ホームページや業務PCへの不正アクセス対策

不正アクセスとは、アクセス権限を持たない第三者がサーバーやPC、社内ネットワーク等に侵入したり、攻撃したりする行為です。権限のある人しか閲覧できない機密情報などにアクセスして情報を盗むことや、ホームページ等の情報・システムの改ざんや破壊をして業務を妨害すること、迷惑メール配布をはじめとするサイバー攻撃の踏み台にするなどの目的で行われます。

不正アクセスは「不正アクセス行為の禁止などに関する法律（不正アクセス禁止法）」において禁止されており、処罰の対象になります。しかし、インターネットは全世界とつながっているため、世界中どこからでも不正アクセスされる可能性あり、犯人の特定が困難である場合もしばしば。一方で、外部による犯行だけでなく、内部の人間による犯行のケースも少なくありません。

2023年中の不正アクセス行為の認知件数は6,312件と、2022年中の不正アクセス行為の認知件数2,200件から約2.9倍に増加しました。アクセス後の行為としては、「インターネットバンキングでの不正送金等」が88.7％で最多。次いで「メールの盗み見等の情報の不正入手」となっており、企業活動の身近なところで不正アクセスによる被害が生まれる可能性が窺えるでしょう。特に「インターネットバンキングでの不正送金等」は昨年から認知件数が５倍以上増加していることから、注意が必要な行為と言えるでしょう。(*1)

サイバー犯罪全体では、2023年中の検挙件数が12,479件と増加傾向にあります。また、警察庁によるインターネットの接続点に設置したセンサー（攻撃を試みるための探索行為など、通常のインターネット利用では想定されない接続情報を検知するもの。サービスは提供していないので、通常のアクセスは発生しない）へのアクセス件数は1日・1つのIPアドレスあたり9,144件となっており、前年比で18.6%増加しています。いつどこで不正アクセスが行われてもおかしくないことを認識しなければなりません。(*2)

ニュース等で取り上げられる不正アクセスの被害には「個人情報の流出」などが多くなっていますが、被害は決してそれだけに収まりません。2023年の警察庁の調査によると、企業等が過去に受けたことのある被害は「ランサムウェアによる業務影響」が17.8％で最多。次いで「フィッシングサイトの開設」が14.4％、「電子メールの不正中継」が14.4％となっています（過去に不正アクセス等の被害にあった企業等のうち無回答を除く割合）。昨年の結果と比較すると「ホームページの改ざん」被害が11.9%減少しましたが、「ランサムウェアによる業務影響」は9.9%増加しました。(*3)

ホームページの改ざん

ホームページが改ざんされると、ランサムウェアの感染や個人情報の搾取を目的とした偽サイトに誘導され、企業の信頼失墜や利用者・顧客に被害が及ぶ可能性があります。

ランサムウェア

ランサムウェアは、近年問題視されているウイルスの一種。「身代金要求ウイルス」とも呼ばれ、PCをロックしたり、ファイルを暗号化したりして使用不能にし、制限を解除することと引き換えに身代金を要求する不正プログラムです。スパムメール等に添付されたファイルやURLなどを開く、改ざんされた正規のサイトから脆弱性を攻撃する不正サイトに誘導される、といった行為によって感染します。なお、昨年はファイルやPCをロックするといった制限をかける代わりに、ファイルを窃取したうえでそれを通知しインターネットへの公開停止と引き換えに身代金を要求する、「ノーウェアランサム」と呼ばれるウイルスも問題となりました。

ウイルス感染

PCやサーバー等をウイルスに感染させて情報を盗むほか、別のサーバーへ攻撃する際のデータ送信元を偽装する踏み台として利用され、電子メールの不正中継をさせられることや、大量のデータ通信をさせて、サーバーやビルのネットワークをダウンさせてしまうケースもあります。

インターネットバンキング不正送金

ウイルスやフィッシングサイトで暗証番号等の盗み出し、企業の口座から現金を盗み取るもの。企業の口座を狙う専用のウイルスなども発見されています。金融機関を装ったフィッシングサイトも多数確認されており、電子メールやSMSに記載されたリンクからアクセスしたフィッシングサイトにID及びワンタイムパスワード・乱数表等のパスワードを入力しないよう、注意が必要です。(*4)

そのほか、最近ではIoTの浸透によって複合機やネットワークカメラ（監視カメラ）等あらゆるものがインターネットに接続しているため、そういった機器への不正アクセスなども発生しています。例えば、ファックスや複合機のスキャナーで読み取った情報がネット上で閲覧できるようになったり、ネットワークカメラの映像がインターネット上に公開されたりといった可能性があるのです。また、ネットワーク機器にも注意が必要です。2023年4月に警視庁から家庭用ルーターの不正利用に関する注意喚起が出されました。サイバー攻撃事案の捜査の過程で、家庭用ルーターがサイバー攻撃に悪用されていたことが判明したということです。(*5)

不正アクセスによるさまざまな被害を防止するためには、インターネットを使用している限りターゲットとなりうることをきちんと認識し、事前に対策を講じる必要があると言えるでしょう。

インターネットの特性である匿名性や痕跡が残りにくいこと、地理的・時間的制約がない、不特定多数に接触できることなどは、そのままサイバー攻撃の脅威につながるもの。不正アクセスと聞くと、ハッカーが不正なツールを使ってIDやパスワードの解析を行う、といったイメージがあるかもしれません。しかし、最近の手口は巧妙化するとともに、高度な知識がなくても被害を与えられるケースが多くなっています。

