巧妙化する不正アクセスの事例と二段階認証を活用した対策方法

不正アクセスは、情報通信社会を生きる現代においてとても身近な脅威です。日々その手口は巧妙化しており、特に企業としてどのように情報資産を守っていくのか、常に最新の対策を迫られる重要な問題となっています。 

本記事では、不正アクセスとは何か？から始まり、手口や事例、防止方法など具体的な対策について考えを深めていきたいと思います。 

目次

• 不正アクセスとは
• 不正アクセスの手口
• 不正アクセス禁止法
• 不正アクセスを防止するセキュリティ対策
• 不正アクセスの被害事例
• もし不正アクセスされたらどうする？

不正アクセスとは 

不正アクセスとは、本来アクセス権限がない何者かがサーバやシステムへの侵入を試みる、または侵入する行為です。侵入するだけではなく、機密情報の窃取、情報の破壊・改ざん、サーバやシステムの停止など、深刻な被害に繋がるケースが多く見られます。不正アクセスにより情報漏洩事故が発生すると、企業・団体にとっては、その後の活動存続に関わる大問題に発展しかねません。その為、どのように対策し防止するのかが、非常に重要な課題です。

不正アクセスの手口 

ここでは、不正アクセスの主な手口をご説明します。手口の詳細を知ることで、具体的な対策方法を考えやすくなります。 

なりすましにより侵入する手口

なりすましは、何らかの方法で窃取されたユーザーの「アカウント名、ID・パスワードなど」のログイン情報を使い、不正ログインをして侵入する手口です。ログイン情報は流用するケースが多いため、セキュリティレベルの低いサイトが攻撃され、そこで流出した個人情報を利用して、いくつものシステムに不正ログインを試みる流れが考えられます。なりすましの被害を防止するために、ログイン情報はアカウント毎に作成するよう心がけ「使い回しをしない」「二要素以上の二段階認証を設定する」などの対策が必要です。

ウイルス感染により侵入する手口 

標的型メール攻撃といわれる方法で、以下のような行為によってウイルス感染し、様々な情報を抜き取られます。 

（例） 

• 受信したメールを開封する
• メール内のURLを開く
• 添付ファイル（Word・Excel・PDFなど各種）を開く

• システムの不正操作によってシステム内の情報を盗み見る
• システム自体の改ざんを行う
• 個人情報や機密情報を抜き取る 

 攻撃方法としては、バッファオーバーフロー（処理能力を超えるデータ量により誤作動を引き起こす）や、SQLインジェクション（データベースを不正操作する）などが良く知られています。 

フィッシングサイトを利用し侵入する手口

実在する企業のウェブサイトにそっくりの偽サイトを作成し、そこへ誘導することでユーザーのID・パスワードといった個人情報を盗む手口です。窃取された情報は、他のサイトに不正利用される可能性が非常に高いと言えます。また、フィッシングサイトにアクセスするだけで、ウィルスに感染することもあるので、注意が必要です。 

メールで偽サイトへのアクセスに導く事例は良く知られていますので、受信したメールを良く確認し、不用意に開封しないことを心掛けましょう。インターネット上でサイトを検索する際は、本物と見分けがつかない程作り込んである場合があります。ブックマークを活用するなどし、常に正規サイトへアクセスできるようにすることがポイントです。 

なお、 SSL（ Secure Sockets Layer ）/TLS（ Transport Layer Security ）を取得しているウェブサイトであるかどうかが、安全にアクセスできる判断基準の一つであると言われています。SSL/TLSは通信内容を暗号化することでセキュリティレベルを引き上げ、個人情報を保護する仕組みです。リンクが HTTP通信に加えSSL化されるため、URLは、https://と表示されます。しかし、SSL/TLSを取得しているサイトが100％安全なサイトとは言い切れないため、常に危機感を持って注意深く利用する心掛けが大切です。 

