不正アクセスとは?
アクセス権限を持たない者が不正に企業や個人のWebサイトやサーバーに侵入することです。ユーザーの使用するID/パスワードのハッキング、OS・アプリの脆弱性を利用して不正に侵入を行い、システムへ侵入します。
不正アクセスは一時期検知件数が減少傾向にあったものの、近年は再び増加傾向してきました。2019年は2018年の約2倍の数値である2,960件の不正アクセスが確認されています。
不正アクセスは企業と個人両者にとって非常に脅威となる存在です。企業は顧客情報や技術データ、商品・サービスのデータなど様々な機密情報を抱えています。一度でも情報流出が起きると企業のブランドイメージが傷つくだけでなく、取引先や消費者からの社会的信用を失います。
一方個人の場合は、インターネットバンキングやクレジットカード情報の盗取など、金銭的被害が多く確認されています。
不正アクセスによる被害とは?
企業と個人で様々な被害が想定されます。
企業にとっては情報資産の流出が最も脅威です。
一方。個人にとっては金銭的被害が最も懸念される被害です。
| 想定される被害 | 影響 | |
| 企業 |
|
|
| 個人 |
|
|
不正アクセスによる手口とは?
最も多いパターンがパスワード設定の甘さを突いたパスワードリスト型攻撃です。その他にもアプリやOSの脆弱性を突いた攻撃と、ビジネスメールとマルウェアを組み合わせた攻撃は通常と見分けがつきにくく、被害が大きいのが特徴です。
パスワードリスト型攻撃
パスワードリスト型攻撃は、犯罪者がユーザーが使用しているID/パスワードをハッキングして、本人になりすまして企業のシステムやWebサイトに侵入します。生年月日や名前を組み合わせた解読しやすいパスワード設定や一度認証をクリアすればログインできるなど、パスワードや認証機能の設定の甘さにつけこんだ不正アクセスです。過去にユニクロやディノス・セシールなどが被害を受けてパスワード設定について警察庁から注意喚起をされましたが、以前として不正アクセスを行う手段として最も多い侵入方法となっています。また、対策としては二段階認証やリスクベース認証などの多要素認証が有効です。
脆弱性攻撃
サーバーやアプリの脆弱性を利用して、大量の負荷をかけてシステムエラーの状態に追い込みます。その間にPCを乗っ取り、ID/パスワードを不正取得するのが狙いです。脆弱性攻撃やDDoS攻撃、クロスサイトスクリプティングなど様々な種類のサイバー攻撃が当てはまります。
ビジネスメール詐欺&マルウェア
業務で利用頻度の高いメールを利用して、ID/パスワードや個人情報、企業の機密情報を盗みます。例えば、取引先や経営層を装ってメールを送り本文中にリンクを張って用意した偽サイトに個人情報を入力させる場合やワードやエクセルにマルウェアを忍ばせておくケースなど、相手の警戒心を緩和させてから情報を盗むのが狙いです。
近年の不正アクセスの3つの傾向とは?