不正アクセスの手口としては、不正ログインや脆弱性を突いた不正アクセスなどがあります。不正ログインは、不正なツールでIDやパスワードが特定できるまでログインを試す「ブルートフォースアタック（総当たり攻撃）」や、過去の不正ログイン等で流出したID・パスワードのリストを利用してログインを試みる「パスワードリスト攻撃」などがあります。これが、簡単なパスワードやパスワードの使い回しが危険と言われる理由のひとつです。

脆弱性を突いた不正アクセスは、OSやソフトウェアのプログラム不具合等による情報セキュリティ上の欠陥を狙って、ウイルスに感染させたり、データベースやシステムを操作・ファイルを改ざんしたりします。ソフトウェア等の開発メーカーは、修正プログラムを更新することで脆弱性対策を取っていますが、それよりも先にハッカーが脆弱性を発見して攻撃を仕掛けてくる場合もあります。また、修正プログラムを更新しても新たな脆弱性が見つかる可能性もあり、脆弱性が解決されない以上、不正アクセスを完全に防ぐことは至難です。

不正アクセスの有無を確認するためには、サイト等のログイン履歴を確認することが有効です。ログイン場所・IPアドレス・ネット回線事業者などが表示されますので、疑われるログイン履歴がないかチェックしましょう。サイトによってはログインがあったことを知らせるログインアラートが設定できる場合があります。操作をしていないのに通知が来たり、ID・パスワードが変更されたりした場合、不正アクセスを受けている可能性があります。

不正アクセスの疑いがある場合、まずは被害の拡大を防止しなければなりません。不正アクセスを受けたPCやサーバー等をネットワークから切り離すことで、ほかの場所への被害を遮断できます。電源を切ったり初期化したりするとログが残らない場合は、必要な措置をとってから対処しましょう。そして、サイトやネットワークのパスワードを早急に変更し、クレジットカード情報を登録しているサイトなどはカードの利用停止なども考える必要があります。

企業が不正アクセスを受けた場合は、セキュリティ対策委員会を組織して被害状況や原因を調査することが求められます。そこで対策やシステムの復旧方法を決めますが、自社での対応が難しい場合、セキュリティ企業などに協力を依頼するとよいでしょう。利用者や顧客に影響がある場合は連絡も確実に行わなければなりません。

ちょっとした油断によって、膨大な被害を及ぼしかねない不正アクセス。事前にできる限りの対策をとっておくことで、不正アクセスを受ける可能性を下げ、万が一の場合も被害の拡大を抑えることができます。

社内環境の徹底した見直し

まず社内の情報漏洩対策を怠らないことが重要。情報漏洩の原因は、決してウイルスだけではありません。上司や管理者パスワードを不正に入手して、勝手にログインすることも不正アクセスです。社内だからといって油断せず、社員一人ひとりが危機意識をしっかり持って行動することが求められます。また、不正アクセスを受けた際の対策手順やセキュリティポリシーを策定しておくことも大切です。

OSやソフトウェアのアップデート

使用しているOSやソフトウェアがきちんと最新の状態にアップデートされているか確認しましょう。脆弱性を塞ぐための新しいプログラムがメーカーなどから提供されていたとしても、きちんとアップデートされていなければ意味がありません。一度インストールしただけで満足せず、逐次アップデートして少しでも脆弱性を残さないようにしましょう。また、個人所有のものも含め、業務で使用するPCについてセキュリティソフトが導入されていないものがある場合は、一括導入なども検討するべきです。

不正アクセスによる被害を防ぐために大切なのは、第一に“不正アクセスをさせない”こと。パスワードを複雑にする、脆弱性の確認を定期的に行うなど、できる限りの対策を行い、不正アクセスを受ける可能性を少なくしていきましょう。同時に、“不正アクセスされても被害を広げない”ことが重要ですので、日頃からセキュリティを高めていかなければなりません。

とはいえ、常にネットワークの安全性をチェックするのは、決して簡単なことではないでしょう。専門知識や時間が必要となると、自社の力だけでは限界があるはず。そんなときに活用したいのが、ALSOKの情報警備サービスです。例えば24時間体制で外部との通信を監視・分析してくれる「ALSOK UTM運用サービス」なら、効率の良い不正アクセス対策が可能。そのほかにも「ALSOK ホームページ改ざん対策」やコンピューターの脆弱性確認等を行う「ALSOK IT資産管理」など、さまざまな対策を行うことができます。

「自分だけは大丈夫」と油断していると、甚大な被害へとつながりかねない不正アクセス。その脅威は、いつあなたに降りかかるかわかりません。取り返しのつかない事態になる前に、きちんと対策を取っておきましょう。

(*1)出典：総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」（2024年3月14日）
(*2)出典：警察庁「令和5年におけるサイバー空間をめぐる脅威の情勢等について」（2024年3月14日）
(*3)出典：警察庁「不正アクセス行為対策等の実態調査」（2023年12月）
(*4)出典：警察庁、金融庁「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）」（2023年12月）
(*5)出典：警察庁「不正アクセス行為対策等の実態調査」（2023年4月5日）