不正アクセスとは

不正アクセスとは、情報システムへのアクセス権限がない第三者が、何かしらの方法で認証情報を得るなどしてシステムにログインすること。総務省、経済産業省、警視庁が2021年に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、不正アクセスの認知件数の推移は2017年の1,202件から増加傾向にあり、2020年には2,806件となっている。

増加の背景には、インターネットやスマートフォン（以下、スマホ）の普及や、サイバー犯罪の組織化・高度化などがある。現在ではスマホ1つあれば、ユーザーはネットバンキングやネットショッピングなどにおいて、金銭を交えた取引を容易に行えるようになった。逆に言えば、スマホをはじめとした情報機器に不正アクセスできれば、クレジットカード情報の窃取やその悪用による詐欺なども容易に行えることと等しい。デジタル機器の利用が日常生活により一層浸透していくのに伴い、この傾向は今後も加速していくことが予想される。

不正アクセス禁止法

インターネットの普及に伴う不正アクセス被害の増加を受け、2000年2月に「不正アクセス行為の禁止等に関する法律（通称、不正アクセス禁止法）」が施行された。不正アクセス禁止法では下記のような行為が禁止されている。

侵入行為

他者が所有・管理し、自らがアクセス権限を持たない機器やシステムに侵入しようとする行為。外部、内部を問わず不正なログインがこれに該当する。

不正アクセス行為を助長する行為

他者のアカウント情報を第三者に提供し、不正アクセスを助長する行為。アカウント情報の持ち出しなどもこれに該当する。

なりすまし行為

他者のパスワードなどを用いて、本人になりすましてログインする行為。不正に入手したアカウント情報をもとにした、SNSやネットショップ、ネットバンキングへの不正なログインなどが該当する。

不正アクセスの被害

不正アクセスを許してしまうと、さまざまな被害を受ける可能性がある。代表的なものとして以下6点を取り上げる。

個人情報や機密情報の漏えい

侵入された情報機器やシステムにクレジットカード情報やID/パスワードといった認証に必要なアカウント情報が保管されていれば、それらの情報が外部に流出する可能性がある。また、未発表の製品仕様書や技術資料、顧客情報など、事業継続に関連する重要な機密情報が漏えいすれば、事業存続に対する影響は甚大である。

Webサイトの改ざん

漏えいした情報にWebサイトの管理画面へのアクセス情報などが含まれていたり、Webサイトの管理システムに脆弱性があると、第三者にWebサイトの情報を不正に改ざんされてしまう危険性がある。書き換えられた結果、Webサイトの訪問者をフィッシングサイトなどの悪意あるサイトに誘導してしまうなどの二次被害も起こり得る。

ランサムウェアへの感染

ランサムウェアは勝手にデータを暗号化し、その復号と引き換えに身代金を要求する悪質なマルウェアだ。世界的に猛威を振るった「WannaCry」や国内企業を狙った「Ragnar Locker」をはじめ、日夜新たなランサムウェアが開発され、脅威を及ぼしている。不正に暗号化された情報の内容によっては、その損失も甚大となる。不正アクセスを許すことで、ランサムウェアへの感染が懸念される。

他社への攻撃の踏み台にされる

不正アクセスによってシステムの制御権限を奪われてしまうと、犯罪行為を行うネットワークに強制的に加担させられる可能性がある。その結果、マルウェア感染やDDoS攻撃などへの加担・ほう助につながる恐れがある。

ネットバンキングなどを利用した不正送金

金銭取引が可能なネットバンキングなどのサービスのID・パスワードが漏えいしてしまうと、なりすましによって不正送金や不正購入などの被害を受ける可能性がある。

SNSのなりすまし

SNSアカウントが乗っ取られると、自らの意図とは異なる投稿が勝手に行われたり、マルウェアを拡散させられたりといった可能性がある。また、それだけでなく、乗っ取られたSNSアカウントに登録されているユーザーに対して、詐欺行為が仕掛けられるといった事例も過去に多く確認されている。

不正アクセスの対策

不正アクセスを防ぐためには、常に不正アクセスが起こり得るということを認識し、警戒を怠らないことが重要だ。下記のような対策は一例だが、未対策の場合は速やかな対応を検討してほしい。

パスワードなど認証情報の管理

単純で推測されやすいパスワードや、パスワードの使い回しは不正アクセスのリスクを高める。パスワード管理ツールを導入するなどして、認証情報の管理を行うことも1つの方法だ。認証情報をメモ書きし、業務用パソコンのディスプレイに貼っているケースも見受けられるが、内部不正のリスクを高める要因にもなり得る。

多要素認証の導入

IDやパスワード以外に、電話番号やメールアドレス、あるいは指紋認証や顔認証といった多要素認証を導入することで、万一パスワードが漏えいした場合のリスクを抑制できる。BtoC向けのサービスで始まり、最近では業務用システムなどへの機能追加も増えている。

OSやソフトウェアのアップデート

OSやソフトウェアに脆弱性が放置されていると、不正アクセスのリスクは飛躍的に高まる。常にアップデートを行って、最新の状態を維持すること。また、WordPressなどWebサイトのCMSやプラグインのアップデートを放置しているケースも散見される。その結果、脆弱性が放置され、不正アクセスに至ることもある。ソフトウェアには脆弱性が生じる可能性があるという前提に立ち、適宜アップデートすることを徹底しておきたい。

セキュリティソフトの導入

かつてウイルス対策ソフトと呼ばれたソフトウェアはセキュリティソフトと呼ばれるように、総合的なセキュリティ対策を行うソフトウェアへと進化している。最近のセキュリティソフトは、マルウェア感染の抑止、迷惑メールの排除、危険性が疑われる通信の遮断といったセキュリティを堅持するための包括的な機能を提供する。

盗難、紛失対策

パソコンやスマホの置き忘れ、盗難などから不正アクセスに至るケースも少なくない。セキュリティソフトの中には、紛失時に遠隔で端末の操作をロックできる機能が搭載されているものもあるため、積極的な活用を検討したい。

上記のような対策に加え、不審なメールは開封しない・クリックしない、機密情報や個人情報は外部に持ち出さないといった基本的な対策も徹底するようにしてほしい。