元偽造の踏み台にされる

踏み台とは、不正アクセスの中継地として利用されてしまうことです。インターネットの利用状況はアクセスログとして残り、アクセスログをたどれば不正元の特定が可能です。そこでハッカー（悪意を持ってハッキングする人のこと。正しくはクラッカーという）は、送信元を偽装するために企業を踏み台として利用します。A社に不正アクセスをするためにB社を踏み台にした場合、B社がA社に不正アクセスしたというログが残ります。結果、B社は不正アクセスの疑いをかけられてしまうわけです。もし、不正アクセスの疑いが晴れたとしても、B社の管理体制が疑問視される可能性が高いです。セキュリティの甘い企業だと認識されれば、クライアントや顧客からの信頼性が低下してしまうおそれもあるでしょう。

2-4.ウィルス感染の発生

企業のパソコンをウィルス感染させるために、不正アクセスによって企業が導入しているセキュリティ対策ソフトを削除してしまうケースがあります。ウィルスとはプログラムを改ざんして自己増殖するマルウェアの一種です。ウィルスにとって、セキュリティ対策ソフトは邪魔な存在でしかありません。加害者は不正アクセスでセキュリティ対策ソフトを削除し、セキュリティが弱まったところにウィルスを感染させていきます。感染したパソコンは、詐欺や不正送金などに利用されます。意図せず犯罪に加担してしまう、企業の管理能力に疑問を持たれるなどのリスクがあり、注意が必要です。

3.不正アクセスの手口とは？

不正アクセスを防ぐには、実際の手口を知ることが早道です。ここでは、不正アクセスのよくある手口を2点紹介しましょう。

3-1.パスワードリスト攻撃による不正ログイン

パスワードリスト攻撃とは、不正入手した複数のIDとパスワードを使って、順番にログインを試みる手口です。多くのユーザーに使用されやすい文字列をリスト化したり、専用のマーケットからリストを不正入手したりしてパスワードリスト攻撃を行います。マーケットで売買されているIDやパスワードは、ハッカーによる不正アクセスのほか、企業内部の人間が意図的に社外へ持ち出すことでも流出します。一度外部からの不正アクセスを許してしまうと、情報漏えいとパスワードリスト攻撃によって、被害が二重になる可能性もあるでしょう。不正アクセスは複数のダメージをもたらすということを、常に念頭においておくことが重要です。

3-2.セキュリティホールの攻撃による侵入

ハッカーは、セキュリティホールの隙きを突いてネットワークの内部に侵入しようとします。セキュリティホールとは、ソフトウェアに存在するセキュリティ上の欠陥のことです。OSやアプリケーションの欠陥は、いわば家を守る壁に穴が開いたようなものです。セキュリティホールに気付かず放置してしまうと、そこから侵入されて、情報が盗まれたり改ざんされたりする危険性が高くなります。インターネット黎明期の頃は、画像の差し替えやメッセージの表示など、誰が見ても被害状況がわかりやすいという特徴がありました。しかし、組織ぐるみで不正アクセスが行われるようになってからは、被害者に気付かれないよう犯罪行為を行うパターンが増えてきました。セキュリティホールの放置は、犯罪者に対して「攻撃してください」とアピールしているようなものだと認識しましょう。

4.徹底しよう！企業がすべき不正アクセスの7つの対策

不正アクセスを防ぐには、どのような対策が必要なのでしょうか。ここでは、企業が行うべき不正アクセスの対策を7つ紹介していきます。

4-1.セキュリティソフトやファイアウォールを活用する

不正アクセス防止の方法として、セキュリティ対策ソフトやファイアウォールの導入は必須です。セキュリティ対策ソフトは、IDやパスワードの管理機能や迷惑メール防止機能などによって不正アクセスを防いでくれます。危険性の高いwebサイトを事前に通知する機能もあり、気付かず閲覧してしまう可能性も少なくなるでしょう。一方、ファイアウォールは不正通信のブロックやアクセスログの記録などが可能です。導入後はこまめにログや警告をチェックして、いち早く対応できるようにしておきましょう。

4-2.社内のモバイル機器の管理を徹底する

ノートパソコンやタブレット、スマートフォンなどのIT機器は、円滑な企業活動において欠かせないアイテムです。社員がモバイル端末を社外に持ち出すケースは多く、万が一の紛失や盗難に備える必要があります。まずは、社員一人ひとりが紛失・盗難に十分気を付けるよう、注意喚起を行いましょう。そのうえで、モバイル端末にID名やパスワードを記録させない、紛失した場合はユーザー認証情報の変更を行うなど、扱う端末の徹底的な管理が重要です。

4-3.推測しやすいパスワードは避ける

パスワードは推測されにくい文字列で設定しましょう。前述したとおり、パスワードリスト攻撃は安易なパスワードを推測してログインを試す方法です。自分や家族の誕生日、意味の通じる文字列、「12345」のような単純な文字列をパスワードに設定するのは良くありません。複数のサイトやシステムで同じパスワードを使い回すのも、被害が拡大しやすく危険です。意味の通らない文字を組み合わせてパスワードを作る、使用するサイトやシステムごとにパスワードを変えるなどの対策を取りましょう。

