不正アクセスへどう対策すべき?侵入となりすましへの対策とは?

この記事をシェア

昨今、不正アクセスの手口は巧妙化する傾向にあり、被害件数も増加している。その一方で、被害に遭遇した場合でも、その被害自体に気付いていないユーザーも少なくないとされ、実際の被害件数はより多い可能性もある。この記事では、不正アクセスの概要とその対策を被害事例と併せて解説していく。

不正アクセスへどう対策すべき?侵入となりすましへの対策とは?

不正アクセスとは

不正アクセスとは、アクセスする権限が与えられていないコンピューターに対して、不正な接続を試みる行為や、実際に侵入してそのコンピューターを操作する行為。2000年2月13日、不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為などの禁止を規定した不正アクセス禁止法が施行。以降はこうした行為は明確に違法となった。ここでいう、不正アクセスとは具体的に以下の行為を指す。

侵入行為

ハードウェアやソフトウェアに存在する脆弱性を利用して、コンピューター内に侵入する行為。攻撃に用いる脆弱性の情報は、ダークウェブなどを介して入手することが多いとされる。

なりすまし行為

他人のIDとパスワードを何かしら不正なプロセスで入手してアカウントにログインする行為。アカウント所有者に還元されるべきサービスを奪取する、あるいは所有者に代わってアカウントを悪用する行為。加えて、アカウント所有者の許可なしに、IDとパスワードを第三者に提供する行為も該当する。

IPAが公表している「コンピュータウイルス・不正アクセスの届出状況[2021 年(1 月~12 月)]」によると、2021年に寄せられた不正アクセスの届け出は、前年比で29.9%増の243件だった。このうち実被害に至った届け出の数は197件と、全体の81.1%を占めている。

不正アクセスの手口は非常に巧妙化しており、不正アクセスの被害を受けていることに気づかないケースも少なくない。また、先述の数字はあくまでIPAに被害届け出があったものに限定されている。そのため、実態は公表されている件数以上に多い可能性も考えられる。

デジタルテクノロジーが生活全般に浸透し、企業・組織が保有するデータの価値が総じて高まっていることを踏まえると、今後も不正アクセスの被害が減少に転じる展望は見えにくいというのが実情だろう。

不正アクセスによる被害分類と関連する事例

不正アクセスによる被害は、大きく「Web改ざん」、「データの破壊行為」、「情報漏えい」の3つに分類できる。それぞれ、実際の被害事例も紹介する。

1)Web改ざん

Web改ざんとはその名称のとおり、Webサイトが不正に改ざんされてしまうこと。サーバー自体や周辺のソフトウェア、ミドルウェアなどが抱える脆弱性を利用して侵入、あるいはサーバーにアクセス可能な端末を経由して侵入し、改ざんに及ぶことが多い。近年では、WordPressなどのCMSに潜む脆弱性が悪用されるケースが少なくない。Web改ざんの事例としては、以下のようなものが挙げられる。

・複数の官公庁のWebサイト改ざん
2000年、科学技術庁や総務庁などのWebサイトが、相次いで改ざんされた。OSやアプリケーションの更新を怠っていたことが原因とされる。この事件を1つのきっかけとして、不正アクセス禁止法などの法整備が急がれることとなった。

・大手自動車メーカーのWebサイト改ざん
2013年、大手自動車メーカーが不正アクセスによるWeb改ざんの被害に遭遇し、サイト内にマルウェアをダウンロードさせようとするプログラムが仕込まれた。発覚するまで1週間以上の間、放置されていたことが問題となり、被害が拡大する事態を招いた。

2)データの破壊行為

先述のとおり、データの重要性が高まっていることもあり、それらの破壊を試みる攻撃者も存在する。最近では、ランサムウェアと呼ばれるマルウェアによる被害がその代表例として挙げられる。ランサムウェアはデータを勝手に暗号化し、その復号に対して身代金を要求する。2017年に猛威を振るったランサムウェア「WannaCry」による被害の拡大は記憶にも新しい。

・国内大手総合電機メーカーへの攻撃
2017年、欧州の現地法人の検査機器を経由し、社内ネットワークへ不正に侵入。日本国内の業務用パソコンでもメール関連で支障が生じるなど、広範囲に感染が拡大し、復旧までに5日を要する結果となった。

