不正アクセス

不正アクセスへの対策を。被害内容、発生後の対応、不正アクセス禁止法について

EC向けに国内導入サイト数No.1の不正検知システムを提供するかっこ株式会社。
かっこ株式会社では不正アクセスに関する講演も行っており、2020年2月開催のカンファレンス「Security Days 2020 Tokyo」でも、2015年から2019年までの4年間で不正アクセスの被害が11倍に増加していると指摘しています。

具体的な被害事例としては

  1. パスワードのリスト型攻撃
  2. なりすましによる被害ログイン

などが挙げられおり、金銭的な実被害がでるケースもあれば、ユーザーの情報が漏洩してしまったという事例もあります。

このような被害を発生させないために、事業者ができる対策はどのようなものがあるのでしょうか。

不正アクセスとは

そもそも不正アクセスとは権限を持たない人物が、第三者の情報やサーバーなどに勝手にアクセスすることを指します。

手口としては

  • 不正なログイン・アカウントの乗っ取り
  • Webサイトの脆弱性をねらったもの
  • マルウェアによる攻撃

が挙げられます。

メディアやニュースで取り上げられる「なりすまし」も不正アクセスの1つです。

不正アクセスされた場合に起こりうる被害

総務省の「不正アクセスによる被害と対策」では、不正アクセスされた場合に起こりうる被害として以下のものが挙げられています。

  • ホームページの改ざん
  • 保存データの流出
  • サーバシステムの破壊
  • サーバやサービスの停止
  • 迷惑メールの送信や中継に利用
  • 他サーバーやパソコンへの攻撃の中継に利用
  • バックドアを仕掛けられ常に侵入できるように改ざん

どれも企業としては未然に防ぎたい被害ですね。
では、こういった被害から企業や組織の情報資産を守るためには、どのような対策が有効なのでしょうか。具体的な方法を次項から紹介します。

企業ができる不正アクセスへの対策

企業ができる具体的な不正アクセスとしては

  1. サーバで利用するサービスの確認
  2. ソフトウェアの更新
  3. パーミッション(ディレクトリやファイルへのアクセス権限)の設定
  4. SQLインジェクションへの対策
  5. ファイアウォールや侵入防止システム(IPS)の導入
  6. 機器構成の変更やソフトウェアのインストール制限
  7. モバイル機器の適切な管理
  8. 2段階認証・2要素認証の設定
  9. 不正検知システムの導入

が挙げられます。

1.サーバで利用するサービスの確認

業務をする上で、サーバーで提供されているサービスを利用することもあるかと思います。
新型コロナウイルスの感染拡大を受け4月に緊急事態宣言が出されたこともあり、例えば、ビデオ会議ツール「Zoom」などを導入した企業も多いのではないでしょうか。
こういったツールを導入する際は、脆弱性の有無を確認し、最新のセキュリティ状態を保つようにしましょう。

ビデオ会議ツール「Zoom」を始めとした、テレワーク時代における効果的なセキュリティ対策についてはこちらの関連記事をご覧ください。

2.ソフトウェアの更新

WindowsやAdobe製品などソフトウェアのアップデートや、Webブラウザの更新を行うと、セキュリティ状態を最新に保つことができます。
これだけでもウイルス感染のリスクを減らせます。

3.パーミッション(ディレクトリやファイルへのアクセス権限)の設定

利用資格のないユーザーが不正にアクセスしないようディレクトリやファイルへの権限を行うと、ウイルスの感染や通信内容の盗聴などの脅威に晒されにくくなります。
結果的に不正アクセスの対策にもつながるため、アカウント認証・アクセス制御・アカウント管理の3つを徹底しましょう。

4.SQLインジェクションへの対策

SQLインジェクションとは、システムのセキュリティの不備を利用し、想定しないSQL文を実行させ不正に操作する攻撃方法です。
このSQLインジェクションへは

  • SQL文を成立させないエスケープ処理を行う
  • 脆弱性を狙った攻撃を検知するシステムの導入を行う
  • 脆弱性診断サービスなどを使い定期的に有無をチェックする

といった対策があります。

5.ファイアウォールや侵入防止システム(IPS)の導入

ファイアウォールとはインターネットなどの外部ネットワークから、社内など場所の限定された内部ネットワークへの不正なアクセスを防止するシステムです。
不正侵入防止システム(IPS:Intrusion Prevention System)は、ネットワークやサーバーを監視し、不正アクセスを検知し管理者に通知するシステムです。

こういったシステムを利用しセキュリティレベルを維持するためには、導入後もログを把握し、警告内容の確認し対応を行う必要があります。利用時は導入前の費用だけでなく、運用コストも含め検討しましょう。

6.機器構成の変更やソフトウェアのインストール制限

企業や組織内で許可していないソフトウェアのインストールや機器構成の変更ができてしまう環境だと、ソフトウェアの管理も適切に行えず、脆弱性に繋がります。
社内のリテラシー向上とあわせて、インストール制限も検討しましょう。

7.モバイル機器の適切な管理

社外への持ち出しも多いモバイル端末には、ユーザ名やパスワードを記憶させないようにしましょう。
またモバイル機器を紛失した場合、すぐにユーザ認証情報を変更することで、不正アクセスの危険から情報資産を守れます。

8.2段階認証・2要素認証の設定

2段階認証 (2要素認証、2FA) を設定すると、ログイン時に認証コードを追加で要求できます。仮にパスワードが流出してしまったとしても、不正アクセスされる可能性を抑えられるのです。

記憶に新しい事例としては、2020年4月に任天堂が「ニンテンドーアカウントに不正にログインされ、クレジットカードが不正に使用された」という問い合わせが増加していると発表し、二段階認証の設定を呼びかけました。

