EC向けに国内導入サイト数No.1の不正検知システムを提供するかっこ株式会社。
かっこ株式会社では不正アクセスに関する講演も行っており、2020年2月開催のカンファレンス「Security Days 2020 Tokyo」でも、2015年から2019年までの4年間で不正アクセスの被害が11倍に増加していると指摘しています。
具体的な被害事例としては
- パスワードのリスト型攻撃
- なりすましによる被害ログイン
などが挙げられおり、金銭的な実被害がでるケースもあれば、ユーザーの情報が漏洩してしまったという事例もあります。
このような被害を発生させないために、事業者ができる対策はどのようなものがあるのでしょうか。
目次
不正アクセスとは
そもそも不正アクセスとは権限を持たない人物が、第三者の情報やサーバーなどに勝手にアクセスすることを指します。
手口としては
- 不正なログイン・アカウントの乗っ取り
- Webサイトの脆弱性をねらったもの
- マルウェアによる攻撃
が挙げられます。
メディアやニュースで取り上げられる「なりすまし」も不正アクセスの1つです。
不正アクセスされた場合に起こりうる被害
総務省の「不正アクセスによる被害と対策」では、不正アクセスされた場合に起こりうる被害として以下のものが挙げられています。
- ホームページの改ざん
- 保存データの流出
- サーバシステムの破壊
- サーバやサービスの停止
- 迷惑メールの送信や中継に利用
- 他サーバーやパソコンへの攻撃の中継に利用
- バックドアを仕掛けられ常に侵入できるように改ざん
どれも企業としては未然に防ぎたい被害ですね。
では、こういった被害から企業や組織の情報資産を守るためには、どのような対策が有効なのでしょうか。具体的な方法を次項から紹介します。
企業ができる不正アクセスへの対策
企業ができる具体的な不正アクセスとしては
- サーバで利用するサービスの確認
- ソフトウェアの更新
- パーミッション(ディレクトリやファイルへのアクセス権限)の設定
- SQLインジェクションへの対策
- ファイアウォールや侵入防止システム(IPS)の導入
- 機器構成の変更やソフトウェアのインストール制限
- モバイル機器の適切な管理
- 2段階認証・2要素認証の設定
- 不正検知システムの導入
が挙げられます。
1.サーバで利用するサービスの確認
業務をする上で、サーバーで提供されているサービスを利用することもあるかと思います。
新型コロナウイルスの感染拡大を受け4月に緊急事態宣言が出されたこともあり、例えば、ビデオ会議ツール「Zoom」などを導入した企業も多いのではないでしょうか。
こういったツールを導入する際は、脆弱性の有無を確認し、最新のセキュリティ状態を保つようにしましょう。
ビデオ会議ツール「Zoom」を始めとした、テレワーク時代における効果的なセキュリティ対策についてはこちらの関連記事をご覧ください。
2.ソフトウェアの更新
WindowsやAdobe製品などソフトウェアのアップデートや、Webブラウザの更新を行うと、セキュリティ状態を最新に保つことができます。
これだけでもウイルス感染のリスクを減らせます。
3.パーミッション(ディレクトリやファイルへのアクセス権限)の設定
利用資格のないユーザーが不正にアクセスしないようディレクトリやファイルへの権限を行うと、ウイルスの感染や通信内容の盗聴などの脅威に晒されにくくなります。
結果的に不正アクセスの対策にもつながるため、アカウント認証・アクセス制御・アカウント管理の3つを徹底しましょう。
4.SQLインジェクションへの対策
SQLインジェクションとは、システムのセキュリティの不備を利用し、想定しないSQL文を実行させ不正に操作する攻撃方法です。
このSQLインジェクションへは
- SQL文を成立させないエスケープ処理を行う
- 脆弱性を狙った攻撃を検知するシステムの導入を行う
- 脆弱性診断サービスなどを使い定期的に有無をチェックする
といった対策があります。
5.ファイアウォールや侵入防止システム(IPS)の導入
ファイアウォールとはインターネットなどの外部ネットワークから、社内など場所の限定された内部ネットワークへの不正なアクセスを防止するシステムです。
不正侵入防止システム(IPS:Intrusion Prevention System)は、ネットワークやサーバーを監視し、不正アクセスを検知し管理者に通知するシステムです。
こういったシステムを利用しセキュリティレベルを維持するためには、導入後もログを把握し、警告内容の確認し対応を行う必要があります。利用時は導入前の費用だけでなく、運用コストも含め検討しましょう。
6.機器構成の変更やソフトウェアのインストール制限
