不正アクセス

不正アクセスの手口とは?2019年の不正アクセス行為の発生状況と併せて解説

WebメディアやTVのニュースでも取り上げられている「不正アクセス」。

国家公安委員会、総務省、経済産業省の調査によると、その件数は年々増加中。
国内導入数No.1の不正検知システムを提供するかっこ株式会社も、先日行われた講演「O-MOTION Securitydays」の中で「2015年から2019年までの4年間で不正アクセスの被害は11倍にも増加している」と指摘し、警鐘を鳴らしました。

こうした状況の中で、被害を食い止めるためには、少しでも早い不正アクセス対策を立てる必要があります。
そこで、この記事では不正アクセスの現状と手口を紹介。手口を理解することで、不正アクセスへの理解を深めていただきたいと思います。

※不正アクセスの対策や不正アクセス禁止法に関してはこちらの関連記事で解説しています。

不正アクセスの現状

「不正アクセス」とは権限を持たない人物が第三者の情報やサーバーなどにアクセスすることです。

ここで指す第三者の情報やサーバーは多岐に渡り、身近なものでは通販サイトのマイページやクレジットカードの会員サイト、スマートフォンなどが挙げられます。
不正者はこれらにアクセスし、個人情報を盗用したり、情報そのものを売買したりします。第三者が個人になりかわる「なりすまし」も不正アクセスによる被害の一種です。

まずは不正アクセスの現状を理解していくために、国家公安委員会、総務省、経済産業省が2020年3月5日に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を見てみましょう。

参考:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況│総務省

これを見ると、2019年における不正アクセス行為の認知件数は2960件。2018年の件数は1474件なので、99.2%も増加したことになります。これは、過去5年間で最多の件数です。
また、この発表には不正アクセス後に行われた行為別の内訳も記載されており、内容と件数は以下の通りです。

インターネットバンキングでの不正送金など・・・前年から約5.5倍増加、最多の1808件
インターネットショッピングでの不正購入・・・376件
メールの盗み見などの情報の不正入手・・・329件

不正送金や不正購入など、事業者にとって防ぎたい被害が多発していますね。
このような被害はどういった手口で行われているのでしょうか。次項から不正アクセスの具体的な手口を解説します。

不正アクセスの主な手口

不正アクセスの主な手口として挙げられるのは

  1. システムの脆弱性を狙った不正アクセス
  2. ウイルスを利用した不正アクセス
  3. なりすましによる不正アクセス
  4. フィッシングを使った不正アクセス

の3つです。

1.システムの脆弱性を狙った不正アクセス

事業者は業務を行う中で、様々なソフトやサーバーなどのシステムを使用します。
不正者はそのシステムの構造や内容を精査し、脆弱性を狙って不正アクセスを実行。個人情報を盗取したり、システムを改ざんしたりします。

システムの脆弱性を抑えるにはOSやアプリケーション、セキュリティソフトなどの更新を徹底し、常に最新のセキュリティを整えることが必要です。

補足ですが、ニュースなどで「フォームジャッキング」という不正被害を耳にした方も多いかと思います。
フォームジャッキングは情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法のことです。
先ほどお伝えした”不正アクセスの後、システムを改ざんするケース”はこのフォームジャッキングにあたります。

フォームジャッキングについてはこちらの関連記事でより詳しく解説しています。

2.ウイルスを利用した不正アクセス

事業者や個人にウイルスを送り付け、不正者の侵入経路を確保する手口もあります。

ウイルスに感染させる方法は様々です。メールなどにウイルスの感染源となるURLを記載し、受信者がそれを開いた場合に自動感染させるものや、添付ファイルを開くことで作用するものもあります。

こういったウイルスの送信は特定の相手をターゲットにする場合や、不特定多数に対して一斉に仕掛けるケースもあります。
不審な送信者からのメールに注意を配り、URLや添付ファイルを安易に開かないよう意識しましょう。

3.なりすましによる不正アクセス

ユーザーの個人情報がすでに漏洩してしまっていた場合、それを第三者が利用し「なりすまし」という形で不正アクセスされてしまう可能性があります。

第三者によるアクセスでも、正規のユーザーIDとパスワードを使われた場合、不正なアクセスや商品購入に気づくのは困難です。
そこで、SMSで送られるワンタイムパスワードの入力や、秘密の質問への回答でのユーザー認証、不正検知システムの導入などで対策をとるのが現実的です。

なりすましに関してはこちらの記事でも解説しています。

また、漏洩した情報が、ダークウェブ上の違法取引サイトなどで売買される可能性も無視できません。ユーザーが複数のサイトで同じIDやパスワードを設定していた場合、さらに被害は拡大します。

