不正アクセス

不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて解説

WebメディアやTVのニュースでも取り上げられている「不正アクセス」。

国家公安委員会、総務省、経済産業省の調査によると、その件数は年々増加中。
国内導入数No.1の不正検知システムを提供するかっこ株式会社も、先日行われた講演「O-MOTION Securitydays」の中で「2015年から2019年までの4年間で不正アクセスの被害は11倍にも増加している」と指摘し、警鐘を鳴らしました。(レポートはこちら

こうした状況の中で、被害を食い止めるためには、少しでも早い不正アクセス対策を立てる必要があります。
そこで、この記事では不正アクセスの現状と手口を紹介。手口を理解することで、不正アクセスへの理解を深めていただきたいと思います。

なお、不正アクセスの種類やリスク詳細はこちらの記事もぜひご覧ください。

不正アクセスの現状

「不正アクセス」とは権限を持たない人物が第三者の情報やサーバーなどにアクセスすることです。

ここで指す第三者の情報やサーバーは多岐に渡り、身近なものでは通販サイトのマイページやクレジットカードの会員サイト、スマートフォンなどが挙げられます。
不正者はこれらにアクセスし、個人情報を盗用したり、情報そのものを売買したりします。第三者が個人になりかわる「なりすまし」も不正アクセスによる被害の一種です。

まずは不正アクセスの現状を理解していくために、国家公安委員会、総務省、経済産業省が2020年3月5日に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を見てみましょう。

参考:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況│総務省

これを見ると、2019年における不正アクセス行為の認知件数は2960件。2018年の件数は1474件なので、99.2%も増加したことになります。これは、過去5年間で最多の件数です。
また、この発表には不正アクセス後に行われた行為別の内訳も記載されており、内容と件数は以下の通りです。

インターネットバンキングでの不正送金など・・・前年から約5.5倍増加、最多の1808件
インターネットショッピングでの不正購入・・・376件
メールの盗み見などの情報の不正入手・・・329件

不正送金や不正購入など、事業者にとって防ぎたい被害が多発していますね。
このような被害はどういった手口で行われているのでしょうか。次項から不正アクセスの具体的な手口を解説します。

不正アクセスの主な手口

不正アクセスの主な手口として挙げられるのは

  1. システムの脆弱性を狙った不正アクセス
  2. ウイルスを利用した不正アクセス
  3. なりすましによる不正アクセス
  4. フィッシングを使った不正アクセス

の4つです。

1.システムの脆弱性を狙った不正アクセス

事業者は業務を行う中で、様々なソフトやサーバーなどのシステムを使用します。
不正者はそのシステムの構造や内容を精査し、脆弱性を狙って不正アクセスを実行。個人情報を盗取したり、システムを改ざんしたりします。

システムの脆弱性を抑えるにはOSやアプリケーション、セキュリティソフトなどの更新を徹底し、常に最新のセキュリティを整えることが必要です。

補足ですが、ニュースなどで「フォームジャッキング」という不正被害を耳にした方も多いかと思います。
フォームジャッキングは情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法のことです。
先ほどお伝えした”不正アクセスの後、システムを改ざんするケース”はこのフォームジャッキングにあたります。

フォームジャッキングについてはこちらの関連記事でより詳しく解説しています。

2.ウイルスを利用した不正アクセス

事業者や個人にウイルスを送り付け、不正者の侵入経路を確保する手口もあります。

ウイルスに感染させる方法は様々です。メールなどにウイルスの感染源となるURLを記載し、受信者がそれを開いた場合に自動感染させるものや、添付ファイルを開くことで作用するものもあります。

こういったウイルスの送信は特定の相手をターゲットにする場合や、不特定多数に対して一斉に仕掛けるケースもあります。
不審な送信者からのメールに注意を配り、URLや添付ファイルを安易に開かないよう意識しましょう。

3.なりすましによる不正アクセス

ユーザーの個人情報がすでに漏洩してしまっていた場合、それを第三者が利用し「なりすまし」という形で不正アクセスされてしまう可能性があります。

第三者によるアクセスでも、正規のユーザーIDとパスワードを使われた場合、不正なアクセスや商品購入に気づくのは困難です。
そこで、SMSで送られるワンタイムパスワードの入力や、秘密の質問への回答でのユーザー認証、不正検知システムの導入などで対策をとるのが現実的です。

なりすましに関してはこちらの記事でも解説しています。

また、漏洩した情報が、ダークウェブ上の違法取引サイトなどで売買される可能性も無視できません。ユーザーが複数のサイトで同じIDやパスワードを設定していた場合、さらに被害は拡大します。

ダークウェブについて詳しく知りたい方は以下の記事を参考にしてください。

4.フィッシングを使った不正アクセス

知名度の高い企業を装ってフェイクサイトを作り、そこに個人情報を入力させるフィッシングという手口もあります。
この手口の中には、ユーザーが個人情報を自ら入力するよう促すだけでなく、パソコンやスマートフォンにウイルスをダウンロードさせるものもあります。

