不正アクセスされないために絶対に知っておきたい対策

2019.10.10

セキュリティ対策

Unauthorized-login-measures

2019年7月、バーコード決済サービス「7pay」の一部のアカウントが第三者に不正アクセスされる被害が判明し、大きな話題となりました。

これは、第三者が「7pay」利用者のアカウントに不正にアクセスして本人になりすまし、登録されたクレジットカードから当該アカウントにチャージを行い、セブン‐イレブン店舗にて商品を購入する等の被害が確認されたというものです。

不正アクセスが疑われる人数は約900名、被害額は約5,500万円になると試算され、株式会社セブン&アイ・ホールディングス他関連会社は、全ての被害に対して補償を行うとしています。

 

このような「不正アクセス」による被害は、インターネットが普及し生活が便利になったことに比例して、年々増加しています。
今回は、この個人をはじめ国や大企業を脅かすサイバー攻撃の代表格「不正アクセス」による被害、対策方法について解説していきます。

 

目次

増え続ける不正アクセスとは

不正アクセスとは、正規に利用する権限を与えられていないコンピューターに対して、不正に接続しようとすること、また実際にそのコンピューターに侵入したり、利用したりする行為を指します。
日本では、1999年に「不正アクセス行為の禁止等に関する法律」(通称:不正アクセス禁止法)が成立しました。
この法律では、「侵入行為」「なりすまし行為」、そして「持ち主の許可を得ずにIDおよびパスワードを第三者に提供する行為」を不正アクセスであると定義しています。

また、これには「3年以下の懲役又は100万円以下の罰金」という罰則もあります。つまり、不正アクセスは処罰される可能性のある犯罪行為ということです。

不正アクセスに関するデータや被害件数については、様々な機関から情報が発表されています。
警察庁の「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、平成30年における不正アクセス行為の認知件数は1,486件で、平成26年と比較して約58.1%減少したものの、前年から284件増加しています。

不正アクセス行為の手口としては、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が最も多く(278件)、次いで「識別符号を知り得る立場にあった元従業員や知人等によるもの」(131件)となっており、平成26年と比較するとそれぞれ約3.3倍、約2.8倍となっています。

http://www.npa.go.jp/cyber/pdf/h310322_access.pdf

個人も要注意!不正アクセスの恐怖-被害事例6選!

TVや各種報道でも、不正アクセスの被害に関するニュースを目にすることが多くなりました。

報道されるニュースは企業や官公庁・地方団体に関するものが多いように感じられますが、冒頭で触れた「7pay」の不正アクセス被害のように、不正アクセスはますます身近に迫っています。

個人が不正アクセスを受けアカウント情報が流出すると、一体どのような事が起きるのでしょうか。
不正アクセスの主な手段としては、IDやパスワードを盗用することによる「なりすまし」、あるいはソフトウェアの保安上の脆弱性(セキュリティホール)を悪用した侵入などが挙げられます。

このような不正アクセスによって、サイトやサーバの改ざん・停止、IDやクレジットカード番号等のデータの窃取、メールサーバーを悪用した迷惑メールの配信などの行為が行われます。
報告が多い被害事例を見てみましょう。

 

(1)SNSが乗っ取られる
いまやSNSは、個人的なつながりだけではなく名刺代わりに使用される等かなり大きな情報をもつツールとなっています。フェイスブックやツイッターなどのSNSアカウントを第三者に乗っ取られてしまうと、画像や個人情報が流出するだけでなく、ページ改ざんや意図しない書き込み行為がされたりしてしまいます。また、本人になりすまして友人に連絡を取り個人情報を入手したり、金品のやり取りをするなど、周囲にも被害を及ぼしてしまう可能性もあります。

 

(2)機密データが流出する
パソコンやスマートフォンのアカウントに不正アクセスされると、個人だけでなくアカウントが保持している他人の機密データの内容までもが流出してしまいます。
特に企業が管理している外部に漏洩してはいけない機密データには金銭的価値があることも多いため、恰好のターゲットとなります。
また、個人のパソコンなどに保存されているデータの中にもメールアドレスをはじめ、プライバシーに関わる個人情報が多く含まれているため、絶えず狙われているといっても過言ではありません。

 

(3)通販サイトで商品を購入される
通販サイト等のアカウントに不正アクセスされることでクレジットカード情報等が流出してしまい、商品を勝手に購入され身に覚えのない高額な請求が来る被害も多く報告されています。

 

(4) 貯めていたポイントが消える
ポイントを様々なものへ交換できるようになったことから、インターネット上におけるポイントは、一種の財産という考え方ができます。不正アクセスされると、そのポイントを勝手に使用・盗用されてしまうことがあります。

 

(5)不正送金
金銭を目的とした不正アクセスとして、最も直接的な手口です。正規ユーザーのIDやパスワードなどを入手した第三者が勝手にログインし、預金を不正に送金するため、被害者は預金を失うことになってしまいます。

 

(6)さらなる攻撃のための踏み台、加害者にされる
不正ログインによって、被害者のアカウントやネットワークを攻撃者が操作できるようにした上で、犯罪行為をする手口で、近年発生件数が増加している被害でもあります。
攻撃者は被害者のアカウントを使って、外部の組織に対して大規模なDDoS攻撃を行ったり、スパムメールを送信したりします。
このタイプの不正アクセスの被害に遭うと、知らない間に攻撃者の一員として利用され、被害に遭っている人の大半は自分が踏み台にされていることにすら気づいておらず、知らない間に犯罪に加担させられることになってしまいます。
この手口によって誤認逮捕された事例もあり、非常に悪質な手口です。

不正アクセスの対応・対策は?

