不正アクセスの問題は、被害に遭わないとなかなか当事者意識を持てないかもしれません。
しかし、誰もがスマートフォンを持ちインターネットを気軽に利用する中で、すべての人が被害者になる可能性が高い問題です。
個人だと金銭の詐取や商品の不正購入、企業だと重要情報の流出など重大な被害に遭う可能性があります。
被害に遭わないためには、不正アクセスの実態を理解し、各自が適切に対策することが大切です。
不正アクセスとは
不正アクセスとは、正規のアクセス権限がない第三者が、他人のIDやパスワードを用いて端末やシステム、Webサイトなどに不正にログインすることです。
不正アクセスに成功した悪意あるユーザは、本来のID所有者になりすまし、金銭や情報の窃取などを試みます。
近年増加する不正アクセスの背景には、スマホの普及によるインターネット取引の増加や、サイバー犯罪の高度化が挙げられます。
不正アクセスは違法
不正アクセスは、「不正アクセス禁止法」(正式名称:不正アクセス行為の禁止等に関する法律)で禁止されている犯罪行為です。
不正アクセス禁止法では、不正アクセス行為、不正アクセスにつながる情報の不正取得・保管、不正アクセスを助長する行為が禁止行為とされています。
中でも最も罪が重い不正アクセス行為に対しては、三年以下の懲役または百万円以下の罰金の刑事罰が科されます。
なぜ不正アクセスをするのか?
不正アクセスの行為者が不正アクセスする理由には、大きく次の2つのパターンがあります。
- インターネットバンキングでの不正取引などの金銭目的
- 自身の知識や技術の誇示
また、スマートフォンの普及でITリテラシーの低い人もインターネットを利用するのが日常的となり、ターゲットに事欠かないことも理由と言えるでしょう。
不正アクセスの主な手口
不正アクセスは、何らかの方法でID/パスワードを入手し、本来の権限者になりすましてログインする行為です。
ID/パスワードを不正に入手する手口はいくつもありますが、代表的なものを紹介します。
ID・パスワードの不正入手や総当たり攻撃
「パスワードリスト攻撃」は、不正な経路で購入したり、脆弱性のあるシステムに侵入して入手したID/パスワードを利用して不正アクセスします。
また、「総当たり攻撃」は、論理的に考えられる文字列のパターンをすべて入力する力技です。
パスワードの使い回しや、単純なパスワードを利用していると、このような方法でパスワードが破られる可能性があります。
フィッシングサイト
「フィッシングサイト」は、スパムメールや標的型メールなどで、正規のサイトに似せた偽サイトへ誘導し、ID/パスワードやクレジットカード情報などを入力させて情報を窃取する方法です。
取得した情報を使って、正規のサイトやほかのサイトへ不正アクセスし、不正送金や不正購入などを試みます。
マルウェア感染
メールやSNSなどで、マルウェアを仕掛けたURLやファイルを巧みに開かせて感染させる方法です。
マルウェアに感染すると端末やネットワーク上のサーバなどから、情報を盗み取られます。
IDやパスワード、クレジットカード情報などが流出すると、不正アクセスが可能です。
不正アクセスの被害例
不正アクセスされると、企業の重要情報や金銭を盗み取られるだけでなく、端末がサイバー攻撃に利用されるなどの被害を受ける可能性もあります。
不正アクセスの主な被害例を解説します。
重要情報の流出
企業のシステムに不正アクセスされると、顧客情報や取引先情報、経営上の機密情報など、重要情報が盗まれる可能性があります。
顧客情報や取引先情報が流出すれば、社外に被害が拡大し相手に迷惑をかけるうえ、セキュリティ管理が甘い企業として信用が失墜することになるでしょう。
経営上の機密情報が流出すれば、企業の業績にも影響を与えることになります。
不正送金・不正購入
ネットバンキングやECサイトに不正ログインされると、不正送金や不正購入の被害に遭う可能性があります。
インターネットの世界では、ID/パスワードなどで本人確認されるため、それらが盗まれてしまうと、簡単に「なりすまし」ができてしまうのです。
実際に被害に遭うまでID/パスワードの流出に気づくのは難しく、気づいたときには被害が広がっていることもあります。
SNSなりすまし
不正アクセスにより、SNSアカウントが乗っ取られ、意図しない投稿をされる被害もあります。
有名人のTwitterアカウントが乗っ取られた事件を、メディアで目にした方も多いでしょう。
乗っ取ったアカウントを使ってウイルスをばら撒いたり、詐欺を働いたりといった行為が行われることもあります。
サイバー攻撃に利用される