パスワード総当り攻撃による侵入手口

考えられるすべての数字や文字列を順番に入力してアタックする、総当たり方式により侵入する手口です。ログイン情報を窃取しなくても、時間をかければ成功する確率が高いので、不正ログインに利用されやすいと言われています。対策としては、パスワードの「桁数を増やす」「異なる種類の文字を組み合わせる」など、複雑で独自性のある強度の高いパスワード作成を心がけることが必要です。覚えやすいからといって、生年月日や名前など推測されやすい文字列を使用していると、簡単に不正ログインされる危険性が大いにあります。防止策の一つとして、誤ったパスワードの入力が一定回数以上行われた場合にログインを凍結させる、システム自体の設定を行うのも効果的です。 

不正アクセス禁止法

ここでは、不正アクセス行為とその助長行為を規制する法律や、法律で禁止されている行為の内容についてご紹介します。 

不正アクセス禁止法とは？

「不正アクセス禁止法」という言葉をよく耳にするかと思いますが、正式には「 不正アクセス行為の禁止等に関する法律」という名称があります。不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律です。つまり、不正アクセス行為そのものだけではなく、不正アクセスに関する一連の行為全般を禁止しているのです。ここで言う「識別符号」はIDやパスワードといったログイン情報を意味します。 第一条に目的が以下の通り定められています。

参照：電子政府の総合窓口e-Gov 不正アクセス行為の禁止等に関する法律 ※第一条から第十四条まで記載あり

（目的）

【第一条】

この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。

不正アクセス禁止法で禁止されている行為

【第三条】

何人も、不正アクセス行為をしてはならない。

つまり、不正アクセス行為（なりすましログイン、アカウント乗っ取り、セキュリティの脆弱性をついたセキュリティホールへの侵入など）をすることです。

 

【第四条】

何人も、不正アクセス行為（第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。）の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。 

つまり、不正アクセス行為をする目的で他人のログイン情報（ID・パスワードなど）を窃取することです。

 

【第五条】

何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。

つまり、他人のログイン情報を譲渡・売買するなど、不正アクセス行為を助長することです。

 

【第六条】

何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。

つまり、他人のログイン情報を悪用目的で保管することです。

 

【第七条】

何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。 

つまり、他人のログイン情報を、悪用目的で入力を要求するなどの行為に及ぶことです。

 

一　当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信（公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。）を利用して公衆が閲覧することができる状態に置く行為 

（例）フィッシングサイトを用いて不正取得する手口

 

 二　当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電子メール（特定電子メールの送信の適正化等に関する法律（平成十四年法律第二十六号）第二条第一号に規定する電子メールをいう。）により当該利用権者に送信する行為 

（例）電子メール内のHTMLフォームを用いて不正取得する手口

不正アクセスを防止するセキュリティ対策

いつ誰が被害にあってもおかしくない頻度で発生している不正アクセス。ここではセキュリティ対策を見直し、不正アクセスを未然に防止する方法を考えていきたいと思います。 

使用端末の確認

先ず第一に見直すべきは、日頃使用しているパソコンです。  

OSやソフトのアップデートをこまめに行うことでセキュリティの脆弱性を解消します。常に最新の状態に保ちながら使用することが、不正アクセスを防止する環境を整えることへ繋がります。 

アップデートに関しては、日頃使用しているスマートフォン・iPadや IoTデバイスでも、私用・業務用に関わらずパソコンと同じことが言えるでしょう。  

また、業務用パソコンの場合は必ずセキュリティソフトを導入し、定期的なアップデートを設定することが大切です。パソコン上にデータが残らないシンクライアントの導入は、不正アクセス対策として有効な方法の一つとされていますが、企業の体制や予算的に厳しい状況も想定されます。その場合は、暗号化する範囲（ハードディスクなど）を設定したうえで、可能な限りパソコン上に機密情報が格納されない仕組みや、暗号化・認証強化などを組み合わせて万全な対策を施すことで、不正アクセスされた場合の被害を最小限に食い止めることも可能になるでしょう。  

現在「サイバー攻撃可視化ツール」という、サイバー攻撃の状況が確認できるツールを提供する企業が増えています。こういったツールを活用することで、どのような攻撃がどこから発せられているのか動きを追える為、不正アクセス防止に活かせる可能性があります。 

（例）

• カスペルスキー社提供「CYBERTHREAT REAL-TIME MAP」 
• Googleが提供「DDoS攻撃可視化ツール DIgital Attack Map」

