【事例あり】不正アクセスとは?手口や被害・対策を紹介
権限を持たない第三者がサーバ―などに不正に侵入する「不正アクセス」。サービスの停止、機密情報の漏えい、データの改ざんなどの被害を受けた事例がたびたび報じられています。そこで今回は、不正アクセスの現状を分析するとともに、その対策を考えます。
企業が狙われる不正アクセスとは
総務省によれば、「不正アクセス」とは「利用する権限を与えられていないコンピュータに対して、不正に接続しようとすること」を指します。実際にアクセスを行わなくても、ログインIDやパスワードといったアクセス情報を不正に入手しようとしたり、第三者に提供したり、不正アクセスをする目的で保管したりすることも不正アクセス防止法の検挙対象となっています。
令和3年3月に警視庁/総務省/経済産業省が公表した報道資料「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、特に令和に入ってから一般企業を標的とした不正アクセスが増加しており、全体の95%を超えています。
| 平成28年 | 平成29年 | 平成30年 | 令和元年 | 令和2年 | |
|---|---|---|---|---|---|
| 一般企業 | 1,823 | 1,177 | 1,314 | 2,855 | 2,703 |
| 行政機関等 | 5 | 9 | 6 | 90 | 84 |
| 大学、研究機関等 | 2 | 5 | 161 | 3 | 11 |
| プロバイダ | 6 | 6 | 4 | 6 | 5 |
| その他 | 4 | 5 | 1 | 6 | 3 |
| 計 | 1,840 | 1,202 | 1,486 | 2,960 | 2,806 |
不正アクセスを防ぐ基本的な対策
同報道資料には、「防御上の留意事項」として、基本的な対策方法も示されています。そのうちいくつかを抜粋します。
パスワードの適切な設定・管理
利用者側・管理者側ともにもっとも重要となる対策が「パスワードの適切な設定・管理」です。
利用者側としては、IDと同じパスワード、電話番号など推測されやすいパスワードなどは避けるべきです。また、他人に不用意にパスワードを教えたり、複数のウェブサイトで同一のパスワードを使いまわしたりすることも危険ですので避けた方が良いでしょう。
管理者側としては、退職などで必要のなくなった場合には迅速にIDを削除したり、パスワードを変更したりするなど、不正アクセスの危険性を可能な限り減少させるような対策を実施しましょう。
不正なプログラムのインストール防止
SMSやメールの添付ファイルなどを通じ、特にスマートフォンなどのモバイル端末に不正なプログラムをインストールさせ、IDやパスワードを抜き取る被害も増えています。実際に、プログラムにより警告メッセージを表示してフィッシングサイトに誘導する手口などが確認されています。金融機関や配送業者を騙るSMSやメールを受信しても、すぐに記載されたURLをクリックせず、送信元やURLを確認する習慣を付けましょう。
また、業務に使用する端末には不用意にアプリをインストールしないことも徹底しましょう。
サーバー関連機器の適切な設定・管理
管理者側での対策も必要です。サーバ―の必要のないサービスは停止する、ディレクトリやファイルなどへのアクセス権限を適切に設定する、WebシステムやVPNサーバ―に脆弱性が発見されたら迅速に更新プログラムを適用する、などを徹底し、常にセキュリティを強化しておきましょう。併せてログの取得、不正アクセス発生時の対処方法をあらかじめ設定しておけばセキュリティはさらに盤石となるでしょう。
また、Webサーバ―を攻撃から守るファイアウォールや侵入防止システム(IPS)などのセキュリティ製品の導入も有効です。
不正アクセスの主な手口と被害傾向
総務省の「不正アクセスによる被害と対策」では、不正アクセスされた場合に起こりうる被害として以下が挙げられています。
このように、外部から不正アクセスを受けると、なりすましやメールアカウントの悪用によって、知り合いや取引先にも被害が及ぶ可能性もあり、企業や組織としての信用を失う可能性もあります。
- ホームページの改ざん
- 保存データの流出
- サーバーシステムの破壊
- サーバーやサービスの停止
- 迷惑メールの送信や中継に利用
- 他サーバーやパソコンへの攻撃の中継に利用
- バックドアを仕掛けられ常に侵入できるように改ざん
また、IPA(情報処理推進機構)による2021年2月の公開資料によると、2020年下半期(7月~12月)に同機構が受理した135件の不正アクセスの届出事例では、実際に次のような被害が増えています。
