毎日の生活においてパソコンやスマートフォンが欠かせなくなった今日このごろ、「不正アクセス」という言葉を頻繁に耳にするようになりました。不正アクセスによる被害件数はインターネットが生活の中に広くゆき渡って、利便性が向上することに伴って年毎に増加している傾向であるため、個人でも企業でも資産として価値のある情報を不正アクセスから守ることの価値や重要性は増してきています。
今回は、この個人をはじめ国や大企業を脅かすサイバー攻撃の代表格「不正アクセス」に関する基礎知識や考えられる被害、そして不正アクセスを受けないための防止策および対策方法について解説していきます。また万が一に備えて、不正アクセスの被害に直面した場合の解決策についても解説していますので是非参考にしてください。
年毎に増加し続けている「不正アクセス」とは
不正アクセスとは、個人がその立場で正規に利用する権利を持っていないシステムに対して不正に接続しようとしたり、実際に侵入して利用しようとする行動を指し示しています。多くの場合は情報の窃取や破壊といった悪意のある行動を伴いますので、システムの停止や顧客情報の漏洩といった企業活動に対して多大な悪い影響を招く確率が高くなってしまいます。
インターネットが発展する基礎を築く段階においては、不正アクセスを禁止する法律がありませんでしたが、インフォメーションソサエティーの健全な発展を目的として、2000年2月に「不正アクセス行為の禁止等に関する法律」が施行されました。「3年以下の懲役又は100万円以下の罰金」という罰則もあるために処罰される可能性がある犯罪行為ということになり、禁止されている犯罪行為の事例は下記の通りとなります。
侵入行為
利用する権限を持っていない情報にアクセスするための機器に対して不正に接続しようと試みることで、事実上情報にアクセスするための機器における他者の領域を不当に侵していなくても、パスワードの解読を試みるといった行為を含めて不当に他者の領域を侵そうとする行為自体が不正アクセス行為に該当します。
不正アクセス行為を助長する行為
他人のIDやパスワードなどを第三者に提供することによって不正アクセスをエスカレートさせる行為のことで、組織内部から持ち出したIDやパスワードなどが書き記されたリストを第三者へ与えるといった行為が該当します。
なりすまし行為
他人のIDとパスワードなどを使用することによって、本当に他人であるようなふりをすることで、現時点において未だ許可されていないシステムから情報を得る行為のことです。不正な行為によって手に入れたIDとパスワードを使用して、インターネットバンキングやコンテンツ配信サービスをはじめとするサイバー空間のサービスにログインする行為が該当します。
不正アクセスに関するデータや被害件数についてはさまざまな機関から情報が発表されており、総務省の『不正アクセス行為の発生状況』によると、2020年における不正アクセス行為の認知件数は2,806件で、前年と比較すると154件(約5.2%)減少しています。不正アクセス行為の手口としては、『フィッシングサイトにより入手したもの』が最も多く(172件)、次いで『言葉巧みに利用権者から聞き出した又はのぞき見たもの』(115件)となっており、2019年と比較するとそれぞれ約172倍、約5.8倍となっています。
不正アクセスを未然に防ぐためのセキュリティ対策
総務省や警察庁などから公表されている不正アクセス件数は、現状を判断する際のよりどころとする件数でしかなく確認されていない不正アクセスも多数存在しています。どのような対策を実施すれば有効であるかについてを解説していきます。
サーバにおけるソフトウェアの更新
不正アクセスをよく見ると特定のソフトウェアの脆弱性(セキュリティホール)を悪用するものと同様のものが少なからず発見されています。プログラムに脆弱性やセキュリティホールが発見された際に不十分・不適当と思われるところを改め直すためのプログラムである「セキュリティパッチ」が開発会社より配布された場合は速やかに適用する必要があります。
サーバにおいて重要性が低いサービスの停止
サーバにおいて稼働しているサービスの数が多ければ多いほど、不正アクセスを受けてしまうリスクはどんどん高くなってしまいますので、現在サーバにおいて稼働しているサービスの状態をしっかりと確認したうえで、現在利用していないサービスや古くなってしまったサービスを停止させるか無効化することが大切です。
重要性が低い通信のブロッキングと通信内容のチェック