不正アクセス履歴の確認

不正アクセスされているかどうかを定期的にチェックすることは、防止対策を行う上で非常に重要です。気付かないうちに不正アクセスされ、被害が拡大するケースがあるのも事実です。  

特に企業の場合は、複数の人がアクセスすることが多いため、不正アクセスを見逃しやすい傾向にあります。ファイアウォールを設置することでアクセスログが取得できるので、そこから履歴を確認するなどの対策が必要になります。 

パソコンの場合は、セキュリティソフトを導入することで不正アクセスの履歴を確認できるため、業務用・個人用に関わらず、必ず導入し活用することをオススメします。

不正利用やアカウント乗っ取りなどを防止する為には、クレジットカードの利用履歴、InstagramやTwitterといった各種SNS、Amazonなどのように日頃から利用しているショッピングサイトのログイン履歴を確認することが必要です。Netflixなどの定額制動画配信サービスのアカウントは見落としがちになりやすいので、こちらのログイン履歴も合わせて確認しましょう。  

Googleアカウントなど、クラウド型のサービスにはアクセス履歴を確認できる機能が付いている場合がありますし、コミュニケーションツールのLINEのように、不審なアクセスが行われた際、通知が届く機能が付いているアプリもあります。しかし、確認方法はサービスごとに異なり、このような機能を利用できるのは一部であるのが現状です。被害にあってしまってから考えるのではなく、自ら定期的に確認し、日頃から監視する姿勢が大切です。  

また、ログイン履歴の確認作業を機に、パスワードを適切なものへ見直し、利用していないサービスは停止・削除することを心がけてください。サーバー上で動いているサービスが多いほど、不正アクセスを受ける危険性が高まります。 

二要素以上を取り入れた二段階認証の導入

二段階認証・・・インターネットで利用できるサービスへログインする際、「ユーザー本人がログインしているのかどうか」を確認する作業、または手段のことで、認証作業を2回行うことを意味します。

二要素認証・・・インターネットで利用できるサービスへログインする際、認証の3要素と呼ばれる 「知的認証」「所有物認証」「生体認証」の内、2つ以上の認証要素を使い認証作業を行うことを意味します。

各種アカウントへログインする際に、二要素以上を取り入れた二段階認証を導入することは、不正ログインを防ぐために有効な対策の一つです。二段階認証の詳細については、二段階認証とは？｜メリット、導入方法、二要素認証との違いの記事でより詳しく解説しています。

ログイン時の認証作業を二要素以上、且つ二段階にすることによって、たとえ一段階目の認証を突破されたとしても、二段階目の異なる素性や性質の情報を窃取し、不正ログインを完全に成功させることは極めて困難であるとされています。二段階認証を強度の高い状態で利用するためには、「二要素認証」「多要素認証」を利用する二段階認証を設定し、合わせて第三者に推測されにくいパスワードを作成するなどして利用することが大きなポイントです。

現在利用しているアカウントで二要素以上を用いる二段階認証が使えるかどうかを確認し、未設定のものがあれば、早めに設定することをオススメします。 

また、Twilioでも二要素を用いた二段階認証を簡単に実装できます。ご興味のある方は下記2記事をご覧ください。

• Twilio Verifyを使った二要素認証・二段階認証の実装方法
• Twilio Authyを用いた二要素認証・二段階認証の実装方法

使用端末や利用しているサービスに対する対策はもちろん大切ですが、不正アクセスを助長する行為を防ぐための対策も忘れてはなりません。特に企業では、情報を扱うすべての従業員に対し情報教育を定期的に行うなど、セキュリティ対策について徹底的な意識付けが必要です。また、関連会社や業務委託先がある場合は、社内だけに留まらず教育・周知が行き届くよう努めることも忘れてはなりません。時には罰則を設けるなどの措置を検討し、機密情報が譲渡・売買されるような不正流出に発展しないよう、対策を講じることが大切です。 

