AppGuard Blog

不正アクセスを受けた場合の被害と対策

セキュリティ

不正アクセスを受けた場合の被害と対策

サイバーセキュリティ関連の記事などを読むと「不正アクセス」という言葉をたびたび目にします。しかし、不正アクセスの定義や被害について正しく認識している人は意外に少ないかもしれません。不正アクセスに対する防御はなぜ必要なのか、どのような対策が有効なのかといった点について解説します。

不正アクセスとは

不正アクセスとは、本来アクセス権を有していない者が、コンピューター、サーバー、情報システムなどに侵入する行為を指します。

日本には「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)という法律があります。この法律は2000年2月13日に施行され、その後、2013年5月31日に改正されて内容・罰則が強化されています。

不正アクセス禁止法では「不正アクセス行為」を禁止しています。この「不正アクセス行為」に該当する行為について、条文を分かりやすく説明すると、以下のようになります。

  1. インターネットやLANなどの電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、他人のIDやパスワードなどの識別符号を入力して認証させ、本来制限されている機能を利用可能な状態にする行為。
  2. 電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号を入力する以外の何らかの行為を用いて、本来制限されている機能を利用可能な状態にする行為。
  3. 電気通信回線を通じて、アクセス制御機能を持つほかの電子計算機によって制限されている電子計算機にアクセスし、制限を免れる情報や指令を入力して、本来制限されている機能を利用可能な状態にする行為。

不正アクセス禁止法では、他人の識別符号=IDやパスワード(生体認証なども含む)を不正に取得すること、不正に保管すること、入力を不正に要求すること、不正アクセス行為を助長する行為も禁じています。また、いわゆる侵入行為、なりすまし行為に加えて、IDやパスワードを所有者の許可を得ずに第三者に提供する行為も処罰の対象となります。

不正アクセスを受けた場合の被害

不正アクセスは個人や企業に多くの被害をもたらします。

ECサイトやネットバンキングのID・パスワードを入手されるなどして不正にアクセスされれば、正規ユーザーになりすまして商品を購入されたり金銭を引き出されたりといった被害を受ける可能性があります。また、GoogleやYahoo!などサービス範囲の広いアカウントが不正アクセスを受けると、その影響も大きく広がってしまいます。サービスを勝手に利用される、個人情報やクレジットカード情報を盗み見られ、流出させられる、といった被害事例はたびたび発生しています。

SNSのアカウントが乗っ取られ、意図しないメッセージが発せられることもあります。メールやLINEなどのコミュニケーションツールの乗っ取りでは、やりとりしていたメッセージや写真の覗き見をされたり、知人宛てになりすましメールやメッセージを送られ、いたずらや詐欺行為などに利用されたりすることも考えられます。

企業で使用しているPCやサーバーなどシステムの脆弱性を狙った不正アクセスではさらに深刻な被害が生じる危険性があります。Webページの改ざん、重要データの窃取・漏えいや流出、さらにはシステムが破壊され、サービスが停止に追い込まれることも想定すべきでしょう。バックドアを仕掛けられるといつでも外部から侵入できるようになり、すべての情報がモニターされることにもなりかねません。あるいは他者を攻撃する際の踏み台として利用される、サプライチェーンへの被害拡散に利用される事例も増えています。

不正アクセスを受けていないか確認する方法

会員制のWebサービス、ECサイト、ネットバンキング、SNSなどは定期的にログイン履歴を確認しましょう。覚えのないログイン履歴があれば不正アクセスを受けている可能性が高いということになります。

GoogleやLINE、Apple、楽天などのアカウントは、いつも使用している端末以外からの疑わしいアクセスやログインがあったときにメールなどで確認メッセージが届く機能が備わっています。それらの通知を見逃すことのないようにしてください。また、ネットバンキングなどではログインするたびに必ず通知が届くログインアラートと呼ばれる機能が用意されていることもあります。

クレジットカードの利用明細も定期的な確認が必要です。Web明細書などが一般的になっているので、月に一度は閲覧する習慣をつけましょう。スマホ決済アプリなども同様です。

不正アクセスの事実を確認したときはただちにそのサービスのログインパスワードを変更してください。被害があった場合はサービス提供会社やクレジットカード会社へ連絡し、状況を説明しましょう。警察にも都道府県警察本部にサイバー犯罪相談窓口が設けられています。

企業のコンピューターやシステムへの不正アクセスでは、アクセスログの監視と解析が重要になります。不正アクセスの検知用のツールなどを導入しましょう。万一、不正アクセスがあった場合は被害拡大防止のために関係するシステムをネットワークから隔離し、利用者への周知を徹底します。あわててシャットダウンなどをするとアクセスログが失われることがあるので対応には注意しましょう。

徹底したい不正アクセスへの対策

不正アクセス対策としては利用しているサービスのログインIDとパスワードの管理を徹底することが最も肝心です。複雑なパスワードを設定し、定期的に変更することが推奨されます。セキュリティソフトのパスワード管理機能を利用するのも良いでしょう。パスワードをメモに書いてPCに貼ったり、PCやスマホ内にテキストファイルとして保存したりするのはNGです。

OS、使用しているアプリケーションなどをアップデートし、常に最新の状態に保つことも忘れないようにしてください。新たな脆弱性が発見されると、それを解消するためのアップデートが行われます。またよく使用するWebサービスなどが二段階認証を採用している場合は、積極的に利用し安全の確保に努めましょう。

企業向けには、不正アクセス防御機能を持つセキュリティソフトやツールの導入も効果が期待できます。さらに入口対策だけでは防ぎきれない不正アクセスに対し、狙われやすいアプリケーションやデータを隔離して防御するセキュリティソフトも有用な対抗策となります。

不正アクセスは個人や企業に甚大な被害を与える可能性があります。IDとパスワードの管理、サイバー攻撃による不正アクセス対策を今一度見直し、しっかりとしたセキュリティ対策を行いましょう。



ページトップに戻る