不正アクセスへ十分な効力を発揮する対抗手段としてファイアウォールやIPS/IDSが知られています。わかりやすく言うと、ファイアウォールは未確認の相手からの信号をさまたげることによって問題を解決する手段、IPS/IDSは外部からの不正な侵入を検知して阻止することによって問題を解決する手段となっており、この両者を組み合わせて一揃いにしたものを導入している事例が中心となる傾向となっています。
SQLインジェクションへの対策
Web上で管理されているデータベースへ攻撃するための方法として、Webの脆弱性に対してデータベース言語のSQLを利用したコマンドを注入(インジェクション)することによって、データの書き換えや抜き取りといった多種多様な不正アクセスを行う「SQLインジェクション」があります。ファイアウォールやIPS/IDSでは防御できない攻撃に対しては、Webサーバ上で動作してWebブラウザを用いて利用するアプリケーションへのアクセス監視に特化した「WAF(Web Application Firewall)」による解析が有効となります。
不正アクセスによって実際に発生した被害状況
不正アクセスは年毎に増加し続けており社会生活に支障をきたすような各種の問題となることも少なくないということが現状です。ここでは不正アクセスの実際上の事例に基づいて企業が意識を向けるべきポイントについて解説します。
企業にかかわる重要な秘密情報の拡散
大手教育関連企業において顧客の個人に関する数多くの情報が漏洩してしまった事例を、まだ忘れずに心にとめている方も多数いらっしゃるのではないでしょうか。顧客の個人に関する情報が蓄積されているデータベースの運用管理を委託していた企業の社員が、顧客の個人に関する情報を持ち出してしまったために発生した事件でした。前もってデータベースに蓄積された顧客の個人に関する情報をUSBメモリにコピーできないように対策がとられていたにもかかわらず、当該社員は自分のスマートフォンにコピーすることによって個人情報を盗み取ることに成功したセキュリティの脆弱性を突いた犯罪に該当する行為ともいえます。
組織に属している者による不正アクセスの事例でしたが、その組織に関係のない部外者による不正アクセスによって、社外に情報が漏洩してしまう場合も多数存在しています。企業内には顧客の個人に関する情報だけではなく、社員の個人情報や技術資料といった多種多様の機密情報が存在しており、サーバや各社員に割り当てられているコンピュータに保管されている場合も少なくありません。社外にこれらの情報が漏洩することによって、企業にとっては金銭的に多大の損失をこうむるだけでなく、会社の信用が失墜することにもつながるため、情報の取り扱いについては念には念を重ねて注意する必要があります。
ホームページやファイルの情報改ざん
企業がインターネット上で情報を提供する形式のひとつである、ホームページから提供される文書・音声・映像・ゲームソフトなどの個々の情報への情報改ざんも再発を食い止められていません。最近においては新潟県警本部のホームページをコントロールしているサーバが、その組織に関係のない部外者から不正アクセスされてしまったためにそのサーバを踏み台としてインターネット上で提供されている種々の話題について情報交換ができる掲示板に神奈川県警への爆破予告が書き込まれてしまうといった事例が発生しました。
原因としては新潟県警のホームページに設置されていた、情報提供や意見を書き込むページにプログラム上で本来備わっているべきものが欠けている状態であったため、そのセキュリティホールを攻撃されたためであるものと考えられています。物事の秩序を守るために全体を取り仕切る側であるはずの警察のサーバであっても、セキュリティ対策に強い注意を持って細かいところまで行うことが、いかに難しいことであるかを認識できます。
知らず識らずのうちに攻撃者を構成する一人として利用される
2011年に起きた韓国政府機関に対してのサイバー攻撃においては、「知らず識らずのうちに攻撃者となっていることもある」ことが認知されるようになりました。このサイバー攻撃は世界中の10万台以上ものパソコンから同時に実行されたため、韓国の政府機関・金融機関といったおよそ40のWebサイトが限られた期間だけ閲覧できない状態となりました。