| 被害内容 | 被害件数 |
|---|---|
| コンピュータウイルスやマルウェア感染の被害 | 49件 |
| 身代金を要求するサイバー攻撃の被害 | 21件 |
| 脆弱性を悪用された不正アクセス | 32件 |
| IDとパスワードによる認証を突破された不正アクセス | 22件 |
| クラウド環境への不正アクセス | 7件 |
| その他 | 4件 |
コンピュータウイルスやマルウェア感染の被害
ランサムウェア以外のコンピュータウイルスやマルウェアの感染被害です。うち44件を「Emotet」と呼ばれるメール経由のコンピュータウイルスが占めています。
身代金を要求するサイバー攻撃の被害
近年増加している、「ランサムウェア」と呼ばれる身代金要求型のウイルスです。中には侵入の経路等、不正アクセスの手口が解明できなかったものもあったようです。
脆弱性を悪用された不正アクセス
ソフトウェアの不具合やセキュリティ設定の不備などの脆弱性を悪用されたケースです。IPAではテレワーク導入時のセキュリティが不完全だったことが一因と分析しています。
IDとパスワードによる認証を突破された不正アクセス
IDおよびパスワードの管理の不備による不正アクセスです。複数人で利用するIDに単純なパスワードを設定していた、現在は使われていないIDがそのまま残っていたなどのケースなどです。
参考:不正アクセスによる被害と対策|情報管理担当者の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト
不正アクセスの具体的な被害事例
上記の届出事例には、具体的な事例も紹介されています。
事例① テレワーク対応時の脆弱性対策不備による不正アクセス
従業員のテレワークを実現するために設置したVPN装置の設定情報が窃取され、認証時にIDと使用していたメールアドレスなどが漏洩しました。
原因は、使用しているVPN装置に装置内部のファイルが外部から、読み取り可能になるという脆弱性が存在していたことでした。
実行した対策
VPN装置のファームウェアを更新するという対応を実施。幸いパスワードが暗号化されていたこと、多要素認証を導入していたことなどにより侵入被害はありませんでした。
事例② ランサムウェアによる攻撃
社内システムにアクセスできなくなったため調査したところ、350台以上のサーバーやパソコンがランサムウェアに感染し、ファイルが暗号化されていることが分かりました。
感染の原因はウイルスが添付されたメールをある従業員が開いたこと。それによりまず1台のパソコンがウイルスに感染、その後そのパソコンを足掛かりとして攻撃者により感染が拡大したとのことです。
実行した対策
バックアップデータによりデータを復旧させた後、セキュリティソフトの拡充およびセキュリティ機器の追加設置という対応を実施しました。
事例③ クラウド上の開発環境からの認証情報窃取による不正アクセス
クラウド上のソフトウェア開発環境に不正アクセスされ、登録していたソースコードが漏えいしたケースです。また、ソースコードに含まれていた認証キーを悪用され、稼働中のサービスサイトにも不正アクセスされるという被害も受けました。
開発環境には多要素認証が設定されていましたが、攻撃者は通常のログイン方法とは別の「抜け道」を通じてアクセスを突破したと推測されています。
実行した対策
ソースコードから認証キーを削除し、定期的な認証キーの変更、不正アクセス監視機能の導入などの対策を実施しました。
不正アクセスを対策できるセキュアアクセスゲートウェイ
「Secure Access Gateway」(セキュアアクセスゲートウェイ)はNTTPCが提供するネットワークの安全対策サービス。「自社のセキュリティをすぐに構築したいが、わからないことだらけ」という中堅・中小企業様に、機能も価格も「ちょうどいい」サービスを提供します。
社内・社外を区別せず、ネットワーク内のすべての通信を信頼しないことを前提とする「ゼロトラスト」の考え方に基づき、インターネットアクセスを監視。不正アクセスの発端となり得るフィッシングサイトや有害サイトへのアクセスをブロックするとともに、マルウェア・ランサムウェアの感染も未然に防ぐなど、インターネット上の脅威から社員を最前線で守ります。
まとめ
今回は不正アクセスの現状と対策について解説しました。不正アクセスの手口は年々高度化し、その攻撃範囲も拡大しています。
今回の記事を参考に、いま一度自社の不正アクセス対策について見直してみてはいかがでしょうか。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
