企業を狙った不正アクセス事件は、毎年一定数発生しています。この記事では、不正アクセスの基本情報から不正アクセス禁止法と該当する行為、主な原因、手口などを解説しています。不正アクセスについて知り、自社のセキュリティ対策が十分であるかを知りたい企業のご担当者はぜひ参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
目次
不正アクセスとは
不正アクセスとは、他人のID・パスワードを不正に取得・使用し、第三者がコンピューターやシステム内部へ不正にログインする行為です。違法行為であり、刑事罰の対象となっています。不正アクセスは日本のみならず世界中から行われる可能性があり、あらゆる組織は常にリスクにさらされています。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード不正アクセス禁止法と該当する行為とは
不正アクセスは、「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」によって禁止されています。以下では、不正アクセス禁止法に該当する、5つの行為について解説します。
不正アクセス行為
他人のID・パスワードを不正に使用して、コンピュータ・システムなどにログインした時点で「不正アクセス罪」に該当します。違反すると、3年以下の懲役または100万円以下の罰金に処せられます。
他人の識別符号を不正取得する行為
ログインするか否かに関わらず、他人のID・パスワードなど識別符号を不正に取得する行為です。不正アクセスの準備行為として「不正取得罪」に該当し、1年以下の懲役または50万円以下の罰金に処せられます。
不正アクセス行為を助長する行為
他人のID・パスワードを無断で第三者へ提供する行為は、不正アクセス行為を助長するため禁止されています。「不正助長罪」に該当し、提供した情報が不正アクセスに使用されると知っていた場合は1年以下の懲役または50万円以下、知らずに提供した場合は30万円以下の罰金に処せられます。
他人の識別符号を不正に保管する行為
他人のID・パスワードなどの識別符号を不正に保管する行為は、不正アクセスに使用される恐れがあるため禁止されています。入手した識別符号を保管すると、不正アクセスに使用される可能性があるためです。「不正保管罪」に該当し、1年以下の懲役または50万円以下の罰金に処せられます。
識別符号の入力の不正に要求する行為
識別符号の入力を不正に要求する行為は「フィッシング」と呼ばれ、禁止されています。実在する企業やサービスなどを語り、不正に要求すると「不正入力要求罪」に該当し、1年以下の懲役または50万円以下の罰金に処せられます。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード不正アクセスの主な原因
なぜ不正アクセスが発生するのでしょうか。主な原因として「ID・パスワードの管理の甘さ」「個人情報の管理の甘さ」「脆弱性の放置」の3つが挙げられます。それぞれの原因について解説します。
ID・パスワードの管理が甘い
予測しやすい氏名や誕生日に関するもので設定されたID・パスワードや、同じID・パスワードの使い回しなど、管理が甘いと、不正アクセスにあいやすくなります。ID・パスワードは予測できないものを設定し、また、使い回しを避けるとともに、定期的に変更することが重要です。
個人情報の管理が甘い
テレワークの普及にともない、個人情報の管理が甘くなったことが不正アクセスにつながる場合もあります。たとえば、カフェやコワーキングスペースなどで仕事をしている際に、画面を覗き見されたり、画面を開いたまま席を外したりすることにより、個人情報が流出することがあります。
脆弱性を放置している
セキュリティの脆弱性を放置し、不正アクセスを招くケースもあります。ソフトウェアの更新を怠り、脆弱性を突かれてID・パスワードなどが流出する被害がみられます。企業がサイバー攻撃を受けると、百万件単位での個人情報の流出につながる恐れがあるでしょう。
関連記事:サイバー攻撃とは?目的や対策方法、被害事例や種類をわかりやすく解説
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード不正アクセスの主な手口
不正アクセスを狙う手口も年々巧妙になっています。主な手口を5つ解説します。
システムの脆弱性を狙ったもの
不正アクセスの多くはシステムの脆弱性を狙っています。システムの脆弱性とは、コンピュータのシステムやソフトウェアの不具合、または設計ミスによるセキュリティ面の欠陥を指します。脆弱性を狙われると、被害の規模や金額が大きくなりやすく、企業のイメージにも影響する恐れがあります。
不正に入手したID・パスワードを利用したもの
不正にID・パスワードを入手し、利用するケースです。あらゆるパターンを試してログインを狙う「ブルートフォースアタック(総当たり攻撃)」や、他の箇所で入手したパスワードリストでログインを狙う「パスワードリスト攻撃」などの方法があります。設定しているパスワードが容易であると、ログインされやすくなります。
ウイルスを利用したもの
ウイルスを利用した不正アクセスも、多くの件数が発生しています。ウイルスに感染するとシステムやネットワークに侵入され、データにアクセスできなくなる可能性があります。また、情報漏洩に加え、ウイルスのタイプによっては複製を作成して他の企業へ攻撃する恐れもあります。
関連記事:コンピュータウイルスとは?主な感染経路、脅威と対策、感染時の対処法について
フィッシング詐欺によるもの
フィッシング詐欺によってID・パスワードを入手し、不正アクセスする手口です。たとえば、実在するサイトに似せた偽物のWebサイトや企業や取引先になりすましたメールからID・パスワードを入力させ、ログイン情報を盗みます。個人情報の漏洩に加え、金銭の不正引き出しにつながることもあります。
