不正アクセスによる被害が世界中で発生しています。自社は大丈夫と思っていても、実際に不正アクセスの被害にあうと、機密情報の漏洩やWebサイトの改ざんなどが発生し、金銭的な被害に加えて、顧客や取引先との信頼も失いかねません。不正アクセスとはどのような攻撃であり、どのように対策すれば良いのでしょうか。
この記事では、不正アクセスの概要について詳しく紹介します。
また、そうした不正アクセス被害に従業員が遭わないよう、徹底した従業員教育が必須です。
不正アクセスとは
不正アクセスとは、主に情報システムやパソコンに対する不正な侵入やアカウントのなりすましのことです。インターネットの普及に伴い、世界中のコンピュータが不正アクセスされる危険性があります。
特に企業が不正アクセスの被害に遭った場合、顧客情報などの重要情報の漏洩や、サーバー上のデータの改ざんなどが発生することがあり、企業は顧客や取引先に対して、謝罪や損害賠償をしなければならない事態に発展します。そうなると企業イメージの失墜にもつながりかねません。
不正アクセスの種類は大きく2種類
不正アクセスには大きく分けて、以下の2種類あります。
侵入
侵入とは、接続を許可されていない情報機器への侵入を試みる行為です。IDとパスワードを要求するコンピュータに対し、総当たり攻撃(ブルートフォース攻撃)を仕掛けて不正ログインする行為も含まれます。
またマルウェアに感染したUSBメモリやメールから、コンピュータにマルウェアを感染し、コンピュータに裏口(バックドア)を設置して、外部から不正アクセス可能な状態にさせられることもあります。
さらにインターネットで公開されているWebサイトの脆弱性を狙った手口も確認されています。例えば入力フォームに対して不正なプログラムを入力して実行させるなどの方法です。SQLインジェクション攻撃がこれにあたります。
なりすまし
なりすましとは、利用者のIDとパスワードを不正に入手し、他人になりすまして情報システムを使用する行為です。なりすましで利用されるIDとパスワードは、パスワードリスト攻撃などで入手されます。
攻撃者はターゲットになりすまして情報システムにアクセスして、ターゲットの個人情報などを不正に窃取することがあります。
不正アクセスをしかける目的
攻撃者が不正アクセスをしかける目的として、以下の5つがあげられます。
金銭の取得
ネットバンクの他人の銀行口座などに不正アクセスを仕掛けて不正ログインに成功すれば、攻撃者は大量の金銭を窃取できます。
金銭を扱うネットバンクは、通常他のWebサイトと比較して高いセキュリティ対策が施されていますが、攻撃者はIDとパスワードだけでなく、偽造した本人確認書類なども悪用して不正アクセスを試みるケースもあります。
2020年にはドコモ口座に対するリバースブルートフォース攻撃により、11以上の銀行から被害総額2,542万円、被害件数120件近くの不正利用が判明したことも記憶に新しいです。
機密情報の取得
企業システムへ不正アクセスされることで、社内で管理しているあらゆる情報が参照される被害が発生することもあります。特に管理者権限を持つアカウントが奪われてしまうと、データを外部に持ち出されてしまうことは容易です。
攻撃者は窃取した機密情報を、ライバル企業に売り渡したり、ダークウェブ上で販売したりします。取得された機密情報が一度インターネットで公開されてしまうと、そのすべてを回収するのは困難です。
SNSアカウントのなりすまし
SNSアカウントを乗っ取られると、本人になりすまして、アカウントの友人から金銭をだまし取るなどの操作も可能です。
SNSで友達として登録しているユーザーから、不正なスパムメールが送付されてくる事例も後を絶たず、友人からの指摘で、自分のアカウントがなりすまされていたと気づくケースもあります。
セキュリティ攻撃のための踏み台
情報システムへの不正アクセスを許してしまうと、踏み台として別の情報システムへの攻撃に利用されてしまうことがあります。
例えばDDoS攻撃(Distributed Denial of Service attack)は、踏み台となった多くのコンピュータを利用して、ターゲットとなる別のコンピュータに膨大な量のデータを送信して、コンピュータをダウンさせる攻撃です。
クレジットカードを使った不正購入
クレジットカードの情報を保有しているECサイトなどに不正アクセスしてクレジットカード番号を入手する手口もあります。クレジットカード番号を入手できれば、不正アクセスされたECサイトだけでなく、他のECサイトでも不正購入に使われてしまうこともあります。
不正アクセスの被害事例
不正アクセスによる具体的な被害実例を3つ紹介します。
ドコモ口座の不正利用
