不正アクセスとは？代表的な手口と被害に遭わないための対策

不正アクセス行為の禁止等に関する法律

インターネット上の不正アクセスを防止するため、「不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）」という法律が作られました。

総務省の「不正アクセス行為の禁止等に関する法律」でその詳細が公開されており、この法律は不正アクセス行為、不正アクセス行為に繋がる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止するというものです。

▼識別符号とは

情報機器やサービスにアクセスする際に使用するIDやパスワード等のこと。
この法律に違反した場合、「三年以下の懲役又は百万円以下の罰金」「一年以下の懲役又は五十万円以下の罰金」「三十万円以下の罰金」など、状況に応じて懲役もしくは罰金が発生します。

不正アクセスによるリスク

不正アクセスによる被害は、企業の機密情報の漏洩やデータの改ざん、削除など多岐にわたります。企業を狙った不正アクセスが多く、その被害により、これまで培ってきた売上や信用が失われることもあります。

パスワードを利用した不正アクセス

権限を持たない者が、パスワードを入手・推測して情報システムへアクセスする行為です。主な手口として、「ブルートフォースアタック」と「パスワードリスト攻撃」の2つが挙げられます。

システムの脆弱性を狙った不正アクセス

この手口は、ソフトウェアやハードウェアの欠陥を利用して情報システムにアクセスする方法です。以下、「SQLインジェクション」と「OSコマンドインジェクション」について解説します。

フィッシングを使った不正アクセス

フィッシングを使った不正アクセスとは、偽のWebサイトやメールを使って情報を盗み取る手法のことです。銀行や公共サービスの公式サイトに似せたWebページを作成し、ユーザーを誘導し、IDやパスワードを入力させて情報を盗みます。

主にメールで「アカウント情報の確認」などの理由でリンクをクリックさせ、フィッシング詐欺による不正アクセスを実行します。これにより、金銭の不正引き出しや個人情報の漏洩など、さまざまなリスクが考えられます。

なりすましによる不正アクセス

他人のアカウントや身分を騙り、情報やサービスへのアクセスを試みる攻撃手法です。具体的には、企業サイトへのなりすまし、SNSアカウントのなりすましなど、複数の手法が存在します。

一度なりすましによる不正アクセスの被害に遭うと、企業や個人のアカウントが利用され、広範囲にわたって被害が発生します。攻撃者から金銭を要求されたり、パスワードを変更されたりなどのリスクも考えられます。

【関連記事】アカウントの乗っ取りが疑われる主なケース｜原因や対処法、効果的な対策

株式会社JTB

大手旅行会社である株式会社JTBは2016年6月14日、2007年9月28日〜2016年3月21日にかけての顧客情報が流出したと発表しました。流出の可能性がある情報は約793万人分です。

JTBによると、子会社「i・JTB」の社員が3月15日に、取引先の航空会社を装ったメールのファイルを開いたところ、パソコンとサーバが標的型ウイルスに感染したとのことです。同月に不審な通信が確認され、サーバ内に不正アクセスがあり、個人情報が盗まれたことが発覚しました。

2016年6月14日の記者会見では、「お客様の特定ができないままにご案内することで、不安感を与え混乱を招くと判断した」と、発表が6月になった経緯について説明しています。

株式会社ベイシア

株式会社ベイシアは2021年11月1日、不正アクセスによりクレジットカード情報3,101件および、個人情報254,207件が流出した可能性があると公表しました。

情報流出の原因は、ECサイト制作・運用委託先（東芝テック株式会社〈東京都品川区〉および株式会社ジーアール〈京都市中央区〉）のシステムへの第三者による不正アクセスであるとのことです。

この不正アクセスにより、氏名や住所、メールアドレス、電話番号などの個人情報に加え、クレジットカード情報なども流出した可能性があります。株式会社ベイシアは、不正アクセスが発覚した9月1日時点で「ベイシアネットショッピング」を停止するなど、迅速な対応を取っています。