9.不正検知システムの導入

ユーザーに負担をかけずにセキュリティを強化するには「不正検知システムの導入」が有効です。

不正検知システムによって詳細は異なるのですが、例えばかっこ株式会社の提供する「O-motion」では不正をリアルタイムで検知することが可能。
端末を独自の技術で特定管理し、ユーザーの操作情報から不正傾向を判定できます。アクセス毎に、正常なユーザーはそのまま、不正者のアクセスを検知するといったこともできるため、UI/UXとセキュリティのバランスをとった対策が可能です。

参考:不正検知ソリューションO-motion(オーモーション)│かっこ株式会社

お役立ち資料無料ダウンロード:3分でまるっと分かる!なりすまし不正対策

不正アクセスの被害に遭っているかどうかの確認も

不正アクセスは気付かないうちに被害に遭っている可能性があります。

  • ログイン履歴の確認
  • セキュリティソフトの導入

などで早期発見をし、被害を最小限にとどめるようにしましょう。

不正アクセスにあった場合に企業がとるべき対応策

不正アクセスされてしまった時に備え、企業としての対応手順も整理しておきましょう。

警視庁が発表しているものとしては以下の通りです。

  1. 被害拡大防止のためシステムを隔離
  2. 不正アクセスの証拠を保管
  3. 最寄りの警察署又は都道府県警察サイバー犯罪相談窓口に相談

まずは被害拡大防止のため関係するシステムをネットワークから隔離し、利用者への周知を行いましょう。
この時のために緊急時対応計画(コンティジェンシープラン)を作成しておくのもおすすめです。
続いて、可能な限り多くの証拠(ログ等)を取得・保管します。被害にあったコンピュータだけでなく、ファイアウォールや関係するコンピュータも確認しましょう。証拠の書き換えを防ぐためシャットダウンはしないようにするのがポイントです。

参考:相談窓口│警察庁

参考:都道府県警察本部のサイバー犯罪相談窓口等一覧│警察庁

不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)とは

「不正アクセス禁止法」とは、不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律です。

平成11年8月13日に公布、平成12年2月13日に施行され、最近では平成25年5月31日に改正されました。

不正アクセスを行った場合、この法律に基づき

  • 不正取得罪
  • 不正助長罪
  • 不正保管罪
  • 不正入力要求罪

などに問われます。
基本的にはどれも「一年以下の懲役又は五十万円以下の罰金に処する」とされています。

参考:不正アクセス行為の禁止等に関する法律│電子政府の総合窓口(e-Gov)

企業ができる不正アクセスへの対応

顧客や社員を抱える企業の場合、

  • 不正アクセス先として被害者になる可能性
  • 情報漏洩先として加害者になる可能性

の両方があります。
発生していない問題への対策はどれだけのリソースを割くか判断しにくい部分もありますが、発生後のリスクを踏まえ、柔軟な対応をとりましょう。
対応をしているという事実が、不正者を遠ざけるのにも役立ちます。

また、不正アクセス発生時に備え緊急時対応計画(コンティジェンシープラン)を作成しておくのも社内のモラル向上に繋がります。
現状にあったセキュリティ対策を行い、不正アクセス被害の可能性を減少させましょう。

記事内で不正アクセスの対策としてご紹介したかっこ株式会社の「O-motion」は、現在、リモートでの相談受付も行っています。ぜひこちらもご覧ください。
また、O-motionを導入前に試せるキャンペーンとして、通常150万円かかるトライアルを10万円(2020年年末まで)で受付中です。
O-motionを導入前に試せるキャンペーン

不正ログイン検知ソリューション

ピックアップ記事

  1. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状況と併せて解説
  2. セキュリティコード(SC)がクレジットカードに設定されている理由と、販売店にとっ…
  3. テレワーク時代における効果的なセキュリティ対策について
  4. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 
  5. EC事業者が対策したい「カゴ落ち」とは

関連記事

  1. 不正アクセス

    不正ログインとは?考えられる被害やリスク、手口。個人ができる対策方法について

    2020年3月5日、警察庁、総務省、経済産業省は2019年における不正…

  2. 不正アクセス

    O-motion 講演レポート(Security Days 2020)#001 〜あなたの会社も狙…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

  3. 不正アクセス

    生体認証だけでは不正アクセスは防げない?決して完璧ではない理由

    テクノロジーの発達により、本人確認の手段は多様化しています。比…

  4. 不正アクセス

    不正アクセスの手口とは?2019年の不正アクセス行為の発生状況と併せて解説

    WebメディアやTVのニュースでも取り上げられている「不正アクセス」。…

  5. 不正アクセス

    なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 

    窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。…

  6. 不正アクセス

    O-motion 講演レポート(Security Days 2020)#002 〜あなたの会社も狙わ…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

おすすめ記事

  1. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状…
  2. 生体認証だけでは不正アクセスは防げない?決して完璧ではない理…
  3. テレワーク時代における効果的なセキュリティ対策について
  4. なりすましによる不正アクセスの被害内容と具体的な対策(不正検…
  5. QRコード決済からのカード情報の不正流出と不正利用防止対策に…

ECサイト不正利用。巧妙化する手口


お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正検知・ノウハウ

    不正検知システムとは?「クレジットカード等の決済前に危険性判断する」仕組みや導入…
  2. データ&レポート

    日本クレジット協会が発表した令和元年7月クレジットカードの利用状況について
  3. 不正検知・ノウハウ

    オンラインにおけるクレジットカードのセキュリティに関する基礎知識。カード契約者も…
  4. ニュース・業界動向

    クレジットカードの不正利用防止対策とIC化の取組み状況と具体内容について
  5. ニュース・業界動向

    IPA(独立行政法人情報処理推進機構)が「情報セキュリティ10大脅威 2020」…
PAGE TOP