CORPORATE SEARCH検索

不正アクセスとは?代表的な手口と被害に遭わないための対策

[ 更新: ]

不正アクセスとは、悪意のある第三者が詐欺行為などを目的に、サーバや情報システムに侵入する行為のことです。

不正アクセスの手口は多岐にわたり、その脅威は年々巧妙化しています。

大手旅行会社なども不正アクセスの被害に遭っており、被害リスクが深刻化する場合もあります。不正アクセスによる被害を最小限に抑えるためには、事前に対策・対処法を押さえておくことが大切です。

本記事では、不正アクセスの具体的な手口、対策・対処法を詳しく解説します。最後までご覧になれば、不正アクセスによるリスクから被害事例、対処法までを深く理解することができます。

目次

[ 開く ] [ 閉じる ]
  1. 不正アクセスとは
  2. 不正アクセス行為の禁止等に関する法律
  3. 不正アクセスによるリスク
  4. 不正アクセスの代表的な手口
  5. パスワードを利用した不正アクセス
  6. ブルートフォースアタック
  7. パスワードリスト攻撃
  8. システムの脆弱性を狙った不正アクセス
  9. SQLインジェクション
  10. OSコマンドインジェクション
  11. フィッシングを使った不正アクセス
  12. なりすましによる不正アクセス
  13. 不正アクセスの被害事例
  14. 株式会社JTB
  15. 株式会社ベイシア
  16. ソースネクスト株式会社
  17. 不正アクセスの対策方法
  18. ファイアウォールの設置
  19. 認証システムの強化
  20. OS・ソフトウェアの更新
  21. 社内リテラシーの改善
  22. セキュリティサービスの導入
  23. 不正アクセスの被害に遭った場合の対処法
  24. ログイン情報の変更
  25. ログイン履歴等の保存
  26. 警察への通報・相談
  27. 不正アクセスの予防ならGMOサイバーセキュリティ byイエラエにお任せ
  28. まとめ

不正アクセスとは

不正アクセスとは、悪意のある第三者が詐欺行為などを目的に、サーバや情報システムに侵入する行為のことです。不正アクセスの手口は年々巧妙化しているため、それに合わせてセキュリティ対策を強化していく必要があります。

総務省の「不正アクセスとは?」では、「本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為」と定義されています。また、以下のようなリスクがあると注意喚起されています。

▼不正アクセスの主なリスク

  • サーバや情報システムが停止してしまう
  • 重要情報が漏洩してしまう

これらリスクにより、企業や組織の業務やブランドイメージに大きな影響を及ぼす可能性があります。特に機密情報を取り扱う企業は、不正アクセスへの意識・警戒が大切です。

【関連記事】サイバー攻撃とは?種類や被害事例、対策方法についてわかりやすく解説

不正アクセス行為の禁止等に関する法律

インターネット上の不正アクセスを防止するため、「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」という法律が作られました。

総務省の「不正アクセス行為の禁止等に関する法律」でその詳細が公開されており、この法律は不正アクセス行為、不正アクセス行為に繋がる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止するというものです。

▼識別符号とは
情報機器やサービスにアクセスする際に使用するIDやパスワード等のこと。
この法律に違反した場合、「三年以下の懲役又は百万円以下の罰金」「一年以下の懲役又は五十万円以下の罰金」「三十万円以下の罰金」など、状況に応じて懲役もしくは罰金が発生します。

不正アクセスによるリスク

不正アクセスによる被害は、企業の機密情報の漏洩やデータの改ざん、削除など多岐にわたります。企業を狙った不正アクセスが多く、その被害により、これまで培ってきた売上や信用が失われることもあります。

▼不正アクセスによる主なリスク

  • 顧客情報の流出による信頼失墜
  • 企業活動の停滞や損失を招く可能性
  • 機密情報の漏洩やデータの改ざん
  • ネットバンクの不正引き出しなどの金銭的な被害
  • 情報の盗難による企業のブランドイメージの低下

