不正アクセスとはなにか [手口と被害を理解する]

不正アクセスとは、アクセス権限の持たない悪意ある第三者がデバイスやシステムに不正侵入する行為です。今回は、企業に大きな損害を与える不正アクセスの手口や被害について解説します。

不正アクセスとは

不正アクセスとは、アクセス権を持たない人物が、各種デバイスやシステムに不正ログインすることを指します。デバイスには、パソコンやスマートフォンなどはもちろんのこと、ルーターやスイッチなどのネットワーク機器も含まれます。

不正アクセスを許してしまえば、ログインしたユーザーになりすました行動が可能となり、管理者権限を有している場合には情報の改ざんや情報漏えいにつながる危険があります。

不正アクセスの手口

不正アクセスの手口は、主に以下5つの方法が考えられます。

  • 不正に入手したIDやパスワードでの侵入
  • システムの脆弱性をついた侵入
  • フィッシングサイト等での情報取得
  • 総当たり攻撃での侵入
  • ウイルス感染からの侵入

それぞれの手口を解説しましょう。

不正に入手したIDやパスワードでの侵入

1つ目の手口は、不正に入手したIDやパスワードを使って侵入する方法です。本人が漏えいした覚えがなくとも、知らず知らずのうちにIDやパスワードが漏えいしてしまっている可能性があります。

過去には、不正に入手したIDやパスワードを使ってECサイトへログインし、正規会員になりすまして注文を繰り返すなどの被害が報告されています。しかし、ECサイトからのIDやパスワードの流出は確認されておらず、ECサイトとは別のサービスから情報が流出し、同じIDやパスワードを使い回していたことから不正ログインにつながったという例です。

IDやパスワードの情報だけでログイン可能なシステムの場合、強固なパスワードの設定、使い回しをなるべく避けるといった基本的な対策が必要となります。

システムの脆弱性をついた侵入

2つ目の手口は、OSやアプリケーションなどのソフトウェア、ネットワーク機器やサーバーといった機器の脆弱性をついて侵入する方法です。ソフトウェアに脆弱性を抱えていると、悪意のあるものが外部からリモートコードを実行し、デバイスの管理者権限を乗っ取り、不正なマルウェアに感染させるなどの攻撃を仕掛けてくる恐れがあります。

機器の脆弱性については、リモートワークの普及に伴い、VPN機器を狙った攻撃が多発しています。VPN機器は、ユーザーのログイン情報を機器内で管理しているため、脆弱性を突かれてしまうと、ログイン情報が流出してしまい、甚大な被害を及ぼすリスクがあるでしょう。

こうした攻撃は、過去の脆弱性を狙ってくるだけではなく、公開されてから間もない比較的新しい脆弱性を突いてくることもあります。脆弱性は、重要なシステムであればあるほどアップデート後の検証に時間がかかるため、その隙を狙って攻撃を加えてきます。危険度の高い脆弱性については、できるだけ早く対策を取らなければなりません。

フィッシングサイト等での情報取得

3つ目の手口は、フィッシングサイト等で取得した情報を利用して不正にアクセスする方法です。フィッシングサイトは、実在するサイトを装った偽のサイトのことで、本物のサイトと思い込ませてIDやパスワードを入力させることが目的です。

フィッシングサイトから情報を取得し、不正アクセスをするまでの流れは下記のようなケースが多いです。

  1. 不特定多数にフィッシングメールを送信
  2. メールにはURLが記載されており、正規のWebサイトを模倣したフィッシングサイトとなっている
  3. メールの受信者はURLにアクセスし、正規のWebサイトと同じ手順でIDとパスワードを入力してログインを試みる
  4. 入力されたIDとパスワードを取得し、悪意のあるものが不正ログインを実施

フィッシングサイトに引っかからないためにも、普段からメールのURLに直接アクセスしない、多要素認証を導入するなどの対策が効果的です。

また過去には企業のWebサイトが外部から不正侵入されて、ページの一部がフィッシングサイトに改ざんされるというケースもありました。Webサイトを運営する事業者としては、Webサイトを構成するCMSやPHPのバージョン管理、脆弱性対策を講じる必要があります。加えてアクセス元のIPアドレスの制限などを実施し、セキュリティの向上を図る必要があるでしょう。

