不正アクセスに対する適切な対策は?侵入者やなりすましに対してどのように対応すべきか?
最近、不正アクセスの手口はますます高度化しており、それに伴い被害の件数も増加しています。さらに、多くのユーザーは自分が被害に遭っていることに気づいていない場合があり、実際の被害はもっと多い可能性があります。この記事では、不正アクセスの仕組みと、それに対する対策について、実際の被害事例とともに解説します。
不正アクセスとは
不正アクセスとは、アクセス権限が与えられていないコンピューターに対し、不正な接続を試みることや、実際に侵入してそのコンピューターを操作することを指します。2000年2月13日、不正アクセス行為や識別符号の不正取得・保管、不正アクセスを助長する行為を禁止する不正アクセス禁止法が施行され、その後これらの行為は明確に違法とされました。ここで言う不正アクセスには、具体的に以下の行為が含まれます。
侵入行為
ハードウェアやソフトウェアの脆弱性を悪用して、コンピューターに侵入する行為です。攻撃者は、ダークウェブなどを通じて脆弱性に関する情報を取得することが多いとされています。
なりすまし行為
他人のIDとパスワードを不正な手段で取得し、そのアカウントにログインする行為を指します。この行為により、アカウント所有者が享受すべきサービスを奪ったり、アカウントを悪用したりする場合があります。また、所有者の許可を得ずにIDやパスワードを第三者へ提供する行為も含まれます。IPAが公表した『コンピュータウイルス・不正アクセスの届出状況[2021年(1月~12月)]』によれば、2021年の不正アクセスに関する届け出件数は前年比29.9%増の243件で、そのうち実被害に至ったものは197件(81.1%)でした。不正アクセスの手口はますます巧妙化しており、被害者が気づかないケースも多いとされています。これらの数字はIPAに届け出があった件数のみを反映しており、実際の件数はさらに多い可能性があります。デジタル技術の浸透やデータ価値の上昇を考えると、不正アクセスの被害が減少する見込みは低いと考えられます。
不正アクセスによる被害分類と関連する事例
不正アクセスによる被害は、大きく「Web改ざん」、「データの破壊行為」、「情報漏えい」の3つに分類できる。それぞれ、実際の被害事例も紹介していきます。
1)Web改ざん
Web改ざんとは、その名前が示すように、Webサイトが不正に改ざんされることを指します。このような改ざんは、サーバーや周辺のソフトウェア、ミドルウェアの脆弱性を突かれて侵入される場合や、サーバーにアクセス可能な端末を経由して侵入される場合に発生することが多いです。特に近年では、WordPressなどのCMSの脆弱性が悪用される事例が増えています。Web改ざんの具体的な事例としては、以下のようなものがあります。
・複数の官公庁のWebサイト改ざん
2000年、科学技術庁や総務庁などのWebサイトが立て続けに改ざんされる事件が発生しました。原因は、OSやアプリケーションの更新を怠っていたこととされています。この事件を契機に、不正アクセス禁止法などの法整備が急務とされました。
・大手自動車メーカーのWebサイト改ざん
2013年、大手自動車メーカーが不正アクセスを受け、Webサイトが改ざんされる事件が発生しました。サイト内にはマルウェアをダウンロードさせるプログラムが仕込まれ、発覚までの1週間以上もの間、放置されていたことが問題視されました。その結果、被害が拡大する事態となりました。
2)データの破壊行為
前述のとおり、データの価値が高まる中、データ破壊を試みる攻撃者も少なくありません。その代表的な手法として、最近ではランサムウェアというマルウェアによる被害が挙げられます。ランサムウェアはデータを勝手に暗号化し、復号のために身代金を要求するものです。2017年に猛威を振るったランサムウェア「WannaCry」の被害拡大は、いまだ記憶に新しいところです。
・国内大手総合電機メーカーへの攻撃