不正アクセスの代表的な手口

不正アクセスの手口は多岐にわたります。その手口は日々進化しており、多くの経営者やサイト管理者を苦しめています。本項では、不正アクセスの代表的な手口を4つ紹介します。

  1. パスワードを利用した不正アクセス
  2. システムの脆弱性を狙った不正アクセス
  3. フィッシングを使った不正アクセス
  4. なりすましによる不正アクセス

以下、各手口を順番に見ていきましょう。

パスワードを利用した不正アクセス

権限を持たない者が、パスワードを入手・推測して情報システムへアクセスする行為です。主な手口として、「ブルートフォースアタック」と「パスワードリスト攻撃」の2つが挙げられます。

ブルートフォースアタック

ブルートフォースアタックとは、考えられる全ての組み合わせでパスワード突破を試みる攻撃手法のことです。和訳すると「総当たり攻撃」という名称になります。

コンピュータを活用してパスワードの文字を一つずつ変更し、時間をかけて全ての組み合わせを試して突破を図ります。設定しているパスワードが簡単なものほど、このブルートフォースアタックで突破されやすくなります。

パスワードリスト攻撃

パスワードリスト攻撃は、既知のパスワードリストを用いてアクセスを試みる攻撃手法です。パスワードリストには、過去の情報漏洩などで公になったパスワードなどが記載されています。別名「アカウントリスト攻撃」、「リスト型アカウントハッキング」と呼ばれることもあります。

システムの脆弱性を狙った不正アクセス

この手口は、ソフトウェアやハードウェアの欠陥を利用して情報システムにアクセスする方法です。以下、「SQLインジェクション」と「OSコマンドインジェクション」について解説します。

SQLインジェクション

SQLインジェクションは、データベース内のデータを不正に取得・改ざんする攻撃手法です。主に検索ボックスや入力フォームなどから悪意のあるSQLコードを注入し、攻撃を実行に移します。データベースの内容が漏洩したり、改ざんされたりします。

OSコマンドインジェクション

OSコマンドインジェクションは、アプリケーションの脆弱性を突いた攻撃手法です。アプリケーションの入力欄からOSのコマンドを注入・実行し、システムの制御や情報取得を行います。危険性が高く、被害範囲も大きいため、適切なセキュリティ対策が求められます。

フィッシングを使った不正アクセス

フィッシングを使った不正アクセスとは、偽のWebサイトやメールを使って情報を盗み取る手法のことです。銀行や公共サービスの公式サイトに似せたWebページを作成し、ユーザーを誘導し、IDやパスワードを入力させて情報を盗みます。

主にメールで「アカウント情報の確認」などの理由でリンクをクリックさせ、フィッシング詐欺による不正アクセスを実行します。これにより、金銭の不正引き出しや個人情報の漏洩など、さまざまなリスクが考えられます。

なりすましによる不正アクセス

他人のアカウントや身分を騙り、情報やサービスへのアクセスを試みる攻撃手法です。具体的には、企業サイトへのなりすまし、SNSアカウントのなりすましなど、複数の手法が存在します。

一度なりすましによる不正アクセスの被害に遭うと、企業や個人のアカウントが利用され、広範囲にわたって被害が発生します。攻撃者から金銭を要求されたり、パスワードを変更されたりなどのリスクも考えられます。

【関連記事】アカウントの乗っ取りが疑われる主なケース|原因や対処法、効果的な対策

不正アクセスの被害事例

不正アクセスによる被害はさまざまな企業で発生しています。その一例として、以下3つの企業の被害内容を紹介します。

  1. 株式会社JTB
  2. 株式会社ベイシア
  3. ソースネクスト株式会社

以下、不正アクセスの被害事例を詳しく見ていきましょう。

株式会社JTB

大手旅行会社である株式会社JTBは2016年6月14日、2007年9月28日〜2016年3月21日にかけての顧客情報が流出したと発表しました。流出の可能性がある情報は約793万人分です。