不正アクセスの被害事例

「なりすまし」による被害事例

なりすましによる被害事例として、2017年12月20日に某大手航空会社は、取引先を装ったメールにより、偽の銀行口座へ約3億8000万円を振り込んでしまったことを公表しました。幸い、振り込み先の口座が凍結されていたことで被害を免れたのです。しかし、担当者のメールアドレス・請求書のフォーマット・請求タイミングなどの詳細が何らかのカタチで窃取されており、巧妙に作り込まれた「ビジネスメール詐欺（BEC：Business Email Compromise）」の為、被害を防止することは非常に困難であったとされています。この事例は「どんな企業でも被害にあう可能性がある」と、誰もが認識させられた印象深い内容ではないでしょうか。 

送信元のあらゆる情報が、本物と見分けがつかないレベルで詳細に模倣されていたことから、事件発生前すでに、関連業者のいずれかが標的型攻撃などにより侵入され、乗っ取り等の被害にあっていることが考えられます。 

「なりすまし」に加え、様々な不正アクセスの要素が組み合わされることにより、詐欺だと気づきにくい手口が非常に多いというのが実情です。 慣れた業務の一部であっても、一つひとつの作業に注意を払うなど、日常的な動作から見直す必要があるかもしれません。 

「パスワードリスト型攻撃」による被害事例

パスワードリスト型攻撃による被害事例として、2020年4月24日に某大手玩具メーカーが提供するネットワークサービスにおいて、16万件のアカウントに対し外部からの不正ログインが確認され、個人情報流出の可能性が生じたと公表されました。さらに、同年6月9日には、調査によって新たに14万件の流出が判明し、被害件数は計30万件に上ったのです。連携する別アカウントへのログイン機能も搭載しているため、情報流出だけでなく不正購入事案も発生。緊急措置としてログインパスワードのリセット、連携ログインの削除などを行いました。今回、不正購入の被害は全体の1％未満に留まったとされ、被害者へは個別連絡し返金対応がなされています。  

パスワードリスト型攻撃は、多くのユーザーが複数のサービスでIDとパスワードを使いまわす傾向にある点を悪用し、セキュリティが脆弱なサービスから盗み取ったパスワードを、他のサービスに当てはめる形式の攻撃です。同社サービスでは、パスワードの使い回しをするユーザーが多く存在した為、パスワードの変更に加えて二段階認証の利用を促すなど、再発防止に向けセキュリティ対策を強化するよう呼び掛けています。また企業としても追加のセキュリティ対策を実施するなどの方針を示しました。  

この事例に関しては、提供するサービスにセキュリティの脆弱性があったというのが前提ではあるのですが、サービスを利用するユーザー側の意識としてもこの事例だけに限らず、日々利用している様々なサービスを含め「ログイン情報の使い回し」の危険性であったり「二段階認証を利用すること」の必要性を見直す機会になったのではないでしょうか。 

「内部流出」による被害事例

内部流出の被害事例として、2015年1月13日に某家電量販店の元社員が、不正競争防止法違反の容疑で逮捕された事件を紹介します。この元社員は、退職前に事務所のパソコンに遠隔操作ソフトをインストールし、競合企業へ転職。元の会社の機密情報を、遠隔操作ソフトの使用と元部下の協力を得て窃取していたのです。

この内部流出に至った原因の一つとして考えられるのは、元会社のシステムとして、事務作業の都合上、退職者のIDやアカウントを90日間有効にする設定がなされていたことです。その為、退職前にインストールした遠隔操作ソフトへも簡単にアクセスでき、データ転送が可能な環境でした。 

不正アクセスをイメージする際、サイバー攻撃など外部から狙われる脅威に目を向けがちですが、内部不正が原因で機密情報が流出し、企業活動を脅かす大規模な損失になるケースも発生しています。  

企業は、この事例のような内部流出が起きないよう、厳格なルールを制定し、社内教育を徹底するなどの十分な対策を行うことが課題となっています。

もし不正アクセスされたらどうする？

十分に対策していたとしても、発生する可能性があるのが不正アクセスです。ここでは、不正アクセスされてしまった場合、どのような行動をとる必要があるのかを考えていきます。 

