意外な侵入経路も…知っておきたい不正アクセスの手口

意外な侵入経路も…知っておきたい不正アクセスの手口

不正アクセス行為によって企業が被害を受けると、企業のブランドイメージや信用が傷つき、大きなダメージを受けることにもなりかねません。現在、不正アクセスはどの程度増加していて、どのような手口が目立つようになっているのでしょうか。今後増えていくと予測される新しい経路の不正アクセスも含めて解説します。

不正アクセスで企業が受ける被害

不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)違反の検挙件数が増えています。
総務省が公開している「平成29年1月1日から12月31日までの不正アクセス行為の発生状況」によれば、平成29年の不正アクセス違反の検挙件数は648件、検挙人員は255人でした。

過去5年間のデータを見ると、検挙件数は平成25年の980件から翌年は364件と減少したものの、平成27年の373件、平成28年には502件と増加に転じています。また検挙人員は平成25年の147人から、平成29年には255人と大幅に増加しています。

不正アクセス禁止法違反行為の「区分」では、いわゆる「不正アクセス行為」が大半を占めています。他には検挙件数等は多くないものの「識別符号提供(助長)行為」、「識別符号取得行為」、「識別符号保管行為」、「フィッシング行為」なども挙げられています。識別符号というのは、不正アクセスを目的としてIDやパスワードを提供、取得、保管する行為を指します。

また同資料には、「不正アクセス後の行為別」の認知件数も載っています。それによると平成29年で最も多かったのは「インターネットバンキングでの不正送金等」(442件)です。そして「仮想通貨交換業者等での不正送信」(149件)、「メールの盗み見等の情報の不正入手」(146件)、「インターネットショッピングでの不正購入」(133件)、「知人になりすましての情報発信」(110件)、「オンラインゲーム、コミュニティサイトの不正操作」(83件)、「インターネット・オークションの不正操作」(28件)、「ウェブサイトの改ざん・消去」(14件)などが続いています。

さて、では企業はこうした行為を通じてどのような被害を受けると考えられるでしょうか。

まず挙げられるのは、提供しているサービスのユーザーに経済的・精神的被害が及ぶことです。それに対する賠償問題が発生することもあるでしょう。また個人情報などの機密情報が盗まれる、Webサイトやシステムの情報が改ざんされる、盗まれたアカウントが詐欺行為や犯罪行為に使用される、運営するサイトや社内のパソコンが他のサイバー攻撃の踏み台にされる、といった状況に陥る可能性もあります。そして最終的には、これらにより企業イメージの低下や、サービス利用者・顧客・取引先などからの信用・信頼を失うことが考えられます。

不正アクセスの主な手口

不正アクセスには具体的にどのような手口があるのかも見てみましょう。

ブラウザやWebサイト、メールソフトの脆弱性を狙った手口

ブラウザ、Webサイト、メールソフト、アプリケーション、OSなどのセキュリティ上の不備を意図的に利用することでデータベースなどを不正に操作したり、暗号化されているデータを含む情報を盗み見たり、サイト利用者に罠を仕掛けたりする手口です。よく知られている攻撃方法にはデータベースシステムを不正に操作するSQLインジェクション、本来想定されていない命令文を強制的に実行させるOSコマンドインジェクション、動的サイトの脆弱性を利用して不正なスクリプトを挿入するクロスサイトスクリプティング、許容量以上のデータを送りつけて誤作動を起こさせるバッファオーバーフローなどがあります。

ウイルス添付メールによる手口

メールに添付したファイルに不正プログラムなどを混入させ、添付ファイルを開くとシステムに侵入するなどして情報を抜き取るといった手口です。圧縮ファイル、WordやExcelファイル、PDFファイルなどがあります。こうした攻撃方法は標的型メール攻撃などと呼ばれます。インターネット上からダウンロードしたファイルにウイルスが仕込まれていることもあります。

フィッシングサイトを利用した手口

実在するWebサイトに偽装したサイトを使ってユーザーを騙し、IDやパスワードなどのアカウント情報、個人情報を盗みとる手口です。メールを送りつけてサイトに誘導する方法もあり、総称してフィッシング行為と呼ばれて不正アクセス禁止法によって規制対象とされています。

不正ログインによる手口

不正ログインの中でも多いのが、個人になりすましたログインです。管理や設定の甘いパスワードを盗み出したり、流出したアカウント情報を使用したりしてシステムやサービスにログインします。ユーザーがパスワードを使い回している場合には、一つのアカウント情報が漏えいするといくつもの不正ログインが繰り返されることもあります。また内部関係者によってアカウント情報が漏らされたり盗まれたりするケースも見られます。

不正アクセスの被害に遭わないための対策

まずアプリケーションやOSを常に最新版にアップデートし、脆弱性の修正をしていくことが重要です。またセキュリティソフト、ファイアウォールの導入も欠かせません。

社内のネットワーク、システム、管理しているWebサイトの定期的な安全診断と監視も必要です。より安全な運用をしていくには企業としての情報セキュリティを保つための指針、方針、ルールを定めたセキュリティポリシーを策定し、社内のアカウント情報管理やメールガバナンスの強化をめざす周知啓発活動も進めていくべきでしょう。

コンピューターだけじゃない! 不正アクセスの意外な侵入経路

家電、防犯機器、自動車などのモノがインターネットにつながるIoTが普及するにつれ、IoTを利用した不正アクセスも増加する傾向にあります。

IoT機器を使用する際、初期パスワードなど推測しやすい設定のままにしていると簡単に不正アクセスを許す危険性があります。IoT機器の乗っ取りが行われると、今後どのような被害が起こるか予測できない部分もあります。ユーザーによる対策に加えて、IoT機器とインターネットの境界上に「IoTセキュアゲートウェイ」を設置するなどのセキュリティ強化策やインフラ整備が進められています。

不正アクセスは年々増加しています。被害を防ぐための対策は万全か、最新の対策がなされているか、常にチェックを怠らないようにしてください。また今後、IoT機器を狙った不正アクセスと対策に関する動きにも注目していく必要があるでしょう。