2017年、欧州にある現地法人の検査機器を通じて社内ネットワークに不正アクセスが行われました。その結果、日本国内の業務用パソコンにもメール機能に支障が出るなど被害が広がり、完全復旧までに5日を要する事態となりました。
・国内大手自動車メーカーの工場への攻撃
2020年、特定の組織の社内ネットワーク中枢を狙う目的で作られたランサムウェア「EKANS」が国内大手自動車メーカーに感染しました。その結果、製造ラインが数日間停止し、工場の操業に深刻な影響を及ぼしました。
3)情報漏えい
情報を不正アクセスによって取得し、その情報を悪用する犯罪は今でも頻発しています。近年では、標的型攻撃の巧妙化により、繰り返し攻撃を受けた結果、重要な情報資産が流出するケースが少なくありません。情報漏えいの手口は内部犯行を含め多岐にわたりますが、本項では不正アクセスが関与する事例を紹介します。
・某国立大学への攻撃
2015年、当該国立大学が使用していた業務用パソコンがマルウェアに感染しました。この影響で不正アクセスを受け、業務用アカウント情報や約3.6万件に及ぶ学生や教職員の個人情報が漏えいした可能性があるとされています。
・国内大手ゲーム会社への攻撃
2020年、国内の大手ゲーム会社がランサムウェア攻撃を受けました。攻撃グループ「RagnerLocker」は、同社米国法人が所有していた予備のVPN装置に存在する脆弱性を悪用し、社内ネットワークに不正侵入しました。この攻撃によって、約1.6万件の個人情報が漏えいしたとされています。
不正アクセスへの対策
ログイン時に、現在のセッションIDを無効にし、新しいセッションIDを発行します。これによって、攻撃者がその前に取得したセッションIDではアクセスできなくなります。
1)侵入行為への対策
・アカウント情報の適切な保護
不正アクセスでは、盗まれたアカウント情報が利用されることが多いため、これらの情報を適切に管理することでリスクを軽減できます。アカウント情報の保護には、パスワード管理ツールを使用するなどの対策が重要です。
・徹底したソフトウェアのアップデート
侵入行為は、多くの場合、ソフトウェアに潜む脆弱性を悪用されることが原因です。そのため、従業員の端末のOSやソフトウェアは常に最新の状態にアップデートしておく必要があります。また、社内で使用しているコンピューター機器のファームウェアやドライバーも同様にアップデートが求められます。Webサイトを運営している場合は、サーバーなどデータを保存している機器のアップデートにも注意を払う必要があります。
・セキュリティソフトのインストール
現在のセキュリティソフトは、マルウェアの感染防止だけでなく、端末の総合的な保護を提供します。不正に情報を取得しようとするWebサイトへのアクセスをブロックすることで、アカウント情報の流出リスクを軽減します。
・ファイアウォールの設置
外部からの不正アクセスを防ぐために、ファイアウォールは非常に効果的な対策です。また、IDS(不正侵入検知システム)やIPS(不正侵入防止システム)を統合したUTMを導入することも一つの方法です。状況に応じて、外部との接続を担うゲートウェイに最適なソリューションを選ぶことが重要です。さらに、Webサイトのセキュリティ強化にはWAFの設置や、迅速な対応を可能にするXDRやEDRの導入、システム全体の脆弱性を評価する脆弱性診断なども効果的です。自社の課題に応じて、最適な対策を選択しましょう。
2)なりすまし行為への対策
なりすまし行為への対応は、認証の強化を徹底することが基本的な対策です。
・認証の強化
最近、攻撃者は総当たり攻撃や辞書攻撃を使って、システムやサービスの認証を突破しようとするケースが増えています。これに対抗するためには、推測しやすいパスワードを避け、複雑なパスワードを設定することが求められます。パスワードの長さを増やすことで、試行回数が増加し、突破されにくくなります。さらに、重要なアカウントには複数の認証要素を組み合わせることで、認証を強化することが必要です。最近では、パスワードに加え、ワンタイムパスワードや生体認証を利用した二要素認証を導入するサービスも増えており、これにより、仮にパスワードが漏れても、なりすましのリスクを軽減できます。