総当たり攻撃での侵入

4つ目の手口は、IDとパスワードの組み合わせを大量に試して侵入を試みる「ブルートフォース攻撃(総当たり攻撃)」です。総当たり攻撃は、推測しやすいIDやパスワードを組み合わせて不正アクセスを試みてくるため、パスワードの強度を低い設定にしてしまうと突破される確率が高いでしょう。

事例としては、メールアカウントに対して総当たり攻撃が実施され、脆弱なパスワードを設定していたために不正ログインを許してしまったケースがあげられます。不正ログイン後は、フィッシングメールなどの悪意のあるメールを送信される被害が考えられます。

脆弱なパスワードの見直しに加え、機械的な大量アクセスを遮断するシステムを導入することでセキュリティの向上に繋がるでしょう。

ウイルス感染からの侵入

5つ目の手口は、ウイルス感染から不正アクセスする方法です。最近は「Emotet」と呼ばれるウイルスの被害が拡大しています。Emotetは、メールの添付ファイルを実行することで感染するウイルスです。

Emotetは、正規のメールへの返信を装った偽装メールが送られてくるため、不正なメールだと気付きにくい特徴があります。感染後は、情報の漏えいなどによって不正アクセスにつながる可能性があるでしょう。

「添付ファイルを開かない」「URLリンクにアクセスしない」「マクロを有効にしない」といった基本的な対策が必要になります。

不正アクセスによる被害

不正アクセスの手順を先に紹介しましたが、不正アクセスによる被害についても簡単に紹介します。

  • Webページの改ざん
  • データの破壊
  • 情報漏えい

Webページの改ざん

Webページは、企業が公開している公式サイトやWebアプリケーションなどを指します。不正アクセスにより、Webページを公開しているサーバーに侵入し、コンテンツの内容や各種設定などの改ざんをおこないます。最近は、WordPressで運用しているWebサイトが増えているため、WordPressをはじめとしたCMSに潜む脆弱性を活用して不正アクセスするケースが多いです。

データの破壊

AIやビッグデータの活用が進んでいる昨今は、データの重要性が高まっているため、データの破壊を目的とするケースも増えています。特に、サーバー内のデータを暗号化し、データを復号するために身代金を要求する「ランサムウェア」による被害が多くの企業で拡がっています。

情報漏えい

不正アクセスの被害に遭うと、重要な情報を盗み出されてしまう、情報漏えいにつながるリスクがあります。重要な情報を漏えいさせてしまうと、外部に対して公表し、記者会見等を開かなければならないケースもあります。

情報漏えいによって社会的な信頼を落としてしまい、事業継続が困難になる場合もあるでしょう。まず第一に、情報漏えいが起きないような対策を普段からしておくこと。そして次に、もし情報漏えいが起こってしまった場合でもすぐに検知できるような状態にしておくことが重要です。

定期的なセキュリティチェックなら「Securify Scan」

不正アクセスは、情報の改ざんや情報漏えいによって企業に大きな損害を与えるため、日頃から対策をしておく必要があります。不正アクセスを対策する方法はさまざまありますが、まずは簡単にできるセキュリティ教育や、定期的なセキュリティチェックなどからはじめるのが良いでしょう。

具体的には、社内で運用する重要なWebページに対して定期的に脆弱性診断を実施し、不正アクセスにつながる攻撃を防ぐことは非常に重要です。弊社で提供するWebアプリケーション脆弱性診断ツールの「Securify Scan」は、URLを入力するだけで簡単にWebセキュリティ対策を実現できます。多数の診断項目に対応しており、「SQLインジェクション」や「クロスサイト・スクリプティング(XSS)」などの対策に加えて、脆弱なJavaScriptライブラリの使用の有無やポートスキャンにも対応しています。また、専門的な知識が不要でツールを扱えるうえ、診断後の対策方法まで解説してくれるため、企業内にセキュリティの専門家が不在でも活用できるのが特徴です。

ただし「人」に対する防御(例えば、メールでウイルスを含む悪意のあるファイルを送るといった「標的型攻撃」など)は、従業員のリテラシーに依存するため、Securify Scanでは防御できません。Securify Scanで防御できるのは、あくまでシステムに対しての対策(脆弱性を突かれて漏えいや乗っ取り)となるため用途を正しく理解しておく必要があります。

現在Securify Scanでは無料トライアルを受け付けているため、セキュリティを強化したい企業様はぜひご参考にしていただければ幸いです。

Webアプリケーションの
継続的セキュリティを簡単に実現
Securify

ブログ一覧へ戻る

サービスに関するご質問・ご相談など
お気軽にお問い合わせください