犯罪者の若年層化、中小企業や大学・研究機関が狙われる機会が増えているのが、近年の不正アクセスの特徴です。
犯罪者は若年層が多い
警察庁が2019年に発表したデータでは、不正アクセスで検挙した人数の6割以上が30歳以下の若年層でした。このデータが示すのは、今後マルウェア感染やサイバー攻撃は多様化し、次々に新しい種類の攻撃が出てくるということです。若年層は生まれた時からデジタルツールが身近にあることもあり操作性は問題なく、新しいアイデアや技術の取得により積極的です。
今後は全ての人がセキュリティ対策や自らの情報資産を守る意識を高めなければ、今まで以上に被害が大きくなることが予想されます。
中小企業もターゲット対象
サプライチェーン攻撃に代表されるように大企業と取引のある中小企業が、犯罪者からターゲットになる機会も増えています。
中小企業が狙われる理由は2つです。
1つめは大企業が年々セキュリティ対策を強化している点にあります。セキュリティツールの導入だけでなく、知識や業務経験が豊富な人材の配置やセキュリティ意識を高めるための教育機会の設定など、様々な対策を行っています。社員一人一人が慎重な行動を取ることで、情報漏洩のリスクを軽減できます。
2つめは、上記に関連して中小企業のセキュリティ意識や対策の甘さが強調される結果になったことです。つまり、犯罪者にとっては情報資産を守る仕組みを年々強化している大企業を狙うよりも、取引のある中小企業を起点にターゲット企業への情報システムへの侵入を狙った方が、遥かに確率が高いというわけです。
大企業に比べて資金面や人材に悩む中小企業にとっては、セキュリティ対策まで行う余裕が無いのが正直なところかもしれません。ですが、自社のセキュリティ対策の甘さで取引先が情報流出にあった場合、他の取引先からも信用を失う結果になります。
取引量の減少&停止や企業ブランドが傷つけられ、経済的利益が減少します。実際、2017年にはチケット販売大手「ぴあ」がサプライチェーン攻撃の被害に遭っています。ぴあが委託先に任せていたプロバスケットボールリーグB.LEAGUEのチケット・ファンクラブ管理サイトから、15万件以上の個人情報と3万件以上のクレジットカード情報が流出しました。クレジットカードは不正利用が行われ、被害総額は600万円以上に上っています。
犯罪者はサイトの基盤であったApache Struts 2の脆弱性を利用して、不正アクセスと個人情報の盗取を行いました。また、委託先がぴあの提示していた運用ガイドラインと異なった管理体制を取っていたことも情報漏洩の原因の1つとされています。
ぴあの事例のように、中小企業がターゲットにされて大規模な情報流出につながる可能性も高くなっています。今後もこうした傾向は加速するため、中小企業にとっても他人ごとではありません。段階的なセキュリティツールの導入やセキュリティ意識を高める教育が必要です。
大学や研究機関への不正アクセスの増加
総務省が発表したデータによると、2017年には大学・研究機関への不正アクセスは5件だったのに対し、2018年には161件と10倍以上数字が伸びています。大学や研究機関は学生や職員の個人情報、新しい技術やサービスの源となる研究データ、政府機関とのやり取りなど、機密情報を多く抱えています。
一方で、安全性と利便性を両立させるためのバランスが難しく、難しい舵取りを要求されるため、十分なセキュリティ対策ができていない大学や研究機関も多くあります。2020年に入ってからは、お茶の水大学の研究室が不正アクセスでサーバーを乗っ取られフィッシング詐欺用メールの踏み台に利用された他、国立感染症研究所のサーバーが被害を受け、掲示板書き込みの踏み台に利用されました。
不正アクセスへのセルフチェック
OSやソフトウェアのアップデートを常に行う
OSやソフトウェアを最新の状態にしておかないと、脆弱性を高めたり、最新のマルウェアに対応できなかったりと、不正アクセスを受けるリスクを高めてしまいます。
不正アクセスのリスクを軽減するためにも、小まめにアップデートを行い最新の状態を保ちましょう。
ログイン履歴の確認
仕事とプライベートどちらにも当てはまりますが、自身が利用していないデータファイルやWebサイト、SNSにログイン履歴が無いかチェックしてください。
身に覚えのないログイン履歴があった場合は、ID/パスワードの流出や乗っ取られている可能性があります。
被害を最小化するためにも、情報システムの管理者への相談と流出している可能性のあるID/パスワードの締結や削除を行ってください。
デバイス機器の使用場所の限定
カフェやファストフード店、インターネットカフェといった不特定多数の人やセキュリティ対策が十分にされていない可能性がある場所での、PCやスマートフォンの使用は慎重に行いましょう。BYODなどの個人端末も含む、セキュリティ保護が十分でない場所で資料作成やメールのやりとりを行うと、他人に内容を盗み見られたり、通常なら暗号化されるはずのメッセージ内容も丸見えになったりと、不正アクセスによる情報盗取のリスクが高まります。
特に外出機会の多い営業マンは他人に機密情報を盗まれる可能性があるだけでなく、盗難や紛失のリスクもありますので、注意が必要です。
複雑なパスワードの設定
生年月日や氏名を交ぜた短い文字数でのパスワード、単一パスワードの使い回しは、犯罪者にとって解読しやすいパスワードとなるので、避けましょう。現在、パスワードリスト型攻撃の脅威が無くならないのは、パスワード設定に甘さが見られるからです。
解読を簡単にさせないためにも、文字数が多く記号や半数字も織り交ぜた規則性の少ない複雑なパスワードを設定してください。また、クラウドサービスへの移行を検討している企業は、ID認証やアクセス管理を提供するIDaaS(Identity as a Service)を利用すると、単一のID/パスワードの使い回しを行うシングルサインオンとセキュリティレベルを高める多要素認証やリスクベース認証などの組み合わせで、利便性と安全性を兼備するID管理が可能です。
不正アクセスを防ぐための4つの対応策とは?
