不正アクセスとは

不正アクセスとは、本来はそのシステムへのアクセスが許されていないにも関わらず、不正にアクセスすることだ。多くの場合、情報窃取や破壊といった悪意のある行動を伴う。インターネットの黎明期では、不正アクセスを禁止する法律はなかったが、高度情報通信社会の健全な発展を目的に、2000年2月に「不正アクセス行為の禁止等に関する法律（以下、不正アクセス禁止法）」が施行された。不正アクセスは、法律でも禁止された犯罪行為となる。不正アクセス禁止法で禁止している不正アクセスの例としては以下のようなものが挙げられる。

侵入行為

利用する権限を与えられていない情報機器に対して、不正に接続しようとすること。実際に情報機器に侵入していなくても、パスワードの解読を試みるといった行為を含め、侵入しようとする行為自体が不正アクセス行為に該当する。

不正アクセス行為を助長する行為

他人のIDとパスワードなどを第三者に提供し、第三者の不正アクセスを助長する行為のこと。組織内部からIDとパスワードが記載されたリストを持ち出し他者に提供するといった行為が該当する。

なりすまし行為

他人のIDとパスワードなどを使って第三者になりすまし、本人が許可されていないシステムにアクセスする行為のこと。不正に入手したIDとパスワードでECサイトやウェブメールをはじめとしたインターネット上のサービスにログインする行為などが該当する。

サイバー犯罪から身を守るためにも知っておきたい、不正アクセス禁止法の基礎知識

不正アクセスの動向

従来から不正アクセスの標的にされてきた一般企業で不正アクセスへの対策が進んだことで、不正アクセスによる被害は年を追うごとに減少しつつあった。しかし、2019年3月に総務省が公表した「不正アクセス行為の発生状況」では減少傾向にあった不正アクセスが一転、2018年に上昇している（図1参照）ことが明らかとなった。

図1 過去5年の不正アクセス行為の認知件数の推移（上記総務省資料より）

その要因のひとつとして挙げられるのは、大学、研究機関等への不正アクセスの増加である。2017年に5件に過ぎなかったが、下の図2の画像の通り、2018年には30倍を超える161件に急増している。大学や研究機関は重要データを持つ一方で、十分なセキュリティ対策が施されているとは言い難いのが実状だ。こうした点に目を付けた攻撃者が、攻撃がしやすく貴重な情報が豊富に蓄積されている組織を標的として攻撃を加えている可能性が高い。今後、大学や研究機関に加えて、大企業との取引がある中小企業など、攻撃者にとって情報資産の価値が高くセキュリティ対策の甘い企業や組織が狙われる可能性が見込まれる。

図2 過去5年の不正アクセスを受けた特定電子計算機のアクセス管理者別認知件数（上記総務省資料より）

当然ながら、個人も不正アクセスの標的の対象となるのは言うまでもない。最近はスマートフォン（以下、スマホ）によるキャッシュレス決済も浸透しつつあり、個人が保有する情報端末にアクセスできれば、簡単に金銭を窃取することが可能だ。SNSの普及でスマホに蓄積されている、他人には知られたくない個人情報を人質にされ、支払いを要求される可能性も否定できない。キャッシュレス決済の普及により、結果的に個人のスマホへ不正アクセスが増加する後押しの一因となってしまっている。

不正アクセスへの対策

それでは不正アクセスへの対策はどのように講じればよいのだろうか。ここでは、情報端末の種別ごとに解説する。

業務用パソコン

まずは、必要な対策としてOSやソフトウェアのアップデートは、従業員任せにせずに、確実に行われるように管理･実行することが挙げられる。セキュリティ対策ソフトも必ず導入し、こちらも定期的にアップデートされるように管理しておく。最近ではESET Endpoint Protectionシリーズのオプションサービスである、「ESETクライアント管理 クラウド対応オプション」のようなサービスが用いられるケースが増えている。クラウドベースのため追加設備等も不要で、セキュリティソフトを一括更新できるため、一台だけ更新し忘れてしまうといったミスも防ぐことができる。社内の限られた人員リソースを有効に活用するためにも、こういったサービスを活用するのも一案となる。

また、社内ネットワーク上にセキュリティ対策が施されていない業務用パソコンがあると検知される仕組みがあれば、安全性が一層高まる。不正アクセスを助長する行為を防ぐためにも、罰則規定を設けて従業員教育を行うことも重要になる。そのうえで、可能な限りパソコン上に機密情報が格納されない仕組みや、暗号化、認証強化を組み合わせて万全な対策を施したい。

パソコン上に一切のデータが残らないシンクライアントの導入は、不正アクセス対策として有効なひとつの選択肢となる。しかし、シンクライアント導入は予算的にも体制的にも現実的ではないという企業も少なくないはずだ。その場合、最低限でもハードディスクの暗号化だけはしておきたい。「ESET Endpoint Encryption」はHDDやSSDといった内蔵ディスクだけでなく、USBメモリーやメール本文なども暗号化できるため、外部とのやり取りにおける情報漏えいの可能性を軽減できる。他にも、最近の機種では標準で搭載されつつある指紋認証など生体認証を活用することも一考に値する。ただ単に不正アクセス行為を防止するだけではなく、不正アクセスされた場合に被害を最小化することも観点に入れておきたい。

