近年、企業への悪意ある第三者からの不正アクセスは増加傾向にあります。WEBサイトへの管理画面やメールサービス、サーバやシステムなどへ発生する不正アクセスがどの様な手口で行われ、どの様な被害を発生させているのでしょうか?
本記事では昨今の不正アクセスの最新事例を用いてご紹介致します。
目次
不正アクセスとは?どこよりも簡単に紹介
不正アクセスという言葉は知っている方は多いと思いますが、本当にその言葉の意味を理解している方はどれくらいいるでしょうか。ここで言う「理解」とは「どの様な状態であれば不正アクセスが発生する」のかという意味を指します。
まずは不正アクセスとは?どの様な企業に発生するのかについて記載していきます。
不正アクセスとは?
不正アクセスとはシステムやサーバ、端末に外部より意図しないアクセスをされることです。例をあげると、WEBサイトの管理画面やメールアカウント、PCなどのID・PASSを入手して不正にログインされてしまうことを指します。
警察庁からも不正アクセスについて書いた資料がありますのでそちらを参考にしてみてください。
警察庁より引用:不正アクセス対策
どんな企業に不正アクセスが起こるのか?
正直、「不正アクセスなんてうちは関係ない」と思っている社長はIT担当者が現代にもいらっしゃいます。そんな訳はありません。以下の状態にあてはまる企業は不正アクセスの被害にあう可能性を持っている企業になります。何個当てはまっているかご確認下さい。
1.WEBサイトを持っている企業
2.メールサービスを利用している企業
3.PCをインターネットに接続している企業
4.社内サーバを設置している企業
5.外部のシステムやサービスを利用している企業
令和の時代に上記に当てはまらない企業は恐らくいないでしょう。そうなんです。全ての企業が不正アクセスの被害にあう可能性があるんです。
不正アクセスをされる5つの原因
不正アクセスをされる原因となる社内の事象として最も有名なものをご紹介します。貴社は何件当てはまってるか確認してみてください。
1.会社でID・PASSの管理をしていない若しくは個人に任せている
2.PCにウイルスチェックをインストールしていない
3.UTMやネットワーク監視サービスを導入していない
4.社内でセキュリティ研修を実施していない
5.WEBサイトの脆弱性診断をしていない
もちろん、これ以外にも不正アクセスの原因はありますが、大きく分けるとこの5つになります。正直一つでも当てはまっているとよくない状態です。もし、「5.WEBサイトの脆弱性診断をしていない」に当てはまっている企業があれば下記より1分で無料診断の申込が出来るのでお試しください。
2023年更新、最新の不正アクセス6つの手口
不正アクセスの手口は時代と共に変化しています。現代の不正アクセスの手口として最も有名なものをご紹介します。
1.他人のID、PASSを不正入手する
2.マルウェアやウイルス感染させる
3.ログイン画面に総当たり攻撃や辞書攻撃をする
4.フィッシングサイトを使いID、PASSを盗む
5.社内ネットワークや端末の脆弱性(セキュリティホール)を狙う
6.WEBサイトの脆弱性(セキュリティホール)を狙う
これらは不正アクセスを実行する手口として最も有名な手口になります。前述したようにこれらの手口はインターネットに接続されていてればどんな企業でも不正アクセスの被害にあう可能性があることは理解していただけると思います。また、不正アクセスによって管理者権限を奪われ、不正アクセスの痕跡を消去して発覚を遅らせるような悪質な手口もあります。
警察発表、最新の不正アクセスの被害件数と動向
ご存じない方もいらっしゃるかもしれませんが、日本国内で発生している不正アクセスは各都道府県へ報告され、警察庁がまとめ総務省が発表しています。
総務省より引用:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
上記の表でわかる通り、不正アクセスは昨年より増加傾向にあります。2021年度(令和3年)は1,516件と前年からは大きく減りましたが、昨年2022年度(令和4年)は認知件数が2,200件とまた増加傾向にあることがわかります。
不正アクセスされたらどうなる?4つの被害事例
既に多くの報道や各企業から発表がされているように不正アクセスによる被害は様々です。こちらではWEBサイトへの不正アクセスの代表的な被害と事例をあわせてご紹介します。
1.情報の漏えい