攻撃を実行したパソコンを調査した結果、インターネット上でファイルを共有できるサービスを利用するプロセスにおいて、欠かせないファイルであるとまちがった解釈をして不適切なプログラムを追加したことが原因となってウイルスに感染していることが判明しました。ウイルスが感染したパソコンは攻撃対象のWebサイトへ大量のパケットをずっと送信していましたが、パソコンの動作に見てはっきりわかる変化がなかったために、それまで気にとめていなかったところに注意が向いたユーザは少数でした。しかし、自分のパソコンが攻撃に対して無形の支援を提供していたことは事実ですので、知らず識らずのうちに法律で罰せられる行為の手助けをしてしまわないように注意することが大切です。
不正アクセスされてしまった場合の対策は
これまでに解説してきた不正アクセスの特徴をしっかりと認識することによって、気持ちを引き締めて確実にセキュリティ対策していたとしても、不正アクセスを寸分の狂いもなくシャットアウトできるとは限りません。そこで仮に不正アクセスされたために情報が漏洩してしまった場合にどういった対策をすればいいのかを解説します。
被害の拡大を防止するためにサーバの遮断やパスワード変更を実施
不正アクセスがあったことが示された形跡がサーバで発見した場合は、被害が拡大することを抑止するために一刻も早くネットワークからサーバを遮断します。IDやパスワードが漏洩した可能性もありますので、再び実行されてIDやパスワードが意図せずに変更される前に、管理者権限で必要となるデータを変更するとともに、他のサービスにおいて同一のパスワードを使っている場合はそのサービスにおけるパスワードも変更します。
セキュリティ対策委員会へ報告して、情報が流出した内容を確認
重要な個人情報を取り扱っている企業では、システムや組織におけるセキュリティ対策推進を担うセキュリティ対策委員会などが設置されているはずですので、できる限り情報を共有して互いに連絡をとり協力しながら今後の対応を行うと同時に、外部に流出した情報がどういったものかまとめたものを確認することが重要です。顧客に関する情報が流出してしまった場合には、関係するありとあらゆる場所に流出した内容を可能な限り早く連絡するとともに、クレジットカード情報や銀行口座情報といった個人情報が漏洩した場合には、可能な限り早く顧客に連絡することによって、利用しているクレジットカード会社や銀行に利用停止を要求します。
どこで漏れたかの原因を調査して対策を練った後、復旧作業に取り組む
あらゆるケースを検討すべき事柄として意識しながら漏れた原因を調査します。原因を特定してからセキュリティ対策委員会が不正アクセスへの対策を検討した結果に基づいて、対策の実施方法及び復旧方法を決定した後にシステムの復旧に取り組みます。可能な限り早く復旧するために、普段からこまめに外付けハードディスクやクラウドストレージなどにデータのバックアップを取るよう心掛けて、対策の実施方法や復旧作業についての手順や規則などを文書として明文化することによって、セキュリティ対策委員会が全体を取り仕切れる体制を構築しておくことが大切です。
証拠を保存して被害内容によっては警察へ通報
不正アクセスに起因した被害の証拠(ログ)は必ず保存しておき、被害内容が見過ごせないレベルの場合は、周辺にある警察署または都道府県警察に設置してあるサイバー犯罪相談窓口へ被害のログを必ず持参して、良い案があれば教えてほしいと相談することによって、他社における同様の好ましくない事態が生じないようにするため、犯罪を抑止することに貢献できます。各都道府県公安委員会では管理者からの依頼によって、過去に起きた不正アクセスがまた起こることを防止するためのサポートも実施されています。
まとめ
「不正アクセス」はインターネットを利用する人であれば、全員同じように認識していることが必須となる事柄であるといっても決して大げさな表現ではありません。不正アクセスで使用されている特徴を把握することによって、仮に被害に遭遇した場合に取るべき対策を知っておくことが必要です。既出の情報を念頭に置いてセキュリティ意識の向上や常に新しいサイバー攻撃に関する情報とともに進化しているセキュリティツールが必須となります。
攻撃者は絶え間のなくツールを使用して防御がルーズな侵入先を自動的に探し続けています。攻撃者は不正アクセスするためにひとつの侵入口をつまびらかにするだけでいいのですが、防御側はあらゆる侵入経路に配慮しておく必要があるために負担は防御側のほうが大きくなります。不正アクセスにおいては攻撃側が常に防御側と比較して優位にあるという現実をあらかじめ考慮に入れて、悪影響が及ばないように守るためには当事者意識を持って不正アクセスに対する関心を向けてよく考えることが大切です。