企業や組織内で許可していないソフトウェアのインストールや機器構成の変更ができてしまう環境だと、ソフトウェアの管理も適切に行えず、脆弱性に繋がります。
社内のリテラシー向上とあわせて、インストール制限も検討しましょう。
7.モバイル機器の適切な管理
社外への持ち出しも多いモバイル端末には、ユーザ名やパスワードを記憶させないようにしましょう。
またモバイル機器を紛失した場合、すぐにユーザ認証情報を変更することで、不正アクセスの危険から情報資産を守れます。
8.2段階認証・2要素認証の設定
2段階認証 (2要素認証、2FA) を設定すると、ログイン時に認証コードを追加で要求できます。仮にパスワードが流出してしまったとしても、不正アクセスされる可能性を抑えられるのです。
記憶に新しい事例としては、2020年4月に任天堂が「ニンテンドーアカウントに不正にログインされ、クレジットカードが不正に使用された」という問い合わせが増加していると発表し、二段階認証の設定を呼びかけました。
9.不正検知システムの導入
ユーザーに負担をかけずにセキュリティを強化するには「不正検知システムの導入」が有効です。
不正検知システムによって詳細は異なるのですが、例えばかっこ株式会社の提供する「O-motion」では不正をリアルタイムで検知することが可能。
端末を独自の技術で特定管理し、ユーザーの操作情報から不正傾向を判定できます。アクセス毎に、正常なユーザーはそのまま、不正者のアクセスを検知するといったこともできるため、UI/UXとセキュリティのバランスをとった対策が可能です。
参考:不正検知ソリューションO-motion(オーモーション)│かっこ株式会社
お役立ち資料無料ダウンロード:3分でまるっと分かる!なりすまし不正対策
不正アクセスの被害に遭っているかどうかの確認も
不正アクセスは気付かないうちに被害に遭っている可能性があります。
- ログイン履歴の確認
- セキュリティソフトの導入
などで早期発見をし、被害を最小限にとどめるようにしましょう。
不正アクセスにあった場合に企業がとるべき対応策
不正アクセスされてしまった時に備え、企業としての対応手順も整理しておきましょう。
警視庁が発表しているものとしては以下の通りです。
- 被害拡大防止のためシステムを隔離
- 不正アクセスの証拠を保管
- 最寄りの警察署又は都道府県警察サイバー犯罪相談窓口に相談
まずは被害拡大防止のため関係するシステムをネットワークから隔離し、利用者への周知を行いましょう。
この時のために緊急時対応計画(コンティジェンシープラン)を作成しておくのもおすすめです。
続いて、可能な限り多くの証拠(ログ等)を取得・保管します。被害にあったコンピュータだけでなく、ファイアウォールや関係するコンピュータも確認しましょう。証拠の書き換えを防ぐためシャットダウンはしないようにするのがポイントです。
参考:相談窓口│警察庁
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)とは
「不正アクセス禁止法」とは、不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律です。
平成11年8月13日に公布、平成12年2月13日に施行され、最近では平成25年5月31日に改正されました。
不正アクセスを行った場合、この法律に基づき
- 不正取得罪
- 不正助長罪
- 不正保管罪
- 不正入力要求罪
などに問われます。
基本的にはどれも「一年以下の懲役又は五十万円以下の罰金に処する」とされています。
参考:不正アクセス行為の禁止等に関する法律│電子政府の総合窓口(e-Gov)
企業ができる不正アクセスへの対応
顧客や社員を抱える企業の場合、
- 不正アクセス先として被害者になる可能性
- 情報漏洩先として加害者になる可能性
の両方があります。
発生していない問題への対策はどれだけのリソースを割くか判断しにくい部分もありますが、発生後のリスクを踏まえ、柔軟な対応をとりましょう。
対応をしているという事実が、不正者を遠ざけるのにも役立ちます。
また、不正アクセス発生時に備え緊急時対応計画(コンティジェンシープラン)を作成しておくのも社内のモラル向上に繋がります。
現状にあったセキュリティ対策を行い、不正アクセス被害の可能性を減少させましょう。
記事内で不正アクセスの対策としてご紹介したかっこ株式会社の「O-motion」は、現在、リモートでの相談受付も行っています。ぜひこちらもご覧ください。
また、O-motionを導入前に試せるキャンペーンとして、通常150万円かかるトライアルを10万円(2020年年末まで)で受付中です。
O-motionを導入前に試せるキャンペーン