不正アクセスの代表的な被害と言えば個人情報漏えいを思いつく方も多いと思います。しかし、個人情報漏えいと言っても様々な内容がありますので具体的な事例をご紹介致します。
・クレジットカード情報の漏えい
・個人情報漏えい
・企業情報の漏えい
2.サイトの乗っ取り
改ざんによる被害も様々です。その事例を一部ご紹介します。
【サイトの改ざん】
・サイトに不正なページを表示される
・サイトに不正なプログラムを設置される
・不正なサイトへの遷移するURLを埋め込まれる
【閲覧障害】
・一部のページが見れなくなる
WEBサイト不正アクセス事例|オフィス家具メーカーのWEBサイトが一部閲覧できなくなった原因|株式会社イトーキエンジニアリング
・ドメインの乗っ取り
3.メールアカウントの乗っ取り
メールアカウントへの不正アクセスによる被害は大きく以下の2点となります。
・なりすましメールの配信
・スパムメールの踏み台
4.重要データの消去、削除
最近発生している事例で不正アクセスにあった結果、顧客データなどを削除されてしまった事例です。情報資産である顧客データを削除されることは通常業務に大きな影響を及ぼすことは明白です。
無料で簡単に出来る不正アクセス対策
ここまで読んでいただいた方は不正アクセスの怖さについては充分ご理解頂けていると思います。多くの企業は不正アクセスの被害にあってから焦って色々と対応を迫られています。最も重要な対策は「不正アクセスを未然に防ぐ」予防対策です。では、予防対策に有効な方法をご紹介します。
1.社内で「情報資産」という言葉を使う
意外とこれは認識されていません。一般社員が認識してないのは仕方がないとしても役職者が認識していないことも見受けられます。企業活動における取得したデータ(個人情報、取引先情報等)は全て「情報資産」であり、この資産を流出させることは企業にとっては致命的であるということを社内に徹底させましょう。
2.「セキュリティホール」を報告した従業員を褒める
これは非常に難しいですが、長期的にみると一番重要かもしれません。セキュリティホールがあることを知っても「ふーん、でも今まで何も起こってないからなぁ」と思ってしまう社員をいないようにすることが重要です。多くの企業でセキュリティホールが見つかったことをよく思わない風潮にあります。めんどくさいモノを見つけやがった的なことです。これではセキュリティへの意識が育ちません。社内に「セキュリティは大事」と思う空気を醸成することで長期的に安定した企業活動が実現します。
3.使用しているOSやソフトウェアの管理する
社内で未だ、WindowsXPを使用していたりサポートの切れたソフトウェア等を使用している社員はいませんか?使用しているOSやソフトウェアを管理せず、各従業員にまかせっきりにしている企業には意外と多い事例です。端末や使用しているOS、ソフトウェアを会社で管理して常に最新の状態を保つ運用をすることでヒューマントラブルを減らせます。
4.パスワード管理をする
社内システムや外部サービスのパスワードを任せきりにしていると非常に単純なパスワードで運用してしまうことはよくあることです。一定のパスワード基準を設けしっかり管理するようにしましょう。
5.無料の脆弱性診断サービスを使用する
WEBサイトのセキュリティホールの有無を把握するためには非常に重要な内容です。無料のツールはあるのでまずは自社のWEBサイトにリスクが無いか確認してみてください。WEBアプリケーションの脆弱性を対策した後はプラットフォーム診断など予算を割り当ててセキュリティを高めていくのもお薦めです。
まとめ
不正アクセスの推移を見てもお判りの通り、不正アクセス自体は無くなることはありません。原因としては、セキュリティに対しての意識がまだまだ低いことと、セキュリティが強化されればサイバー攻撃も進化することの二つが挙げられます。中には「セキュリティはコストだから」といって導入したがらない経営者の方もいます。そんな経営者の方には考え直して頂きたいことがあります。
事務所に鍵はかけませんか?
SECOMなど警備会社を導入していませんか?
社用車に保険はかけていませんか?
ITセキュリティも上記と同じです。会社にとって最も重要な「情報資産」を守る為の投資はコストと考えるのではなく必要経費として捉えて下さい。ITセキュリティに終わりはありませんが、実施しないよりはしたほうが間違いなくいいものです。まずは上記でまとめた無料で実施出来る対策から始めて下さい。
【この記事と関連する記事はコチラ】