4.フィッシングを使った不正アクセス

知名度の高い企業を装ってフェイクサイトを作り、そこに個人情報を入力させるフィッシングという手口もあります。
この手口の中には、ユーザーが個人情報を自ら入力するよう促すだけでなく、パソコンやスマートフォンにウイルスをダウンロードさせるものもあります。

事業者としてできる対応は、ユーザーにサービスのブックマークや公式アプリのダウンロードを呼びかけ、フィッシングサイトにアクセスする機会を減らすこと。
また、盗取された情報による不正アクセスに気づき、被害を食い止めることが挙げられます。

被害が発生する前に不正アクセスの対策を

この記事では不正アクセスの手口に注目して詳しくまとめました。

その中で軽く触れましたが、ユーザー側でできる対策としては

  1. 強固なパスワードの設定と流出時のパスワード更新
  2. OSやアプリケーション、セキュリティソフトなどの最新化
  3. 不正ログイン対策を行っている事業者の利用
  4. ログイン履歴やクレジットカードの利用明細などの定期確認

などが挙げられます。
事業者はこういった知識をユーザーに伝え、注意を促すのも1つの方法です。

また事業者側では、

  1. パーミッション(ディレクトリやファイルへのアクセス権限)の設定
  2. ファイアウォールや侵入防止システム(IPS)の導入
  3. 不正検知システムの導入

といった対策が可能です。

どれだけのコストをかけて対策すべきか、実害の発生前では判断しにくいケースもあるかもしれません。しかし、実際に被害が発生してしまうとその後の対応にも追われてしまいますし、ユーザーとの信頼関係にも悪影響を及ぼしかねません。

不正アクセスへの対策は、被害が発生する前に可能な限り行いましょう。不正対策をしているという事実が不正者を遠ざけることにも繋がります。
以下の記事では先ほど挙げた方法や、現実的に導入しやすい対策について解説しています。ぜひ併せてご覧ください。

補足ですが、冒頭でご紹介した国内導入数No.1の実績を持つかっこ株式会社では、不正検知システム導入に関する無料相談を実施しています。

不正検知システムも様々ですが、独自ノウハウや蓄積データを用いて不審な点がないかリアルタイムで判断でき、不正アクセスの手口としてご紹介した第三者によるなりすましにも対応可能なサービスもあります。

不正アクセスは被害発生前に対策をするのが理想的です。導入を検討されている方はぜひこちらのページもご一読ください。

\10万円でトライアルも受付中!/
トライアルのお申込はこちら


\1万円でトライアルも受付中!/
トライアルのお申込はこちら

ピックアップ記事

  1. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!
  2. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!
  3. クレジットカードにセキュリティコード(SC)がある理由を解説
  4. EC事業者が対策したい「カゴ落ち」とは
  5. なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 

関連記事

  1. Woman hold digital tablet online shopping to digital cart with global network connection. Intelligent E-commerce app, internet banking payment and financial technology enable lifestyle convenience.

    不正アクセス

    通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策とは?

    2015年から2019年の4年間で、会員サイトへの不正アクセス…

  2. 不正アクセス

    なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について 

    窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。…

  3. 不正アクセス

    ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説

    「高額な費用をかけてまで、セキュリティ対策はすべきもの?」「そもそ…

  4. クレジットカード不正 手口

    不正アクセス

    リスクベース認証とは?仕組みやメリット・デメリットをまとめて解説!

    「リスクベース認証とは何か知りたい」「リスクベース認証の導入メリッ…

  5. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#001 〜あなたの会社も狙…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

  6. 不正アクセス

    不正アクセスを防ぐ4つの対策とは|被害事例や最新の動向も解説

    この記事では不正アクセスを防ぐ対策として、4つの対策をご紹介します。…

おすすめ記事

  1. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスク…
  2. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策…
  3. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5…
  4. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解…
  5. eKYCとは?注目が集まる3つの理由や、メリット・デメリット…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. ニュース・業界動向

    日本クレジット協会が発表した令和元年9月クレジットカードの利用状況について
  2. ニュース・業界動向

    日本クレジット協会が発表した令和2年11月クレジットカードの利用状況について
  3. 不正検知・ノウハウ

    金融業界における不正検知。必要性やソリューションを解説
  4. 不正検知・ノウハウ

    PSPとは?決済サービスプロバイダーの導入メリットと契約手順
  5. 2021年最新 クレジットカード不正利用

    データ&レポート

    【2021年最新】クレジットカードの不正利用の発生状況と不正被害額まとめ
PAGE TOP