ドコモ口座と提携している地方銀行の口座が、利用者の許可なく紐づけられ不正利用される被害が全国で発生しました。2020年9月14日0時の時点で、総額2,542万円の被害が発生しました。この被害を受けて、ドコモでは銀行口座登録の申込受付を停止し、現在ではドコモ口座と銀行口座の連携はできなくなっています。
セブンペイの不正利用
2019年7月1日にサービスが開始したセブンペイにて、不正アクセスが発生し、不正チャージ及び不正利用の被害が発生しました。2019年7月4日には不正利用に関する記者会見が開かれ、全入金手続きの停止に至りました。その後も、モニタリング体制の強化やパスワードリセットなどを実施しましたが、サービスの再開には至らず、2019年8月1日にセブンペイのサービス廃止が決定されました。
新型コロナウイルス研究などに関する大量の機密情報を窃取
2020年7月21日に米司法省が、新型コロナウイルス研究に関する大量の機密情報を窃取した中国人ハッカーを起訴したと発表しました。起訴された2人は、既知でありながら解決されていなかった脆弱性を悪用する方法で、被害者のネットワークに侵入し、機密情報を窃取していました。また侵入に成功したネットワークに対し、マルウェアを仕掛けて遠隔操作可能な状態にしており、少なくとも8の組織にて被害が確認されました。
不正アクセスへの主な対処法
不正アクセスに対しては、これから紹介する方法での対策が有効です。
システムログインの複雑化
第三者が簡単にはログインできないように、システムログインの複雑化が有効です。例えばパスワードの文字列を長くし、記号や数字などを混ぜることでパスワードを強化すれば、ブルートフォース攻撃対策となり不正アクセスの被害にあう確率を大幅に減らせます。
またIDとパスワードに加えてセキュリティコードの入力を必須とする二段階認証や、本人しか所持し得ない情報を要求する二要素認証の導入も、システムログインの複雑化に役立ちます。
外部からのアクセスを制限
ファイアウォールなどの導入で、社内LANへのアクセス制限をかけることも不正アクセス対策となります。
さらにIDS(不正侵入検知システム)を導入することで、通信の監視ができ、異常があった発生した時に、システムの管理者へメールで通知できます。
IDSを一歩進めたIPS(不正侵入防止システム)は不正通信の通知だけでなく、通信のブロックまで可能です。不正通信の通知を受けてから管理者が手動で通信を停止させるのとは異なり、より迅速に不正通信のブロックが可能です。
インストール済みソフトウェアの最新化
コンピュータにインストール済みのソフトウェアは常に最新の状態を維持しましょう。
例えば、セキュリティ対策ソフトの定義ファイルや、OSのシステムアップデートなどは、定期的にリリースされます。アップデートを迅速に行うことで、脆弱性を解消して不正アクセスのリスクを低減させ、ゼロデイ攻撃の被害にあう可能性も減らせます。
ソフトウェアの新規インストールを制限
コンピュータにインストールするソフトウェア数を制限することも有効です。
特にインターネットで公開されているフリーソフトの中には、コンピュータにバックドアを仕掛けるものがあり、インストールしてしまうと不正アクセスされるリスクが高まります。スマートフォンアプリにも不正なものが確認されており、インストール後にスマートフォンにバックドアが仕掛けられることもあります。
新しくソフトウェアをインストール時には、本当にそのソフトウェアが必要かどうか吟味しましょう。不正アクセスの糸口を減らすためにも、コンピュータにインストールするソフトウェア数は最低限にすべきです。
社内システムの設定変更でセキュリティを強化
社内LANの設定や無線Wi-Fiの設定や、ファイル共有設定の無効化、ファイアウォールの適切な設定など、社内で使われているシステムの設定変更を見直してセキュリティを強化しましょう。
例えば無線Wi-FiにはWPA2/WPAなどの暗号化キーを設定し、SSIDのステルス化による社外の人からの不正なアクセスを防御することは必要不可欠です。
社内規定の整備と教育
情報セキュリティ対策の一環として、不正アクセスに繋がるような行為を防止する社内規定を整備し、社員に対して情報セキュリティ教育を行いましょう。特に新入社員は社内の情報資産の取り扱いに不慣れなので注意が必要です。
また社員の配置転換や昇進、さらに社内に導入しているシステムの変更などの理由で、社員に求められる情報セキュリティ対策が変わる可能性もあります。このため情報セキュリティ教育は定期的に行い、常に正確で最新の情報を保有している状態を維持することが不可欠です。
まとめ
被害実例で紹介したように、不正アクセスの被害にあうと、金銭的な被害だけでなく、企業の信頼も失われてしまいます。攻撃者は様々な目的で不正アクセスを仕掛けますが、適切に対策することで、多くの不正アクセスは未然に防ぐことはできます。まずはこの記事を参考にして、不正アクセスに関する正しい知識を身につけることから始めましょう。