事業者としてできる対応は、ユーザーにサービスのブックマークや公式アプリのダウンロードを呼びかけ、フィッシングサイトにアクセスする機会を減らすこと。
また、盗取された情報による不正アクセスに気づき、被害を食い止めることが挙げられます。

被害が発生する前に不正アクセスの対策を

この記事では不正アクセスの手口に注目して詳しくまとめました。

その中で軽く触れましたが、ユーザー側でできる対策としては

  1. 強固なパスワードの設定と流出時のパスワード更新
  2. OSやアプリケーション、セキュリティソフトなどの最新化
  3. 不正ログイン対策を行っている事業者の利用
  4. ログイン履歴やクレジットカードの利用明細などの定期確認

などが挙げられます。
事業者はこういった知識をユーザーに伝え、注意を促すのも1つの方法です。

また事業者側では、

  1. パーミッション(ディレクトリやファイルへのアクセス権限)の設定
  2. ファイアウォールや侵入防止システム(IPS)の導入
  3. 不正検知システムの導入

といった対策が可能です。

どれだけのコストをかけて対策すべきか、実害の発生前では判断しにくいケースもあるかもしれません。しかし、実際に被害が発生してしまうとその後の対応にも追われてしまいますし、ユーザーとの信頼関係にも悪影響を及ぼしかねません。

不正アクセスへの対策は、被害が発生する前に可能な限り行いましょう。不正対策をしているという事実が不正者を遠ざけることにも繋がります。
以下の記事では先ほど挙げた方法や、現実的に導入しやすい対策について解説しています。ぜひ併せてご覧ください。

補足ですが、冒頭でご紹介した国内導入数No.1の実績を持つかっこ株式会社では、不正検知システム導入に関する無料相談を実施しています。

不正検知システムも様々ですが、独自ノウハウや蓄積データを用いて不審な点がないかリアルタイムで判断でき、不正アクセスの手口としてご紹介した第三者によるなりすましにも対応可能なサービスもあります。

不正アクセスは被害発生前に対策をするのが理想的です。導入を検討されている方はぜひこちらのページもご一読ください。

O-MOTION 仕組み紹介

自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら

ピックアップ記事

  1. テレワークで気を付けるべきこと・必要なセキュリティ対策8つ
  2. 不正検知システムとは?導入するメリットやチェックできる5つの項目などを紹介
  3. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
  4. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスクや対策も紹介
  5. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすすめの不正検知システム…

関連記事

  1. 不正アクセス

    なぜ個人情報漏洩は起こる?最新の流出原因TOP4と被害事例

    「最近、情報漏洩のニュースをよく聞くなあ」「利用したいwebサービ…

  2. 不正アクセス

    不正アクセスの件数は実際どのくらい?総務省のデータを元に徹底解説

    「不正アクセスがあったと聞くが、不正アクセスはどのくらいの発生している…

  3. 不正アクセス

    詐欺サイトの見分け方とは?7つのポイントと遭遇した場合の対処方法

    詐欺サイトとは、「個人情報を盗む」「金銭を騙し取る」などを目的として作…

  4. 不正アクセス

    SIEM(シーム)とは?セキュリティの仕組みや3つの機能!メリット・デメリットなど徹底解説

    SIEM(シーム)とは、さまざまなログを自動で収集しサイバー攻撃などの…

  5. Woman hold digital tablet online shopping to digital cart with global network connection. Intelligent E-commerce app, internet banking payment and financial technology enable lifestyle convenience.

    不正アクセス

    通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?

    2015年から2019年の4年間で、会員サイトへの不正アクセスは約11…

  6. 不正アクセス

    WAFサービスのおすすめ20選!導入で迷わないための選び方4つも解説

    「WAFサービスの選び方がわからない…」「おすすめのサービスを教え…

フィッシング対策状況を今すぐチェック。「フィッシング対策セルフチェックシートWebサイトのなりすまし対策に!鉄壁PACK for フィッシング
クレジットカードの不正利用対策はしていない!?独自調査レポート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード
自社の商品の転売状況を「転売チェッカー」で調べてみませんか?

おすすめ記事

  1. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  2. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  3. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  4. QRコード決済は危険?不正利用される原因や安全に使える電子決…
  5. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正検知・ノウハウ

    無在庫転売とは?仕組みやメリット・デメリットを解説
  2. ニュース・業界動向

    2020年に改正された割賦販売法の目的・5つのポイントを解説
  3. 偽サイトは簡単に作れる アイキャッチ

    不正アクセス

    【注意】偽サイトは簡単に作れる!本物(公式)との見分け方や偽サイトを作らせない対…
  4. 不正検知・ノウハウ

    AIが不正検知にも進出?メリットや注意点、ソリューション事例をご紹介
  5. 不正アクセス

    【即解決】動画配信サービス(VOD)の乗っ取り・不正アクセス被害の対処法・対策法…
PAGE TOP