JTBによると、子会社「i・JTB」の社員が3月15日に、取引先の航空会社を装ったメールのファイルを開いたところ、パソコンとサーバが標的型ウイルスに感染したとのことです。同月に不審な通信が確認され、サーバ内に不正アクセスがあり、個人情報が盗まれたことが発覚しました。

2016年6月14日の記者会見では、「お客様の特定ができないままにご案内することで、不安感を与え混乱を招くと判断した」と、発表が6月になった経緯について説明しています。

株式会社ベイシア

株式会社ベイシアは2021年11月1日、不正アクセスによりクレジットカード情報3,101件および、個人情報254,207件が流出した可能性があると公表しました。

情報流出の原因は、ECサイト制作・運用委託先(東芝テック株式会社〈東京都品川区〉および株式会社ジーアール〈京都市中央区〉)のシステムへの第三者による不正アクセスであるとのことです。

この不正アクセスにより、氏名や住所、メールアドレス、電話番号などの個人情報に加え、クレジットカード情報なども流出した可能性があります。株式会社ベイシアは、不正アクセスが発覚した9月1日時点で「ベイシアネットショッピング」を停止するなど、迅速な対応を取っています。

ソースネクスト株式会社

2023年2月14日、ソースネクスト株式会社は顧客のクレジットカード情報112,132件、および個人情報120,982件が漏洩した可能性があると公表しました。

原因は、ソースネクスト株式会社が運営するサイトの脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためだとされています。2022年11月15日〜2023年1月17日の期間中にサイトで購入した顧客の氏名、住所、メールアドレスなどの個人情報に加え、クレジットカード情報が流出した可能性があります。

調査結果を受け、ソースネクスト株式会社はシステムのセキュリティ対策、および監視体制の強化を行いました。

不正アクセスの対策方法

不正アクセス防止の対策として、大きく以下4つの方法が考えられます。不正アクセスによる被害を出さないためにも、早めに対策を進めるようにしましょう。

ファイアウォールの設置

まずはファイアウォールの設置を検討すべきです。ファイアウォールとは、不正な通信を遮断するシステムのことです。

不正アクセスやウイルスからシステムを守る基本的な対策の一つであり、通信の判断を許可または拒否して不正アクセスを防ぎます。セキュリティレベルを維持するには、常に最新の状態に更新し、継続的な監視が必要になります。

【関連記事】ファイアウォールとは?仕組み・種類・機能をそれぞれ解説

認証システムの強化

二要素認証や多要素認証を導入し、認証システムを強化することも対策として有効です。多要素認証とは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証する仕組みのことです。

これにより、仮にパスワードが流出したとしても、もう一つの認証を突破されない限り、不正アクセスが起こることはありません。特に金融関連のアカウントや、個人情報を取り扱うシステムでの導入が求められます。

【関連記事】多要素認証(MFA)とは|二要素認証・二段階認証との違いやメリットを解説

OS・ソフトウェアの更新

OSやソフトウェアの更新により、セキュリティ上の脆弱性が改善されることがあります。常に最新の状態に保つことで、不正アクセスのリスクを軽減し、被害状況を最小限に抑えます。

▼OS・ソフトウェアを更新するメリット

  • 便利な新機能が追加される
  • デバイスの動作が改善する
  • セキュリティが向上する

OS・ソフトウェアの更新を忘れてしまう方は、自動アップデートの設定を行いましょう。

社内リテラシーの改善

社内リテラシーの改善も不正アクセスに効果的です。不正アクセスやセキュリティリスクについての知識を、社内全体で共有しておくことで、サイバー攻撃における対応力が向上します。

例えば、定期的に研修を開催する、リテラシーのセミナーを開く、資格取得を推奨するなどが効果的です。社員一人ひとりがリスクを理解し、正しい対応を取ることで社内全体のセキュリティが強化されます。

