WebメディアやTVのニュースでも取り上げられている「不正アクセス」。
国家公安委員会、総務省、経済産業省の調査によると、その件数は年々増加中。
国内導入数No.1の不正検知システムを提供するかっこ株式会社も、先日行われた講演「O-MOTION Securitydays」の中で「2015年から2019年までの4年間で不正アクセスの被害は11倍にも増加している」と指摘し、警鐘を鳴らしました。(レポートはこちら)
こうした状況の中で、被害を食い止めるためには、少しでも早い不正アクセス対策を立てる必要があります。
そこで、この記事では不正アクセスの現状と手口を紹介。手口を理解することで、不正アクセスへの理解を深めていただきたいと思います。
なお、不正アクセスの種類やリスク詳細はこちらの記事もぜひご覧ください。
目次
不正アクセスの現状
「不正アクセス」とは権限を持たない人物が第三者の情報やサーバーなどにアクセスすることです。
ここで指す第三者の情報やサーバーは多岐に渡り、身近なものでは通販サイトのマイページやクレジットカードの会員サイト、スマートフォンなどが挙げられます。
不正者はこれらにアクセスし、個人情報を盗用したり、情報そのものを売買したりします。第三者が個人になりかわる「なりすまし」も不正アクセスによる被害の一種です。
まずは不正アクセスの現状を理解していくために、国家公安委員会、総務省、経済産業省が2020年3月5日に発表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を見てみましょう。
参考:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況│総務省
これを見ると、2019年における不正アクセス行為の認知件数は2960件。2018年の件数は1474件なので、99.2%も増加したことになります。これは、過去5年間で最多の件数です。
また、この発表には不正アクセス後に行われた行為別の内訳も記載されており、内容と件数は以下の通りです。
インターネットバンキングでの不正送金など・・・前年から約5.5倍増加、最多の1808件
インターネットショッピングでの不正購入・・・376件
メールの盗み見などの情報の不正入手・・・329件
不正送金や不正購入など、事業者にとって防ぎたい被害が多発していますね。
このような被害はどういった手口で行われているのでしょうか。次項から不正アクセスの具体的な手口を解説します。
不正アクセスの主な手口
不正アクセスの主な手口として挙げられるのは
- システムの脆弱性を狙った不正アクセス
- ウイルスを利用した不正アクセス
- なりすましによる不正アクセス
- フィッシングを使った不正アクセス
の4つです。
1.システムの脆弱性を狙った不正アクセス
事業者は業務を行う中で、様々なソフトやサーバーなどのシステムを使用します。
不正者はそのシステムの構造や内容を精査し、脆弱性を狙って不正アクセスを実行。個人情報を盗取したり、システムを改ざんしたりします。
システムの脆弱性を抑えるにはOSやアプリケーション、セキュリティソフトなどの更新を徹底し、常に最新のセキュリティを整えることが必要です。
補足ですが、ニュースなどで「フォームジャッキング」という不正被害を耳にした方も多いかと思います。
フォームジャッキングは情報を盗むためのコードをECサイトなどの注文情報入力フォームに仕掛け、決済ページや購入ページからクレジットカード情報を盗みだす手法のことです。
先ほどお伝えした”不正アクセスの後、システムを改ざんするケース”はこのフォームジャッキングにあたります。
フォームジャッキングについてはこちらの関連記事でより詳しく解説しています。
2.ウイルスを利用した不正アクセス
事業者や個人にウイルスを送り付け、不正者の侵入経路を確保する手口もあります。
ウイルスに感染させる方法は様々です。メールなどにウイルスの感染源となるURLを記載し、受信者がそれを開いた場合に自動感染させるものや、添付ファイルを開くことで作用するものもあります。
こういったウイルスの送信は特定の相手をターゲットにする場合や、不特定多数に対して一斉に仕掛けるケースもあります。
不審な送信者からのメールに注意を配り、URLや添付ファイルを安易に開かないよう意識しましょう。
3.なりすましによる不正アクセス
ユーザーの個人情報がすでに漏洩してしまっていた場合、それを第三者が利用し「なりすまし」という形で不正アクセスされてしまう可能性があります。
第三者によるアクセスでも、正規のユーザーIDとパスワードを使われた場合、不正なアクセスや商品購入に気づくのは困難です。
そこで、SMSで送られるワンタイムパスワードの入力や、秘密の質問への回答でのユーザー認証、不正検知システムの導入などで対策をとるのが現実的です。
なりすましに関してはこちらの記事でも解説しています。
また、漏洩した情報が、ダークウェブ上の違法取引サイトなどで売買される可能性も無視できません。ユーザーが複数のサイトで同じIDやパスワードを設定していた場合、さらに被害は拡大します。
ダークウェブについて詳しく知りたい方は以下の記事を参考にしてください。
4.フィッシングを使った不正アクセス
知名度の高い企業を装ってフェイクサイトを作り、そこに個人情報を入力させるフィッシングという手口もあります。
この手口の中には、ユーザーが個人情報を自ら入力するよう促すだけでなく、パソコンやスマートフォンにウイルスをダウンロードさせるものもあります。
事業者としてできる対応は、ユーザーにサービスのブックマークや公式アプリのダウンロードを呼びかけ、フィッシングサイトにアクセスする機会を減らすこと。
また、盗取された情報による不正アクセスに気づき、被害を食い止めることが挙げられます。
被害が発生する前に不正アクセスの対策を
この記事では不正アクセスの手口に注目して詳しくまとめました。
その中で軽く触れましたが、ユーザー側でできる対策としては
- 強固なパスワードの設定と流出時のパスワード更新
- OSやアプリケーション、セキュリティソフトなどの最新化
- 不正ログイン対策を行っている事業者の利用
- ログイン履歴やクレジットカードの利用明細などの定期確認
などが挙げられます。
事業者はこういった知識をユーザーに伝え、注意を促すのも1つの方法です。
また事業者側では、
- パーミッション(ディレクトリやファイルへのアクセス権限)の設定
- ファイアウォールや侵入防止システム(IPS)の導入
- 不正検知システムの導入
といった対策が可能です。
どれだけのコストをかけて対策すべきか、実害の発生前では判断しにくいケースもあるかもしれません。しかし、実際に被害が発生してしまうとその後の対応にも追われてしまいますし、ユーザーとの信頼関係にも悪影響を及ぼしかねません。
不正アクセスへの対策は、被害が発生する前に可能な限り行いましょう。不正対策をしているという事実が不正者を遠ざけることにも繋がります。
以下の記事では先ほど挙げた方法や、現実的に導入しやすい対策について解説しています。ぜひ併せてご覧ください。
補足ですが、冒頭でご紹介した国内導入数No.1の実績を持つかっこ株式会社では、不正検知システム導入に関する無料相談を実施しています。
不正検知システムも様々ですが、独自ノウハウや蓄積データを用いて不審な点がないかリアルタイムで判断でき、不正アクセスの手口としてご紹介した第三者によるなりすましにも対応可能なサービスもあります。
不正アクセスは被害発生前に対策をするのが理想的です。導入を検討されている方はぜひこちらのページもご一読ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら