不正アクセス

不正アクセスを防ぐ4つの対策とは|被害事例や最新の動向も解説

この記事では不正アクセスを防ぐ対策として、4つの対策をご紹介します。
また、被害事例や最新の動向、仮に不正アクセスが発生した際の対応も解説します。
サブスクリプションモデルなど、ECをはじめとしたWeb上で会員情報を管理しているサービス提供事業者の方は、ぜひご一読ください。

不正アクセスとは

不正アクセスとはサイバー攻撃の1つ。
詳しくはこちらの図をご覧ください。

この記事では不正アクセスの対策をお話します。

この図の通り、不正アクセスは

  • 本来アクセス権がない者からのアクセス
  • 事業者が禁止している方法でのアクセス

の2種類にわけられます。
手口としてはさらに細かく分類ができ、不正ログインや不正会員登録などが挙げられます。

「なりすまし」も不正アクセスの一種

メディアやニュースで取り上げられる「なりすまし」も、不正アクセスの1つです。

なりすましを行う不正者は、過去に流出したID・パスワードをダークウェブ等から入手し、不正ログイン・不正会員登録を行います。

サービス提供事業者は、不正者が行うID・パスワードの収集を取りしまることはできません。
不正者の動向はつかめませんし、ユーザーがどれだけID・パスワードの使いまわしをしているか把握することも不可能です。
また、自社からでなくても1度流出した情報を規制することは困難です。

そこで現実的にできるものとしては、

  • 不正ログイン・不正会員登録を行えないようにする
  • 第三者がなりすますのを防ぐ

といった対応が挙げられます。

不正者には不正アクセス禁止法により法的措置がとられる

不正アクセスを行った不正者は「不正アクセス禁止法」によって法的措置がとられます。

不正アクセス禁止法の対象行為は不正アクセスだけでなく、不正アクセス行為につながる識別符号の不正取得・保管行為、助長行為も同様です。

罪状は、

  • 不正取得罪
  • 不正助長罪
  • 不正保管罪
  • 不正入力要求罪

などが挙げられます。

上記の罪状は、どれも基本的には「一年以下の懲役又は五十万円以下の罰金に処する」とされています。

参考:不正アクセス行為の禁止等に関する法律│電子政府の総合窓口(e-Gov)

サイバー攻撃(不正アクセス)を防止する4つの対策

では、そのサイバー攻撃(不正アクセス)を防止する対策をご紹介します。
大きくわけて、4つあります。

1.サーバー上のソフトウェア更新

まず、利用しているアプリケーションのバージョンが最新になるようにアップデートを行うようにしましょう。
そうすることで、アプリケーションにセキュリティの穴があった場合も修正され、リスクを軽減することができます。

2.サーバー上の不要なサービスの停止

サーバー上の不要なサービスを停止しておくことで、不正者が狙える脆弱性を減らせます。
必要なものだけを管理するよう、心がけましょう。

3.不正対策製品の導入

不正対策製品の導入も効果的です。

様々な種類があり、それぞれ違った効果が見込めます。

今回は、

  • ファイアウォールおよびIDS・IPS
  • WAF
  • 認証サービス
  • 不正検知システム

の4つをご紹介します。

ファイアウォールおよびIDS・IPS

ファイアウォールおよびIDS・IPSは、どれも守備範囲が異なり、それぞれネットワーク層の防御強化に役立ちます。

ファイアウォールとは、企業などの社内ネットワークとインターネットとの境界に設置される、内外の通信を中継・監視するソフトウェアや機器、システムです。
外部(インターネット)からの不正なアクセスや攻撃から、内部(社内ネットワーク)を保護するための防護壁の役割を担います。
「ポートスキャン」や「バックドアアクセス」と呼ばれるサイバー攻撃を防ぎます。

IDS(Intrusion Detection System)とは、不正侵入検知システムのことです。アクセスの内容から不正な侵入かどうかを検出し、管理者へ通知します。
IPS(Intrusion Prevention System)とは、不正侵入防止システムのことです。不審であると判断された場合、侵入を遮断します。
複数のコンピュータから大量のデータを送りつけ、正常にシステムが動作できない状態に追い込むサイバー攻撃「DDoS攻撃」への対策となります。

▼漫画コンテンツでも解説していますので併せてご覧ください。

WAF

WAFはWebサイト上のアプリケーションに特化したファイアウォールです。
アプリケーションの脆弱性を悪用した攻撃からアプリケーションを保護できるため、サイバー攻撃対策として効果が見込めます。
Webサイトを改ざんするサイバー攻撃「フォームジャッキング」や、Webアプリケーションの入力画面で不適切なSQLを入力し予期しない動作を実行させる「SQLインジェクション」の対策として導入されています。

▼こちらも漫画コンテンツがあります。

認証サービス

認証サービスを導入すると、ログイン時にID・パスワードだけでなく他の情報で本人確認が行えます。
しかし、常に複雑な認証を求めると利便性が低くなります。使い勝手が悪くなり、ユーザーが離れてしまうのは見過ごせませんね。
そこで、実際には不審なアクセスのみに認証を求める不正検知システムを導入が現実的です。

不正検知システム

不正検知システムとは取引データや各サービスのノウハウから不正を検知するツールです。
詳細は各サービス毎に異なりますが、現状、不正アクセス対策に効果的な手段です。

例えば当サイトを運営するかっこ株式会社の「O-MOTION」であれば、端末を独自の技術で特定管理。ユーザーの操作情報から不正傾向をリアルタイムで判定できます。
正常なユーザーは今までと変わらず、不審なアクセスのみに対応するので、ユーザーには負担をかけずに対策がとれます。
不正アクセスの中でも「なりすまし」への対策効果が見込めるため、非常におすすめです。

不正ログイン検知ソリューション

また、不正検知システムについてはこちらの記事で詳しく紹介していますので、ご興味がある方は是非ご一読ください。

4.社内のリテラシー向上

社内のリテラシー向上も不正アクセス対策に有効です。
とくに今はリモートワーク対応で、社外にID・パスワードなどの情報を持ち出すことも増えたのではないでしょうか。

不正者はそれを狙い攻撃をしかけるケースもあります。
社外への持ち出しが多い端末には、ユーザ名やパスワードを記憶させないよう徹底しましょう。
いざという時の社内フローを決めておくのも有効です。

企業ができる不正アクセスの対策についてはこちらの記事ても詳細をまとめていますので是非ご覧ください。

不正アクセスされてしまった場合の対応

対策と共に、不正アクセスされてしまった場合についても考えておきましょう。
ここでは模範的な対応手順をご紹介します。

1.被害拡大防止のためにサーバーの遮断を行う

不正アクセスされたことに気付いたら、まずは被害拡大防止のためにサーバーの遮断を行いましょう。
不正アクセスされた際、ECサイトは被害者であると同時に情報を漏洩する加害者になってしまう面もあります。
ユーザーへの被害を少しでも減らせるよう、迅速に対応しましょう。

2.情報流出内容を確認し関係各所に連絡

次に情報流出内容を確認し関係各所に連絡しましょう。
関係各所とは

  • 顧客
  • 取引先
  • 関連事業者
  • 警察官庁

などが挙げられます。

3.原因を調査し、証拠を保存

関係各所への連絡が終わったら、原因を調査します。
正しく原因を把握できれば対策がたてられますし、想像以上に被害が発生していたという事態も防げます。

また、可能な限り証拠も保存しましょう。
不正者を追うのに役立ちます。

4.復旧作業を行う

最後に、復旧作業を行います。
不正アクセスが発生した際、一時的にサーバーやシステムを遮断することもあります。
ユーザーには調査が終わったことを伝え、安全に利用できる状況を確保しましょう。

不正アクセスの動向

先日行われた株式会社サイバーセキュリティクラウドとかっこ株式会社のオンラインセミナーにて不正アクセス・サイバー攻撃は増加傾向にあると指摘されました。

▼セミナー詳細はこちらの記事をご覧ください。

「Webサーバーへの攻撃」という大きなくくりではありますが、2020年5月から8月までの計測で1日平均96万件もの攻撃が確認されました。

さらに、不正アクセスによる大きな被害が確認されています。
例えば2020年9月7日に公開・公表されたネット証券の事例では、第三者が何らかの方法で取得した顧客のログインIDやパスワードを用いて、不正アクセスを実行。
金融機関口座を変更して、1件あたり149万円の不正を行ったとされています。

また、2020年9月30日にはサロン向け通販サイトで、システムの脆弱性を突くサイバー攻撃が行われました。
期間中にサイトを利用しクレジットカード決済を行ったユーザー、12人分の情報が流出した可能性があるそうです。情報はクレジットカードの番号や名義だけでなく、セキュリティーコードまで含まれています。

このように、不正アクセス・サイバー攻撃は日々行われており、仮に発生した場合は大きな被害を被る可能性が高いのです。

不正アクセス対策は被害が発生する前に導入を

不正アクセスへの対策をご紹介しましたが、最も望ましいのは被害を発生させないことです。

被害発生前にリソースをさくのは運営上、難しい部分もあるかもしれません。
しかし、対策をすればするほど不正者を遠ざけることも、ユーザーに安心してもらうこともできます。

この記事でもご紹介したように、サイバー攻撃を防ぐための手段はいくつかあるので、自社のサービス内容や状況に合わせて選びましょう。
最適な手法を選定してサイバー攻撃から顧客の情報を守ることは、自社サービスやブランド守ることにも繋がります。

この記事で不正アクセスに対し興味を持ってくださった方は、ぜひこちらの漫画コンテンツもぜひご覧ください。
「大人も知らないインターネットセキュリティ」と題し、どこよりもわかりやすくインターネットセキュリティの全容を解説しています。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

ピックアップ記事

  1. 【購入者向け】受取拒否や身に覚えのない荷物への対応について
  2. テレワーク時代における効果的なセキュリティ対策について
  3. 不正アクセスを検知する「不正検知システム」とは?
  4. 不正検知システムとは?「クレジットカード等の決済前に危険性判断する」仕組みや導入…
  5. 旅行事業者・旅行者が知っておくべき「不正トラベル対策」

関連記事

  1. 不正アクセス

    不正アクセスを防止する方法は?今すぐ対策を解説

    不正アクセスを防止する具体的な方法はあるのでしょうか?この記事では…

  2. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#001 〜あなたの会社も狙…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

  3. 不正アクセス

    不正アクセスの手口とは?2019年の不正アクセス行為の発生状況と併せて解説

    WebメディアやTVのニュースでも取り上げられている「不正アクセス」。…

  4. 不正アクセス

    不正アクセスを検知する「不正検知システム」とは?

    一度発生すると大きな被害が予想される不正アクセス。2020年だけで…

  5. 不正アクセス

    O-MOTION 講演レポート(Security Days 2020)#003 〜あなたの会社も狙わ…

    最新のセキュリティをテーマにしたカンファレンスとして定評のある「Sec…

  6. 不正アクセス

    生体認証だけでは不正アクセスは防げない?決して完璧ではない理由

    テクノロジーの発達により、本人確認の手段は多様化しています。比…

おすすめ記事

  1. 不正アクセスを検知する「不正検知システム」とは?
  2. 不正アクセスの手口とは?2019年の不正アクセス行為の発生状…
  3. 生体認証だけでは不正アクセスは防げない?決して完璧ではない理…
  4. テレワーク時代における効果的なセキュリティ対策について
  5. なりすましによる不正アクセスの被害内容と具体的な対策(不正検…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正検知・ノウハウ

    【QR決済の動向】QRコード決済は今後も増加が見込める形に
  2. 不正検知・ノウハウ

    通信サービス料金と合算で支払いができるキャリア決済。契約者が利用するメリット・デ…
  3. データ&レポート

    日本クレジット協会が発表した令和元年11月クレジットカードの利用状況について
  4. チャージバック

    チャージバックとは?クレジットカードの不正利用による消費者の損害を防ぐ仕組み
  5. 不正検知・ノウハウ

    改正割賦販売法の内容とは?実行計画も含めて解説
PAGE TOP