総務省や警察庁等から発表されている不正アクセス行為の件数は、あくまでも目安の件数でしかなく、確認できていない不正アクセスも多く存在しています。それでは、どのような不正アクセス対応・対策を実施すればよいのでしょうか。

 

OSやアプリのアップデートを行い最新の状態に保つ
OSや各ソフト(アプリ)は、セキュリティ上の脆弱性を解消するためのアップデートを行っています。これらを常に最新の状態に保っておくことで、不正アクセスのリスクを低減することができます。

 

パスワードは複雑なものにしておく
ショッピングサイトやSNSなどの個人情報を扱うサービスにおいては、パスワード変更も重要な対策です。定期的にパスワード変更を行うことも重要ですが、単純で短いパスワードはブルートフォースアタックという手口で簡単に破られてしまいますので、なるべく長く複雑なパスワードを設定しておくことがリスクを低減させます。

また、他のサービスに同じパスワードを使い回している場合は、なるべく早く変更しましょう。使い回しはせず、サービスごとにそれぞれ個別のパスワードを設定することを推奨いたします。パスワード生成ツールや、安全なパスワード管理ツール等も多くありますので、利用してみましょう。

 

2段階認証、2要素認証が可能な場合は設定しておく
IDとパスワードを知られてしまった際に簡単に不正アクセスされてしまうのを防ぐために主流になりつつあるのが、2段階認証や2要素認証です。ワンタイムパスワードや乱数表等、現在利用しているサービスも多いのではないでしょうか?1段階、1要素の認証のみの場合に比べてセキュリティレベルが高くなりますので、ぜひ設定しましょう。

 

セキュリティソフトを導入する
セキュリティソフトを使うと、マルウェア感染、不正アクセス以外にもさまざまなセキュリティ上のリスクを検知・対策してくれるため、Webセキュリティー対策のためにはぜひ導入しておくことをお勧めします。各社から、無料体験版が多く出ている場合も多いため、この機会に比較、検討してみてはいかがでしょうか。

不正アクセスにはセキュリティソフトが有効!

不正アクセスの被害は、ビジネスだけでなく日常生活へ影響を及ぼしています。そのため、企業だけでなく個人においてもセキュリティ対策の強化が不可欠であり、セキュリティソフトを活用することで不正アクセスに対応できます。
セキュリティソフトの中でも、不正アクセス対策に必須の機能をご紹介します。

 

Webサイトが安全か診断する機能
不正アクセス被害の原因の中でも、「サイト閲覧した際にウイルス(マルウェア)に感染させ、不正アクセスを可能にする」という手口はとても多くなっています。
セキュリティソフトを導入し、マルウェア感染の有無を調べたり、サイトを訪問する前にサイトの危険性を通知させ危険を未然にふせぎましょう。最近では、ブラウザーのオプション機能でも同様の動作をするものもあり、このようなセキュリティ対策をすることでウイルス感染、不正アクセスのリスクを抑えることができます。

 

パスワードを安全に管理する機能
同じIDやパスワードを色々なサイトで使い回していると、万が一IDとパスワードを盗まれた際に、パスワードリスト攻撃の被害を受けるリスクが高まります。セキュリティソフトの中には、パスワード管理機能が付いているものがあり、サービスに合わせたIDやパスワードを自動的に入力してくれます。このようなツールを使用することでパスワードを安全に管理することができます。

 

また、セキュリティソフトは常に新しいリスクに対応できるように更新されていくため、常に最新の状態に保っておくことも重要なポイントです。

セキュリティソフトを上手に活用しよう

今回は不正アクセスに関する情報について紹介しました。
不正アクセスされてしまうと、企業も個人も大きな被害が出てしまいますが、セキュリティ対策をしっかり行うことで事前に防ぐことができます。まずは、日頃からのパソコンや・スマートフォンの情報管理から始めてみてはいかがでしょうか。

お勧めのWebセキュリティ対策

不正アクセスを未然に防ぐ方法としてWAFがあります。WAFはWebアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護し、不正アクセスの代表的な攻撃を未然に防ぐことができるWebセキュリティサービスです。

クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。

クラウド型WAF「攻撃遮断くん」は、導入作業が簡単で、最短翌営業日から導入可能です。最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してはいかがでしょうか。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 

(2018/05/02 執筆、2019/10/10修正・加筆)