なりすましによるもの
他人の身分やアカウントになりすまし、不正アクセスする手口です。SNSで発生するケースが多く、企業や個人のSNSに不正ログインし、誹謗中傷や個人情報を入力させるリンクを貼るなどが行われることで、企業イメージが低下する恐れがあります。なりすましによる不正アクセスは企業・個人のアカウントを利用され、被害の範囲が広くなりやすいでしょう。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード不正アクセスを未然に防止する方法
不正アクセスは可能な限り、未然に防止することが重要です。主な方法を4つ解説します。
認証システムを強化する
認証システムの強化は重要です。二要素認証や多要素認証を導入すると、不正アクセスへの対策に有効とされています。多要素認証とは、「知識情報」「所持情報」「生体情報」から2つ以上を組み合わせ認証する方法です。万が一パスワードが流出した場合でも、もう1つの認証が突破されなければ不正アクセスされません。
OS・ソフトウェアを更新する
OSやソフトウェアの更新で、脆弱性を修正できる場合があります。セキュリティ面の改善を図るアップデートは多いため、常に最新の状態を維持することで、不正アクセスのリスクを抑えられるでしょう。
社内のセキュリティ意識を徹底する
不正アクセスを防ぐには、自社内のセキュリティ意識を徹底することも重要です。あらかじめ不正アクセスやセキュリティリスクに関する知識を共有することで、リスクを軽減し、万が一の際の対応力も向上します。
ウイルス対策ソフトを導入する
ウイルス対策ソフトとは、侵入しようとするウイルスを検知し、排除してくれるソフトウェアです。Windows10以降のコンピュータには元々ソフトが搭載されていますが、既知ではない攻撃手法やウイルスに備え、より強力なソフトを別途導入することを推奨します。
関連記事:【メールセキュリティ最前線】その目的はウイルス感染防御と誤送信防止、コンプライアンス対応にあり
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード不正アクセス被害が発生した際の対処法
対策をした場合でも、不正アクセス被害が発生するリスクはゼロではありません。不正アクセス被害が発生した際の、対処法を4つ解説します。
パスワードを変更する
不正アクセス被害が発生した場合、不正利用者が端末やサービスを利用できないよう、まずはパスワードを変更しましょう。ログイン自体ができない場合は、管理者へアカウントの停止を依頼する必要があります。
ネットワークから遮断する
被害の拡大を防ぐため、不正アクセスのあった端末を、ネットワークから遮断することも欠かせません。有線で接続している場合はLANケーブルを抜き、無線で接続している場合はWi-Fiをオフにします。
不正アクセス被害の証拠を保存する
ここまでの2つの対処を行ったうえで、不正アクセス被害の証拠を保存しましょう。サーバのアクセスログから、痕跡を集めます。被害についての届出や相談時に重要な資料となります。また、再発防止策を検討する際にも役立つでしょう。
警察を含む関係各所へ連絡・報告する
不正アクセスにより個人情報漏洩の可能性がある場合は、警察を含む関係各所への連絡・報告をしなければなりません。被害の証拠を用意し、管轄の警察署へ通報しましょう。その後、発覚から3~5日以内に個人情報保護委員会へ「速報」を報告します。また、IPA(独立行政法人情報処理推進機構)や監督官庁への届出も欠かせません。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード不正アクセスの企業の被害事例
実際に日本で発生した不正アクセス被害の企業の被害事例を2つ解説します。事例のような出来事が発生しないよう、あらかじめ対策しておきましょう。
自動車メーカーでの被害
2023年、自動車メーカーで不正アクセスによる被害が発生しました。自社やグループ企業、関係企業、取引先など10万件以上のアカウント情報が流出した可能性があります。調査の結果、自社に設置したアプリケーションサーバに脆弱性があり、それを悪用されたことが原因でした。
参考:マツダが不正アクセス被害、社員などのアカウント10万件以上が流出の可能性 | 日経クロステック(xTECH)
大手旅行会社での被害
大手旅行会社では、2016年にサイバー攻撃を受け、約793万人の個人情報が流出した可能性があるとされました。取引先を巧妙に装ったメールのファイルを開いたために、社内の端末がウイルスに感染したことが原因です。その後、外部への不審な通信が発生し、個人情報の流出が確認されています。
参考:JTBに不正アクセス、793万人の個人情報流出の恐れ パスポート情報も – ITmedia NEWS
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロードまとめ
不正アクセスはID・パスワードを不正に取得・使用し、第三者がコンピュータやシステム内部へログインする行為であり、刑事罰の対象です。原因や手口を把握し、ウイルス対策ソフトなどの導入により対策を行いましょう。
サイバーソリューションズ株式会社では、「Cloud Mail SECURITY SUITE」を提供しています。ビジネスで安全にメールを利用するために必要な、セキュリティ機能・管理機能をオールインワンで搭載しています。フィッシング対策やなりすまし対策に加え、誤送信対策や個人情報漏洩対策など、安全性を強化する機能が備わっています。まずはお問い合わせください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード
