企業の不正アクセス防止対策とは?被害事例とセキュリティ対策例

企業の不正アクセス防止対策とは?被害事例とセキュリティ対策例
2022.03.18(2024.02.28更新)

パソコンやスマートフォンなどの情報端末は、個人の暮らしのみならず企業活動においても欠かせないツールとなりました。しかし情報端末の普及を背景に、不正アクセスによる手口は巧妙化しており、適切なセキュリティ対策が必須となっています。
この記事では、不正アクセスの概要や昨今の被害事例をご説明し、企業として不正アクセス被害を防止するためにとるべき対策についてもご紹介します。

セキュリティ無料相談

目次

不正アクセスとは?何故企業や組織が狙われるのか

企業や組織は多くの機密情報を保有しており、これらは適切に管理されています。しかしそれらの情報に対し、悪意ある第三者が金銭の要求や個人情報の不正取得、機密情報の売り渡しなどを目的として、不正な方法で接近・接触を図ろうとするケースがあります。

不正アクセスとは

不正アクセスとは、本来その情報へアクセスする権限を持っていない第三者が、不正な方法でサーバや情報システムの内部へ侵入する行為のことです。悪意をもって特定のサーバやコンピュータを攻撃する「サイバー攻撃」に含まれます。
不正アクセスを実行することは、「不正アクセス禁止法」という法律によって禁じられており、他人の識別符号(ID・パスワード)を不正に取得・保管・要求する行為や、無断で第三者に提供する行為についても禁止されています。しかし、現在も数多くの企業・団体が不正アクセスによる被害を受けています。

不正アクセスによる代表的な被害としては、Webサイトの改ざんや情報漏洩、システムの破壊行為、サーバやサービスの停止などがあり、迷惑メールの不正中継や他のサイバー攻撃の踏み台として利用される場合もあります。

総務省:不正アクセス行為の禁止等に関する法律はこちら

不正アクセスの被害状況

以下の図は、経済産業省による不正アクセスの認知件数について内訳をまとめたものです。

・不正アクセスを受けた特定電子計算機のアクセス管理者別認知件数

一般企業 行政機関など 大学や研究機関 インターネット
プロバイダ
合計
2016年 1,823 5 2 6 4 1,840
2017年 1,177 9 5 6 5 1,202
2018年 1,314 6 161 4 1 1,486
2019年 2,855 90 3 6 6 2,960
2020年 2,703 84 11 5 3 2,806
2021年 1,492 15 4 5 0 1,516

出典:経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

2021年(令和3年)の不正アクセス行為の認知件数は計1,516件ですが、もっとも被害を受けたのは一般企業で1,492件にのぼります。
2020年に比べると不正アクセス行為の認知件数は減少しているものの、不正アクセスがあったことを確認できたものだけでこの数字ですから、認知されていない不正アクセス行為も含むと、実際に試みられている不正アクセス件数はさらに多いと予測されます。

不正アクセスの手口は、「識別符号窃用型(他人のIDを不正に利用する)」が大半を占めています。令和4年における不正アクセス行為の検挙件数は491件で、「識別符号窃用型」が482件と全体の90%以上です。また、ソフトウェアの脆弱性を狙った「セキュリティ・ホール攻撃型」についても9件と数は少ないものの発生しています。

手口別検挙件数については、「利用権者のパスワードの設定・管理の甘さにつけ込んで入手」が47.4%と半数近くを占め、パスワードの設定や管理の甘さによって被害を受けてしまうケースが多いことがわかります。

令和4年における不正アクセス行為(識別符号窃用形)の手口別検挙件数
参照:経済産業省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」

不正アクセスは法律で禁じられているものの被害が後を絶たず、手口も巧妙になっていますが、パスワードの設定や管理など企業側が対策を行うことで防げるケースも多くあります。常に対策を行いながら、攻撃の有無を監視していくことが大切です。

不正アクセスを防止するための4つの対策

不正アクセスへの対応方法

どのような企業であっても、業務に情報端末を使用していれば不正アクセスの被害に遭う可能性があります。ここでは、企業が取り組むべきセキュリティ対策についてくわしくご紹介します。

IDやパスワードの管理

社内で管理しているアカウント数が多ければ、不正アクセスの標的がそれだけ増えることになります。不正アクセスの手口のうち、大半が識別符号窃盗型であるため、特に注意が必要です。社内のシステムに登録されているアカウント情報はこまめに棚卸しを行い、不要になったアカウントは速やかに削除しましょう。

また、アカウント情報の管理も徹底しなければなりません。
パスワードを設定する際は「1111」「ABCD」など簡単に推測できるものや、管理者本人の属性に基づくもの(名前や誕生日など)で推測される可能性があるパスワードは設定しないようにしましょう。
また、パスワードの管理も適正に行いましょう。特に、パスワードを他人から見えやすいところ(パソコン本体やデスクなど)に置いたり貼ったりしないよう留意する必要があります。安全な方法での管理が難しい場合は、パスワード管理ツールやサービスを利用する方法も検討すると良いでしょう。

定期的なソフトウェア更新

OSや各種ソフトウェアはこまめに新たなバージョンへ更新し、脆弱性対策を行いましょう。セキュリティパッチがリリースされたら速やかに適用するなど、常にソフトウェアを最新の状態に保つことが重要です。更新作業のタイミングは各従業員の判断に任せるのではなく、担当者が責任をもって管理するようにしましょう。

従業員のセキュリティ教育

従業員も、教育・研修活動などによりセキュリティに対する意識やリテラシーを高めることが重要です。また不審なメールや添付ファイルへの誘導も、不正アクセスの一般的な手口です。添付ファイルやリンクは不用意に開くことのないよう訓練することも有用です。

セキュリティ対策サービスの導入

何らかの異常が発生した際、すぐに発見・対応できる体制や仕組みを整備することが必要です。現在行っているセキュリティ対策に不安を感じた場合は、セキュリティ会社に相談することや、新たなセキュリティ対策サービスを導入することも有効な手段のひとつです。

もし不正アクセスを受けてしまったら

近年は不正アクセスの手口が巧妙化しているため、適切な管理・対策を行っていても不正アクセスの被害に遭ってしまう可能性があります。その場合は、早急且つ適切な対処が必要です。

ネットワークから端末を切り離す

ウイルスに感染し、攻撃者のサーバ(C2サーバ)へ情報が流出するのを防ぐために、パソコン等の情報端末をネットワークから切り離すことが大切です。

パスワードの変更

不正ログインを確認した場合、すぐにパスワードの変更を行います。パスワードを変更することで、再度ログインされ悪用される被害を防ぐ効果があります。他のサービスやツールで同じパスワードを使用している場合も、早急に変更しましょう。

ウイルススキャンを行う

ウイルススキャンを行い、ウイルスに感染しているかどうかを確認すると同時に、実害が出ていないかの確認も行います。二次被害の防止と今後の対策を講じることができます。

警察へ相談する

情報漏洩などの被害が判明した場合は、関係各所への通知・報告が必要です。
その上で警察にも早期に相談を行い、被害の拡大防止に努めましょう。

不正アクセスによる企業の被害事例

企業や組織が受ける不正アクセスの被害や影響には、どのようなものがあるのでしょうか。ここでは、実際に発生した不正アクセス被害の事例をもとに、不正アクセスが及ぼす影響についてご紹介します。

事例1:企業の機密情報の漏洩

企業関係者による内部犯行によって、大規模な顧客の個人情報漏洩が発生したケースです。犯人はシステムの運用保守業務従事者(元派遣社員)で、システム管理者アカウントを悪用して顧客の個人情報が管理されているサーバへアクセスし、900万件の顧客情報を不正に持ち出していました。

上記事例は内部からの不正アクセスにより起きたものですが、外部からの不正アクセスにより情報が漏洩した事例も存在します。また、企業が保持する機密情報は顧客情報だけではありません。未公開の研究開発結果や取引先との契約書など、企業にとって重要な機密情報がサーバやコンピュータ、各社員に割り当てられているパソコンに保管されている場合も少なくないため、情報の取り扱いには十分に注意する必要があります。

事例2:Webサイトの改ざん

ある大学では、サーバのファイルが書き換えられ、サイト上で不適切なWebサイトに自動的にリダイレクトされる被害が発生しました。
原因を調査したところ、CMS(Webサイト上のコンテンツを管理するシステム)の脆弱性が狙われ外部から不正アクセスを受けたと報告されています。

この他にも2023年前半はWebサイト改ざんの被害が相次いで発生しました。Webサイトの閲覧者を詐欺サイトに誘導して個人情報を搾取したり、ブラウザーの通知機能を悪用してマルウェアに感染させたりする目的で、Webサイトを改ざんする事例が多数報告されています。

事例3:標的型攻撃

国内大手旅行会社が標的型攻撃による不正アクセスで678万件の個人情報が漏洩した事件がありました。

流出の原因になったのは、従業員が取引先を装ったメール(標的型攻撃)を開封したことでした。
同社では「送り主不明のメールは開封しない」といった社員教育が行われていましたが、事件の発端となったメールの件名は「航空券控え 添付のご連絡」とあり、実在する取引先の航空会社のドメインを偽装していました。お問い合わせ内容も通常の業務メールとの判別が難しく、従業員は添付された圧縮ファイルを開封してしまいました。このファイルの中身は偽の航空券のeチケットであり、開封した従業員がチケットに表示された人物の申し込み状況を確認し、「該当なし」と返信しましたが、メールは相手先には届きませんでした。
その後、外部への不審な通信が発生、同社内のサーバデータファイルから個人情報が漏洩していたことが確認されました。
このように、巧妙な手口だったことから事件につながったとされています。

不正アクセスを受けた企業の被害は、事業が一時的な停止に追い込まれることだけではありません。もし被害によって情報漏洩があった場合、訴訟へ発展するなどで巨額の賠償が発生することもあり得ます。
また被害内容によってはその事実が明るみに出ることで、企業としての信用失墜につながってしまう可能性もあるでしょう。

まとめ:企業のデータを守るために事前の対策を

不正アクセスなどのサイバー攻撃は年々手口が巧妙化しています。サイバー攻撃の被害によって情報漏洩などが起こった場合、企業は業務停止による損害発生や信頼の失墜に繋がる可能性が大いにあります。
多くの企業がパソコンやモバイル端末などの情報端末を使用している現在、不正アクセス防止のためのセキュリティ対策は必須といえるでしょう。
ALSOKでは、情報セキュリティに関するサービスを多数ご提供しています。

ALSOK UTM運用サービス

ネットワークの監視から緊急時の対応、定期的な通信状況のレポート送信まで、情報セキュリティ関連業務の一貫したアウトソーシングが可能です。より強固なセキュリティ対策の実現と同時に、管理の手間とコストも削減できます。

ALSOK IT資産管理

社内のパソコンやモバイル端末、またそれらにインストールされているソフトウェアのバージョンやライセンスを一元管理できます。毎月の利用状況を定期報告するとともに、設定変更などのお手伝いも行います。各端末のセキュリティを常に最新にしておき、セキュリティ対策を強化しながら社内パソコンの管理負担を軽減することも可能です。

その他関連商品はこちら

セキュリティ無料相談