【関連記事】ネットリテラシーとは?重要視される理由と企業が取り組むべき対策

セキュリティサービスの導入

信頼性の高いセキュリティサービスを導入し、社内のセキュリティレベルを高める方法もおすすめです。専門企業が提供するサービスを活用することで、高度な不正アクセスにも対応できるようになります。

▼セキュリティサービスの主な機能

  • セキュリティの監視
  • 侵入検知システム
  • マルウェア対策
  • 脆弱性診断
  • デバイス制御

セキュリティサービスを導入する際は、サービス提供元の実績や信頼性を確認するなど、適切なサービスを選定するようにしましょう。

【関連記事】セキュリティ診断サービスの比較ポイント|おすすめのサービスを紹介

不正アクセスの被害に遭った場合の対処法

不正アクセスの被害に遭った場合は、速やかな対処が求められます。具体的な対処法として、以下の3つを紹介します。

  1. ログイン情報の変更
  2. ログイン履歴等の保存
  3. 警察への通報・相談

各項目を一つずつ解説していきます。

ログイン情報の変更

まずは、IDやパスワードなどのログインに必要な情報を変更しましょう。ログイン情報をすぐに変更することで、被害の拡大を抑えられる可能性があります。

他のサービスで同じパスワードを使用している場合、それらも変更することが推奨されます。強固なパスワードに変更し、定期的に変更をかけるようにしましょう。

ログイン履歴等の保存

証拠を保全するため、ログイン履歴やログイン画面を保存してください。警察に相談する際に、ログイン履歴等があれば的確に対処してもらえます。

パソコンやスマートフォンのスクリーンショット機能を活用すると、簡単に情報を保存できます。また、インターネットサービスを提供している会社に連絡・相談した際は、経緯が分かるようにメールやチャットのやりとりを保存・記録しておきましょう。

警察への通報・相談

保存したログイン履歴等を持って警察へ通報・相談しましょう。事前に電話をしておくと、対応がスムーズに進みやすくなります。

警察庁が公開している「都道府県警察本部のサイバー犯罪相談窓口一覧」を参考にし、最寄りの窓口へ相談しましょう。通報・相談時には、具体的な被害状況や証拠となる情報を詳細に伝えてください。

不正アクセスの予防ならGMOサイバーセキュリティ byイエラエにお任せ

画像引用元:GMOサイバーセキュリティ byイエラエ

不正アクセスやその他のサイバー攻撃を効果的に予防したいなら、「GMOサイバーセキュリティ byイエラエ」の利用をご検討ください。本サービスを導入すれば、セキュリティ向上や情報保護の強化に期待できます。

▼GMOサイバーセキュリティ byイエラエの強み

  1. 自社のセキュリティの弱点を特定し、対処法まで把握できる
  2. ホワイトハッカーの技術力で不正アクセスによるリスクを低減できる
  3. セキュリティコンサルティングサービスで高度化する脅威に常に対応できる

クラウド診断やWebアプリケーション診断はもちろんのこと、プラットフォーム診断、セキュリティコンサルティングなども提供しています。ホワイトハッカーの技術力で、お客様のセキュリティ課題解決を全面的にサポートいたします。

まとめ

本記事では、不正アクセスの具体的な手口、被害事例、対策・対処法を解説しました。

悪意のある第三者による不正アクセスの手口は多岐にわたります。その手口は年々巧妙化しているため、それに合わせてセキュリティ対策を強化していく必要があります。

具体的には、認証システムの強化、OS・ソフトウェアの更新、社内リテラシーの改善などが効果的です。セキュリティの強化を外部に任せたい場合は、セキュリティサービスの導入を検討しましょう。

不正アクセスやその他のサイバー攻撃を効果的に予防したいなら、「GMOサイバーセキュリティ byイエラエ」の導入をおすすめします。ホワイトハッカーの技術力で、お客様のセキュリティ課題解決を全面的にサポートいたします。

文責:GMOインターネットグループ株式会社