不正アクセスされた端末やシステムは、権限を悪用して外部へのサイバー攻撃やウイルス拡散に利用される可能性もあります。
不正アクセスの被害者が、気づかないうちに犯罪に加担させられるという恐ろしい被害です。
過去には、不正アクセスで権限を乗っ取られた被害者が、犯罪予告の加害者として誤認逮捕される事件も発生しています。
不正アクセスの被害を防ぐための対策
不正アクセスの被害を防ぐには、他人事ではなく、常にリスクに晒されているという心構えで対応することが大切です。
不正アクセスの防止に有効な5つの対策を紹介します。
パスワードの管理強化
推測されやすいパスワードを使わない、パスワードを使い回さないといった基本的な対策を確実に行うことが大切です。短いパスワードも総当たり攻撃で破られやすいため、避けましょう。
強度の高いパスワードを生成し、安全に管理するには、パスワード生成ツールやパスワード管理ツールの導入も有効です。
OSやアプリケーションの最新化
脆弱性をついてID/パスワードを盗むサイバー攻撃を防ぐため、OSやアプリケーションは常に最新化しましょう。
セキュリティホールを狙った攻撃を防ぐため、提供元からセキュリティパッチが提供されたら、速やかに適用することが大切です。
また、サポート切れ製品は、セキュリティパッチが提供されずサイバー攻撃に無防備になるため、バージョンアップなどの対策を取りましょう。
セキュリティ対策ソフトの導入
近年のセキュリティ対策ソフトはウイルス対策だけでなく、さまざまなセキュリティの脅威からデバイスやネットワークを守ってくれます。
不正アクセスのきっかけとなるマルウェア感染やフィッシングサイトへのアクセス、不正な通信の遮断などの機能により、ID/パスワードの流出防止が可能です。
多要素認証の活用
ID/パスワードに加えて、多要素認証を活用すると安全性が高まります。
多要素認証とは、「知識情報」「所持情報」「生体認証」から2つ以上を用いる認証方法です。
「知識情報」はID/パスワードなど、「所持情報」はキャッシュカードやSMS認証など、「生体認証」は指紋認証や顔認証などが該当します。
多要素認証が設定できるサービスでは、積極的に活用すると良いでしょう。
不正アクセスの形跡をチェック
不正アクセスの被害を広げないためには、いち早く、その形跡に気づくことも大切です。
不審なアクセスを定期的にチェックすると良いでしょう。
例えば、Webサイトの最終ログイン日時、ログイン履歴や、クレジットカードの利用履歴で身に覚えのないアクセス・利用を確認します。
また、新たな端末からのアクセスがあった場合に通知する機能の活用も有効です。
不正アクセスにあった時の対処法
もし、不正アクセスが疑われる事態に遭遇した場合、どのように対処すれば良いでしょうか。
主な対処法を3つ紹介します。
パスワードの変更・利用停止
不正アクセスが疑われるサイトのパスワードを早急に変更します。
先にパスワードを変更されてしまった場合には、サイト管理者に速やかに連絡し、パスワード初期化などの対応をしましょう。
もし、パスワードを使い回していたり、規則性のあるパスワードを使っている場合には、そのパスワードを利用しているサイトも同様の対応が必要です。
また、クレジットカードの不正利用が疑われる場合には、カード会社へ連絡して利用停止の手続きをしましょう。
ウイルス・スキャン
不正アクセスに利用されたID/パスワードの流出原因が不明確な場合には、マルウェア感染によって盗み取られた可能性があります。
端末をネットワークから遮断し、ウイルススキャンで感染チェックとウイルスを駆除しましょう。
社内ネットワークに接続されている場合には、ネットワーク上の端末や機器にも同様の対応が必要です。
警察に届出
金銭詐取や情報流出などの被害にあった場合には、警察のサイバー犯罪相談窓口へ届出て相談します。
必要に応じてIPA(独立行政法人情報処理推進機構)への届出も行いましょう。
不正アクセスの手口や対策を理解して被害を防ごう
不正アクセスはインターネットを利用するすべての人が被害者になりうる、身近な犯罪です。
不正アクセスを防ぐには、セキュリティ対策ソフトなどに加えて、利用者が高いセキュリティ意識を持つ必要があります。
他人事とは思わず、自分も常に不正アクセスの脅威にさらされているという意識で端末やサービスを利用しましょう。
大切な情報をオンラインストレージに保管する場合には、万全のセキュリティ対策がなされたサービスを選ぶことが大切です。
端末認証や二段階認証など、不正アクセス対策も標準搭載されたセキュアSAMBAのご利用をぜひご検討ください。