ソースネクスト株式会社

2023年2月14日、ソースネクスト株式会社は顧客のクレジットカード情報112,132件、および個人情報120,982件が漏洩した可能性があると公表しました。

原因は、ソースネクスト株式会社が運営するサイトの脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためだとされています。2022年11月15日〜2023年1月17日の期間中にサイトで購入した顧客の氏名、住所、メールアドレスなどの個人情報に加え、クレジットカード情報が流出した可能性があります。

調査結果を受け、ソースネクスト株式会社はシステムのセキュリティ対策、および監視体制の強化を行いました。

ファイアウォールの設置

まずはファイアウォールの設置を検討すべきです。ファイアウォールとは、不正な通信を遮断するシステムのことです。

不正アクセスやウイルスからシステムを守る基本的な対策の一つであり、通信の判断を許可または拒否して不正アクセスを防ぎます。セキュリティレベルを維持するには、常に最新の状態に更新し、継続的な監視が必要になります。

【関連記事】ファイアウォールとは？仕組み・種類・機能をそれぞれ解説

認証システムの強化

二要素認証や多要素認証を導入し、認証システムを強化することも対策として有効です。多要素認証とは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証する仕組みのことです。

これにより、仮にパスワードが流出したとしても、もう一つの認証を突破されない限り、不正アクセスが起こることはありません。特に金融関連のアカウントや、個人情報を取り扱うシステムでの導入が求められます。

【関連記事】多要素認証（MFA）とは｜二要素認証・二段階認証との違いやメリットを解説

OS・ソフトウェアの更新

OSやソフトウェアの更新により、セキュリティ上の脆弱性が改善されることがあります。常に最新の状態に保つことで、不正アクセスのリスクを軽減し、被害状況を最小限に抑えます。

OS・ソフトウェアの更新を忘れてしまう方は、自動アップデートの設定を行いましょう。

社内リテラシーの改善

社内リテラシーの改善も不正アクセスに効果的です。不正アクセスやセキュリティリスクについての知識を、社内全体で共有しておくことで、サイバー攻撃における対応力が向上します。

例えば、定期的に研修を開催する、リテラシーのセミナーを開く、資格取得を推奨するなどが効果的です。社員一人ひとりがリスクを理解し、正しい対応を取ることで社内全体のセキュリティが強化されます。

【関連記事】ネットリテラシーとは？重要視される理由と企業が取り組むべき対策

セキュリティサービスの導入

信頼性の高いセキュリティサービスを導入し、社内のセキュリティレベルを高める方法もおすすめです。専門企業が提供するサービスを活用することで、高度な不正アクセスにも対応できるようになります。

セキュリティサービスを導入する際は、サービス提供元の実績や信頼性を確認するなど、適切なサービスを選定するようにしましょう。

【関連記事】セキュリティ診断サービスの比較ポイント｜おすすめのサービスを紹介

ログイン情報の変更

まずは、IDやパスワードなどのログインに必要な情報を変更しましょう。ログイン情報をすぐに変更することで、被害の拡大を抑えられる可能性があります。

他のサービスで同じパスワードを使用している場合、それらも変更することが推奨されます。強固なパスワードに変更し、定期的に変更をかけるようにしましょう。

ログイン履歴等の保存

証拠を保全するため、ログイン履歴やログイン画面を保存してください。警察に相談する際に、ログイン履歴等があれば的確に対処してもらえます。

パソコンやスマートフォンのスクリーンショット機能を活用すると、簡単に情報を保存できます。また、インターネットサービスを提供している会社に連絡・相談した際は、経緯が分かるようにメールやチャットのやりとりを保存・記録しておきましょう。

警察への通報・相談

保存したログイン履歴等を持って警察へ通報・相談しましょう。事前に電話をしておくと、対応がスムーズに進みやすくなります。

警察庁が公開している「都道府県警察本部のサイバー犯罪相談窓口一覧」を参考にし、最寄りの窓口へ相談しましょう。通報・相談時には、具体的な被害状況や証拠となる情報を詳細に伝えてください。