業務用パソコンが、サーバーの役割を果たしている場合は、不正アクセス対策の重要度はさらに増す。Webサービスを提供したり、リモートアクセスを許可したりしているのであれば、当然ながら認証強度を強固にしなければならない。パスワード管理を徹底するだけではなく、PKIベースのクライアント認証や、二要素認証の導入も検討した方がよいだろう。管理者用のIDは、特に強固なセキュリティ対策が求められる。貸し出す場合は、有効期間を設けたうえにログを確実に取得するなど、特別な対応が必要だ。

個人用パソコン

個人用のパソコンは、自分の身は自分で守るという認識を持ち、まずは認証手段を強力に設定することを最優先に考えたい。パスワードを記号、数字等を含む15文字以上にするなど、より複雑なものにすること、顔認証や指紋認証を組み合わせた二要素認証の活用などの対策を講じることが求められる。

OSやソフトウェアのアップデートも逐一行うことが重要となる。これらの行為を面倒だという理由で怠っている人も少なくないものと思われる。しかし、認証強度を上げても、OSやソフトウェアに脆弱性があれば、攻撃者にとっては不正アクセスの入口があるのと同じだ。

また、セキュリティ対策ソフトの導入もしておきたいところだ。WindowsならばOSに付属するWindows Defenderが一定のセキュリティ対策として機能するが、セキュリティに詳しくない場合は、要件に応じた設定などは容易ではないだろう。あまりパソコンなどのデジタル機器に詳しくないユーザーには万一のための保険と捉え、「ESET Endpoint Protectionシリーズ」のような有償版導入の検討も大いに価値があるだろう。また、OSをはじめいずれのソフトウェアもアップデートすることで最大の恩恵を受けることになる。面倒がらずに対応することを習慣にしてほしい。

業務用スマホ

業務としてスマホを使う場合は、業務以外の用途に使わないなど、定められたルールを順守することが前提となる。罰則規定を設けるだけでなく、従業員への教育を通して意識を高められるように努めなければならない。スマホの場合は、持ち歩いて利用することになるため、紛失への対策も必要となる。会社側が端末を管理できるソフトウェアであるMDM（Mobile Device Management）を導入しておくと、紛失した際の不正利用を最小限に抑制できる。もちろん、導入するだけでなく、遠隔から端末をロック、ワイプできるような対策を事前に設定しておく必要がある。

個人用スマホ

SNSの普及により、個人用のスマホには個人情報が大量に格納されている。写真の中に重要な情報が紛れ込んでいる可能性も否定できない。個人用のパソコンと同様に、自分の身は自分で守るという意識を持たなくてはならない。紛失時などにおける不正アクセスからの防御壁としては、セキュリティレベルの高い認証方法を採用することがある。近年のスマホの多くには顔認証、指紋認証などの生体認証デバイスが標準装備されている。アプリの利用時にも、一手間かかるが、メールを使ったワンタイムパスワードなどを利用するように心がけたい。また、マルウェアなどの侵入に備え、OSの脆弱性を防ぐためのアップデートはこまめに行うこと。モバイル端末向けのセキュリティ対策ソフトも導入しておくと安全性は高まる。

業務用IoTデバイスなど

近年では、生産現場などでIoTが進展し、さまざまな情報をリアルタイムで確認できるようになっている。しかし、それらの情報機器が、結果的に不正アクセスの踏み台になる可能性がある。すでに、セキュリティ設定の甘い監視カメラや複合機の情報が、Webで晒されるようなことも実際に発生している。

IoTデバイスの購入時には、機能面だけではなく、ベンダーがセキュリティ対策をどの程度意識しているかにも注意したい。サポートやファームウェアのアップデートはベンダーにとってコスト増になるため、安価な製品の中には継続的なサポートやアップデートが提供されないものも少なくない。また、IoTデバイスを設置する際には、初期状態のまま利用することは避け、パスワードをより複雑なものに設定し、ファームウェアも定期的にアップデートしなくてはならない。

個人用IoTデバイスなど

スマートホームの実現に向け、個人でもIoTデバイスの利用が着実に増加してきている。しかし、高齢者やペットの見守り、防犯の目的で導入した監視カメラに不正アクセスされることで、自分自身が監視されるという皮肉な事態も発生している。IoTデバイスを踏み台にしてネットワーク上のパソコンに不正アクセスされ、クレジットカード情報をはじめとした重要なデータが盗まれることもあるだろう。IoTデバイスを利用して犯罪に活用することは、今後増加していくという前提で考えなければならない。

個人の場合は特に、監視カメラなどのIoTデバイスを初期状態のまま放置し、アップデートをしないことが多いとされる。不要な機能やポートを無効にすること、そして初期設定のパスワードは必ず変更し、複雑なパスワードにすること、そして定期的にファームウェアをアップデートするなど、万全の不正アクセス対策は個人の場合でも必要なことを頭に入れておきたい。

不正アクセスは防御側の負担が大きい

2019年に上昇に転じた不正アクセスは今後、IoTの進展や国際スポーツイベント開催が近づくにつれ、さらに増加する可能性も考えられる。攻撃の効率性を考慮しても、一般的にセキュリティレベルが高い大企業を直接的に狙うのではなく、不正アクセスしやすい中小企業や個人を経由するサプライチェーン攻撃はもはやスタンダードといえるような状況になりつつある。

攻撃者はたえず、防御が甘い侵入先を、ツールを使って自動的に探し続けている。攻撃者は不正アクセスのための侵入口をひとつ見つけるだけでいいものの、防御側はあらゆる侵入経路に配慮しておく必要があり、負担は防御側のほうが大きい。不正アクセスにおいて、攻撃者が常に優位に立っているという現実を踏まえ、身を守るためには当事者意識を持って講じてほしい。