ステップ① 被害拡大を防ぐ行動に移る

不正アクセスが発覚したら、早急に対象となっているサーバーをネットワークから切り離し、サーバーへアクセスするために使用している全てのID・パスワードを変更します。 

サーバーを遮断することで、情報漏洩などの被害拡大を最小限に食い止められる可能性があります。また、使用しているID・パスワードは、不正アクセスされた時点で窃取された恐れがあるので、サーバー乗っ取り・不正操作などの被害に繋がらないよう変更が必要です。同じパスワードを使い回しで使用している他のサービスがあれば、そちらも変更した方が良いでしょう。なお、パスワードの変更時には難解な文字列を組むよう配慮します。この時点で、二要素以上の二段階認証が設定されているかどうか確認しておきましょう。 

ステップ② 不正アクセスの状況を確認する

応急処置をした後は、不正アクセスの被害状況、情報漏洩の有無など詳細を確認します。その後の対応、再発防止対策へ繋がりますので、確認作業は入念に行う必要があります。  

専門的知識が必要となるので、企業でセキュリティ対策を専門としている部署・担当者がいる場合には、速やかに情報共有しましょう。専門部署が無い場合には、プロへサポートを依頼するのが確実です。依頼先はあらかじめ決定しておくとスムーズです。 

 ステップ③ 証拠の保存

不正アクセスの状況確認の中で、被害状況のログ（証拠）は必ず保存してください。今後の対策を練る際に活用できますし、被害規模が大きい場合や手口が悪質な場合には、警察へ連絡することも想定されるからです。緊急対応が必要な状況であっても、証拠を忘れず保存してから、次の対応へ移ることが必要です。 

ステップ④ 関係各所への連絡

不正アクセスの状況が明らかになり次第、漏洩した内容により対応策を整理し、関係各所へ向けて必要とされる連絡を行いましょう。二次被害を防ぐ為にも、迅速な判断・対応が必要です。 

顧客情報に関わる漏洩の場合は、顧客へ連絡を取り、漏洩した個人情報の内容に応じた対策を進めるよう促します。 

（例） 

• サービス等のログイン情報の漏洩 
  →ID・パスワードの変更依頼、設定の見直し 
• クレジットカード情報の漏洩
  →クレジットカード会社へ利用停止依頼など
  
  取引先や関連会社に関わる漏洩の場合は、漏洩した内容の詳細を共有し、緊急措置を進めてもらうとともに、今後の対応策について会議の設定を求めるなど、臨機応変な処置が必要です。 

ステップ⑤ 不正アクセスの原因究明

なぜ不正アクセスされたのか？その原因が何かを探るのは、再発防止のためにとても重要です。手口や侵入経路となった脆弱な部分を発見し、しっかり方向性を定めてから、今後の対策を検討しましょう。 

ステップ⑥ 復旧作業

システムの復旧作業は「状況確認」「関係各所への連絡」「原因究明」など、他の作業と並行して進められるのがベストです。日頃からこまめにデータのバックアップを取っておくと、スムーズに復旧作業が行えます。 

ステップ⑦ 警察署への通報

不正アクセスによる被害が大きい場合、被害額が高額であったり手口が悪質な場合は、対策を進めると同時に最寄りの警察署へ通報してください。また、不正アクセスの被害を相談することは、同様の手口による被害の防止、犯罪抑止へ貢献することにも繋がります。 

警視庁の相談窓口は「都道府県警察サイバー犯罪相談窓口」まで 

ステップ⑧ 再発防止対策を実施

不正アクセスによる被害状況・原因究明を通して明らかになった課題をもとに、早急に再発防止策を整理し、改善・実施することが大切です。

企業であれば、該当部分のみ専門的な改善を行って終了するのではなく、改正した内容で社員教育を行うなど、組織全体の意識改革に繋げる必要があります。また、ステップ①～⑧の対応方法を資料にまとめ共有しておくことで、緊急時の被害拡大を防止できる可能性があります。 

個人の対策としては、日頃利用している端末やサービス・アプリなどをすべてを洗い出して、整理する機会を定期的に設けてみましょう。そして、一つひとつのログイン情報を確認し「強固なパスワードへ変更する」「二要素以上の二段階認証を設定する」など、個々のセキュリティ対策から強化できるよう心掛けることが大切です。

「もし不正アクセスされたらどうする？」の対応を考えることが、結果的には「不正アクセスを防止するセキュリティ対策」へ繋がるのではないでしょうか。