4-4.セキュリティに強いPCを導入する

不正ログインやアクセスを防ぐ簡単な方法は、セキュリティに強いパソコンを導入することです。不正アクセスの手口は年々進化しており、ハッカーとセキュリティ対策をする側のいたちごっこが続いています。不正アクセスを防ぐには多角的な対策が必要です。たとえば、認証センサーによるログイン機能があるパソコンなら、不正アクセスの危険性を減らせます。パスワード入力によるログインではなく、指紋認証でのログインなら、万が一モバイル端末を紛失したときでも安心です。

4-5.社内無線LANルーターのセキュリティを高める

無線LANはIT機器同士を有線ケーブルでつなぐ必要がなく、電波の飛んでいる場所なら自由にインターネットの利用ができます。利便性の高さから、社内で無線LANを使用している企業も多いでしょう。しかし、第三者から不正アクセスや通信傍受をされるおそれがある点はデメリットです。これらのリスクを防ぐなら、通信の暗号化方式にWPA2を選ぶようにしましょう。WPA2とは別のWEPだと、パスフレーズの解読がしやすい脆弱性があります。通信傍受や不正アクセスの危険性が高いため気を付けましょう。

4-6.ソフトウェアの更新は忘れずに行う

古いバージョンのソフトウェアはセキュリティホールを突かれやすく、不正アクセスの侵入経路になりやすいです。OSを始めとするソフトウェアの更新情報はこまめにチェックし、必ず更新して最新の状態を維持しましょう。場合によっては、セキュリティホールを修繕するセキュリティパッチがメーカーから配布されるケースがあります。セキュリティパッチ配布後、しばらくしてからバージョンアップされることもあります。いずれにしても、ソフトウェアメーカーのニュースを定期的に確認して、脆弱性に関する情報を収集しておくようにしましょう。

4-7.社内パソコンにインストール制限をかける

社員の個人的な判断で、社内では許可されていないソフトウェアをインストールするケースがあります。ソフトウェアの使いやすさは、個人によって感じ方が変わります。しかし、たとえ業務効率化のためであっても、独断によるソフトウェアのインストールは危険です。インストールしたソフトウェアが安全とは限りません。勝手にインストールされたソフトウェアが増えるほど、社内での管理も行き届かなくなります。もし、脆弱性のあるソフトウェアが混じっていれば、そこがセキュリティホールとなって犯罪者に隙きを与えてしまいます。独自判断によるインストールを防ぐために、社内パソコンにはインストール制限をかけておきましょう。

5.どうすればいい？不正アクセスが発生したときの対処方法

2010年代後半から、巧妙化する犯罪者の手口に対して「サイバー攻撃を完全に防ぐのは不可能」といわれるようになりました。しかし、手をこまねいて不正アクセスを放置するわけにはいきません。もし、不正アクセスが発生したらどうすればいいのか、具体的な対処方法を見ていきましょう。

5-1.セキュリティ対策委員会へ報告する

被害を想定したセキュリティ対策委員会を設置しましょう。設置するうえでの注意点は、セキュリティ対策を一社員や一部署に丸投げしないことです。サイバー攻撃による被害は、一部の社員だけでどうにか防げるものではありません。経営者自らが責任者となり、積極的に対策方針を策定していきましょう。体制の形骸化を防ぐために、セキュリティ対策が実践されているかのチェックを行う内部監査の設置も有効です。セキュリティ対策委員会の業務内容は、対策の検討やセキュリティ対策の指示・指導、緊急時の対応、復旧などです。万が一、不正アクセスが発生した場合は、セキュリティ対策委員会へ報告するように、社員への周知も徹底しておきましょう。

5-2.被害状況の確認・復旧作業にあたる

もし、不正アクセスが発生してしまったら、迅速に現状確認と復旧作業を行います。まず、被害の拡大を防ぐために、被害にあったサーバーをネットワークから遮断します。不正アクセスの原因を特定するために、社員一人ひとりにパソコンやモバイル端末の使用状況をヒアリングしましょう。同時に、専門家チームによる調査を行い、復旧作業を開始します。調査をしても原因がわからない場合は、OSの再インストールを行うケースが多いです。企業規模によっては、専門業者に調査・復旧を依頼する場合もあります。セキュリティ対策委員会を中心に、各部署と連携しながら早急に対応していきましょう。

6.不正アクセスの対策をして企業のデータを守ろう！

自社が保有する重要情報の改ざん、顧客情報の流出、管理体制の甘さからくる信用失墜など、不正アクセスによる企業の被害は甚大です。サイバー攻撃から企業を守るには、十分な対策が必要です。日本HPでは、不正アクセスの予防や検知はもちろん、素早い自己回復が可能な復旧機能が付いています。将来的に、セキュリティ対策の重要性はますます増していくでしょう。ぜひ、セキュリティ能力の高い日本HPのパソコンを検討・購入してみてはいかがでしょうか。