・国内大手自動車メーカーの工場への攻撃
2020年、特定の組織の社内ネットワーク中枢を狙うために開発されたランサムウェア「EKANS」に国内大手自動車メーカーが感染。製造ラインが数日間にわたって停止するなど、工場での操業に大きく影響を与えた。

3)情報漏えい

不正アクセスで情報を盗み出し、その情報を悪用する犯行は今なお行われている。近年では、巧妙な標的型攻撃によって執拗に攻撃を繰り返し、貴重な情報資産が流出するケースも少なくない。情報漏えいは内部犯行を含めさまざまな手口で行われるが、ここでは不正アクセスが伴う事例を紹介する。

・某国立大学への攻撃
2015年、当該国立大学が管理する業務用のパソコンがマルウェアに感染。その結果、不正アクセスを受け、業務用のアカウント情報や約3.6万件の学生・教職員の個人情報が漏えいした可能性が指摘されている。

・国内大手ゲーム会社への攻撃
2020年、国内大手ゲーム会社へのランサムウェア攻撃が発生。攻撃グループ「RagnerLocker」は同社米国法人が保有していた、予備用のVPN装置の脆弱性を突き、社内ネットワークに不正侵入した。この攻撃により、約1.6万件の個人情報が漏えいしたとされる。

不正アクセスへの対策

先述のとおり、不正アクセス行為は大きく侵入行為となりすまし行為に分類できる。それぞれへの対策を以下、紹介していく。

1)侵入行為への対策

・アカウント情報の適切な保護
不正アクセスでは、窃取されたアカウント情報が用いられるケースも少なくない。そのため、それらの情報を厳重に管理することで不正アクセスのリスクは軽減する。アカウント情報を適切に保護するため、パスワード管理ツールの利用といった対策を講じるようにしたい。

・徹底したソフトウェアのアップデート
侵入行為は、ソフトウェアに潜む脆弱性を悪用するケースが多い。そのため、従業員の端末上のOSやソフトウェアを適切にアップデートしておくことが求められる。また、社内で利用しているコンピューター機器のファームウェア、ドライバーなども同様だ。Webサイトを運営している場合、データを格納しているサーバーなどのアップデートにも適宜対応しておく必要がある。

・セキュリティソフトのインストール
近年のセキュリティソフトはマルウェア感染を防御するだけでなく、総合的な対策で端末をセキュアに保護する。不正な情報取得を狙うWebサイトへのアクセスを遮断するなど、アカウント情報の流出リスクが軽減される。

・ファイアウォールの設置
外部からの不正なアクセスを遮断するために、ファイアウォールは有効な対策の1つだ。ファイアウォールやIDS(Intrusion Detection System:不正侵入検知システム)/ IPS(Intrusion Prevention System:不正侵入防止システム)などを統合したUTMを利用するという選択肢もある。状況に応じて、外部との接点となるゲートウェイに対して適切なソリューションを選択するようにしたい。

上記に挙げたもの以外でも、WebサイトであればWAFの設置、不正アクセス時の侵入後の迅速な対応を可能にするEDRの導入、コンピューターやシステム全般の脆弱性を診断する脆弱性診断といった対策も有効だ。自社の課題をもとに、侵入行為への対策を適切に選定するようにしたい。

2)なりすまし行為への対策

なりすまし行為への対策は基本的には「認証の強化」を徹底することだ。

・認証の強化
最近では、攻撃者は総当たり攻撃や辞書攻撃などを用いて、システムやサービスへの認証を繰り返し試行して突破する傾向にある。その対策として、推測されやすいパスワードを避けること、パスワードを複雑にすることが求められる。パスワードの桁数を増やすことで乗算的に試行回数が増えることになり、それだけ認証も破られづらくなる。

また、重要なアカウント情報では複数の要素を組み合わせることで、認証の強化に努めるようにしたい。近年では、パスワードによる認証に加え、ワンタイムパスワードや生体認証を組み合わせた二要素認証を導入しているサービスも広がっている。二要素認証を導入しておくことで、仮にパスワードが漏えいした場合でも、なりすましのリスクが低減することに寄与するはずだ。

この記事をシェア

Webサイトのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!