不正アクセス

不正アクセスの手口とは?多様化する不正アクセスの発生状況や手口と検知対策も併せて解説

WebメディアやTVのニュースでも取り上げられている「不正アクセス」。

国家公安委員会、総務省、経済産業省の調査によると、その件数は年々増加中。
国内導入数No.1の不正検知システムを提供するかっこ株式会社も、先日行われた講演「O-MOTION Securitydays」の中で「2015年から2019年までの4年間で不正アクセスの被害は11倍にも増加している」と指摘し、警鐘を鳴らしました。(レポートはこちら

こうした状況の中で、被害を食い止めるためには、少しでも早い不正アクセス対策を立てる必要があります。
そこで、この記事では不正アクセスの現状と手口を紹介。手口を理解することで、不正アクセスへの理解を深めていただきたいと思います。

なお、不正アクセスの種類やリスク詳細はこちらの記事もぜひご覧ください。

不正アクセスの現状

「不正アクセス」とは権限を持たない人物が第三者の情報やサーバーなどにアクセスすることです。

ここで指す第三者の情報やサーバーは多岐に渡り、身近なものでは通販サイトのマイページやクレジットカードの会員サイト、スマートフォンなどが挙げられます。
不正者はこれらにアクセスし、個人情報を盗用したり、情報そのものを売買したりします。第三者が個人になりかわる「なりすまし」も不正アクセスによる被害の一種です。

まずは不正アクセスの現状を理解していくために、国家公安委員会、総務省、経済産業省が2020年3月5日に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を見てみましょう。

参考:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況│総務省

これを見ると、2019年における不正アクセス行為の認知件数は2960件。2018年の件数は1474件なので、99.2%も増加したことになります。これは、過去5年間で最多の件数です。
また、この発表には不正アクセス後に行われた行為別の内訳も記載されており、内容と件数は以下の通りです。

インターネットバンキングでの不正送金など・・・前年から約5.5倍増加、最多の1808件
インターネットショッピングでの不正購入・・・376件
メールの盗み見などの情報の不正入手・・・329件

不正送金や不正購入など、事業者にとって防ぎたい被害が多発していますね。
このような被害はどういった手口で行われているのでしょうか。次項から不正アクセスの具体的な手口を解説します。

不正アクセスの主な手口

不正アクセスの主な手口として挙げられるのは

  1. システムの脆弱性を狙った不正アクセス
  2. ウイルスを利用した不正アクセス
  3. なりすましによる不正アクセス
  4. フィッシングを使った不正アクセス

の3つです。

1.システムの脆弱性を狙った不正アクセス

事業者は業務を行う中で、様々なソフトやサーバーなどのシステムを使用します。
不正者はそのシステムの構造や内容を精査し、脆弱性を狙って不正アクセスを実行。個人情報を盗取したり、システムを改ざんしたりします。

システムの脆弱性を抑えるにはOSやアプリケーション、セキュリティソフトなどの更新を徹底し、常に最新のセキュリティを整えることが必要です。

補足ですが、ニュースなどで「フォームジャッキング」という不正被害を耳にした方も多いかと思います。
フォームジャッキングは情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法のことです。
先ほどお伝えした”不正アクセスの後、システムを改ざんするケース”はこのフォームジャッキングにあたります。

フォームジャッキングについてはこちらの関連記事でより詳しく解説しています。

2.ウイルスを利用した不正アクセス

事業者や個人にウイルスを送り付け、不正者の侵入経路を確保する手口もあります。

ウイルスに感染させる方法は様々です。メールなどにウイルスの感染源となるURLを記載し、受信者がそれを開いた場合に自動感染させるものや、添付ファイルを開くことで作用するものもあります。

こういったウイルスの送信は特定の相手をターゲットにする場合や、不特定多数に対して一斉に仕掛けるケースもあります。
不審な送信者からのメールに注意を配り、URLや添付ファイルを安易に開かないよう意識しましょう。

3.なりすましによる不正アクセス

ユーザーの個人情報がすでに漏洩してしまっていた場合、それを第三者が利用し「なりすまし」という形で不正アクセスされてしまう可能性があります。

第三者によるアクセスでも、正規のユーザーIDとパスワードを使われた場合、不正なアクセスや商品購入に気づくのは困難です。
そこで、SMSで送られるワンタイムパスワードの入力や、秘密の質問への回答でのユーザー認証、不正検知システムの導入などで対策をとるのが現実的です。

なりすましに関してはこちらの記事でも解説しています。

また、漏洩した情報が、ダークウェブ上の違法取引サイトなどで売買される可能性も無視できません。ユーザーが複数のサイトで同じIDやパスワードを設定していた場合、さらに被害は拡大します。

ダークウェブについて詳しく知りたい方は以下の記事を参考にしてください。

4.フィッシングを使った不正アクセス

知名度の高い企業を装ってフェイクサイトを作り、そこに個人情報を入力させるフィッシングという手口もあります。
この手口の中には、ユーザーが個人情報を自ら入力するよう促すだけでなく、パソコンやスマートフォンにウイルスをダウンロードさせるものもあります。