多要素認証、EDR、シンクライアント、WAFについて紹介します。
自社に合ったセキュリティソリューションを導入して、情報資産を守る仕組みを強化してください。
多要素認証ツールの導入
顔認証や指紋認証などを利用した生体認証、スマートフォンのSMS機能を活用したワンタイムパスワードの入力を求めるなど、ユーザーID/パスワードの入力時に本人認証やデバイス認証などを組み合わせることです。精度の高い認証機能を行うことで、犯罪者や内部不正を行う社員からのなりすましを防ぎます。
現在、クラウドサービスを利用する企業に向けたID認証機能を提供するIDaaSに組み込まれることが多い多要素認証では、デバイス機器に電子証明書をインストールして識別を行うクライアント認証、専用のカードキーやトークンを利用するパスワードレス認証など、安全性と利便性を兼備した認証機能が多数搭載されています。
EDRの導入
EDR(Endpoint Detection and Response)はスマートフォンやノートPCなどをエンドポイントと位置づけて、端末内のセキュリティ監視を行うセキュリティソリューションです。EDRはサイバー攻撃やマルウェア感染などセキュリティインシデントへの予防と被害最小化の両面に優れています。
まず、端末内への侵入を試みる不正アクセスの検知や端末内に侵入した未知・既知のマルウェアの隔離を行うことで、アプリやソフトウェアなどへの影響を最小限に抑えます。そして、侵入経路の把握・分析機能も搭載しているので、二次災害を抑えることが可能です。
ウイルスソフトのパイオニアとしても名高いESET社は、個人と法人両方に向けてEDR製品を販売しています。
シンクライアントの導入
シンクライアントは機密情報の流出を防ぐために、PCやスマートフォンが最小限の機能しか持たない状態を指します。
例えば、企業から支給されるノートPCをシンクライアント化した場合、PC上にデータ保存やアプリのインストールは行えず、機能もクリック操作やキーボード操作などに限定する状態です。サーバー側でデータの更新や処理機能は行うため、POはモニターのような機能を果たすのに留まります。
また、OSやソフトウェアの更新も一括で行えるため、個々の煩雑な管理やセキュリティレベルのばらつきを心配する必要はありません。そして、ソフトウェアのインストールやUSBを差し込むだけで、シンクライアント端末化を行える製品もあるので、コスト面や運用面でも比較的スムーズに行えます。三菱UFJ銀行では2019年から既存PCをシンクライアント端末化する試みを始めています。
WAFの導入
WAF(Web Application Firewall)は、GmailやSkypeなどのWebアプリの脆弱性を狙ったサイバー攻撃の検知・ブロックを行います。
言わばアプリ版のファイアウォールです。
WAFの特徴はファイアウォールとは異なり、外部からの不正アクセスをシグネチャに基づいて判断している点です。シグネチャはマルウェアに含まれる特徴や規則性、犯罪者がサイバー攻撃を行う際に見られるデータの特徴とアクセスを蓄積されたデータと照合して、アクセス許可を下しています。
共通点や類似性が少しでも含まれていればアクセスをブロックするので、ファイアウォールでは防げないクロスサイトスクリプティング、バッファオーバーフロー攻撃などへの対策を強化できます。他にも過去の不正アクセスやサイバー攻撃を分析できるログ・レポート機能や特定のIPアドレスからの通信を拒否する機能も搭載しています。