事業者としてできる対応は、ユーザーにサービスのブックマークや公式アプリのダウンロードを呼びかけ、フィッシングサイトにアクセスする機会を減らすこと。
また、盗取された情報による不正アクセスに気づき、被害を食い止めることが挙げられます。

被害が発生する前に不正アクセスの対策を

この記事では不正アクセスの手口に注目して詳しくまとめました。

その中で軽く触れましたが、ユーザー側でできる対策としては

  1. 強固なパスワードの設定と流出時のパスワード更新
  2. OSやアプリケーション、セキュリティソフトなどの最新化
  3. 不正ログイン対策を行っている事業者の利用
  4. ログイン履歴やクレジットカードの利用明細などの定期確認

などが挙げられます。
事業者はこういった知識をユーザーに伝え、注意を促すのも1つの方法です。

また事業者側では、

  1. パーミッション(ディレクトリやファイルへのアクセス権限)の設定
  2. ファイアウォールや侵入防止システム(IPS)の導入
  3. 不正検知システムの導入

といった対策が可能です。

どれだけのコストをかけて対策すべきか、実害の発生前では判断しにくいケースもあるかもしれません。しかし、実際に被害が発生してしまうとその後の対応にも追われてしまいますし、ユーザーとの信頼関係にも悪影響を及ぼしかねません。

不正アクセスへの対策は、被害が発生する前に可能な限り行いましょう。不正対策をしているという事実が不正者を遠ざけることにも繋がります。
以下の記事では先ほど挙げた方法や、現実的に導入しやすい対策について解説しています。ぜひ併せてご覧ください。

補足ですが、冒頭でご紹介した国内導入数No.1の実績を持つかっこ株式会社では、不正検知システム導入に関する無料相談を実施しています。

不正検知システムも様々ですが、独自ノウハウや蓄積データを用いて不審な点がないかリアルタイムで判断でき、不正アクセスの手口としてご紹介した第三者によるなりすましにも対応可能なサービスもあります。

不正アクセスは被害発生前に対策をするのが理想的です。導入を検討されている方はぜひこちらのページもご一読ください。

O-MOTION 仕組み紹介

初期費用150万が10万円になるトライアルキャンペーン受付中!
O-MOTIONの資料DLはこちら

ピックアップ記事

  1. 不正アクセスを検知する「不正検知システム」とは?
  2. 【購入者から見る後払い決済】利用手順やメリット・デメリット、未払い時の対応は?
  3. クレジットカードにセキュリティコード(SC)がある理由を解説
  4. テレワーク時代における効果的なセキュリティ対策について
  5. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解説!

関連記事

  1. メタップス 情報漏洩

    不正アクセス

    クレジットカード決済基盤を提供する「メタップスペイメント」で情報漏洩|最善の不正アクセス対策とは?

    クレジットカードの決済基盤を提供する「株式会社メタップスペイメント」は…

  2. 個人情報漏洩事件 一覧

    不正アクセス

    【2022年最新】個人情報漏洩事件・被害事例まとめ

    個人情報漏洩の被害は年を重ねるたびに止まることなく増加傾向にあります。…

  3. 不正アクセス

    なりすましとは?定義や4つの手口、5つの事例、対策方法を解説

    「なりすましとは、そもそもなんだろう」「手口や被害に遭わない方法を…

  4. 不正アクセス

    キャッシュレス決済で不正利用された例4つ!手口の詳細や対策も解説

    「キャッシュレス決済では、不正利用されることもあるの?」「キャッシ…

  5. 不正アクセス

    不正アクセス禁止法とは?事例や対処・予防方法について紹介!

    「不正アクセス禁止法ってどんな法律なんだろう?」「具体的にどんな行…

今すぐできる!不正リスクの無料セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
いざという時に。不正アクセス被害後の対応手順マニュアル

おすすめ記事

  1. 不正アクセスとは? 主な原因や巧妙な手口、4つの対策例を紹介…
  2. 【2022年最新】クレジットカードの不正利用被害は過去最高額…
  3. クレジットマスターの手口や被害とは?不正利用を防ぐための対策…
  4. 転売屋対策に効果のある9つの方法を紹介!転売が引き起こすリス…
  5. 不正検知サービスは無料で利用できる?価格を抑えて導入する方法…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. ニュース・業界動向

    2020年度以降の「クレジットカード取引等におけるセキュリティ対策の取組方針」が…
  2. 不正アクセス

    不正アクセスを検知する「不正検知システム」とは?
  3. 不正検知・ノウハウ

    旅行事業者・旅行者が知っておくべき「不正トラベル対策」
  4. Secure data processing concept with motherboard and virtual processor.

    3Dセキュア

    3Dセキュア2.0(EMV 3Dセキュア)とは?1.0との違いや目玉機能「リスク…
  5. 不正検知・ノウハウ

    【QR決済の動向】QRコード決済は今後も増加が見込める形に
PAGE TOP