【最新】不正アクセスの対策は？
手口や対応すべき被害防止方法を解説

現代のビジネス環境は、社内に設置したパソコンだけでなく、さまざまな場所やデバイスで業務をおこなっています。IT技術が発達し利便性が高まった一方で、サイバー攻撃の被害にあうリスクも高まっている状況といえるでしょう。

この記事では、代表的なサイバー攻撃の一つである「不正アクセス」について、概要や被害、リスク、代表的な手口、具体的な対策などを解説します。

「不正アクセス」とは、アクセス権限のない人がコンピューターやネットワークに侵入し、データやシステムを不正に利用・操作する行為を指します。
不正アクセスは「不正アクセス禁止法」という法律により禁止されており、不正アクセスを助長する行為も含め、違反した場合には罰則が科されます。

総務省、警察庁、経済産業省が公開している「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」では、令和4年には2,200件だった不正アクセス行為の認知件数が、令和5年は6,312件、令和6年は5,358件と報告されています。近年急増している不正アクセスの被害者とならないよう、各自がリスク対策をおこなう必要があるでしょう。

なお、不正アクセスによって顧客情報を盗んだり企業のデータを改ざんしたりする行為は「サイバー攻撃」と呼ばれます。以下の記事ではサイバー攻撃に関して詳しく解説しています。

昨今、不正アクセスは増加傾向にあります。その要因は複数あると考えられますが、主な要因としては以下の3点が挙げられます。

生成AIなどの技術の進歩により、ITの専門知識を持たない人でもかんたんに不正アクセスツールを作成できるようになっています。

テレワークの普及により、セキュリティが脆弱な端末や通信経路を使ったリモート接続など、攻撃者が標的にしやすい環境が増えています。

最近では、日々の業務においてもスマートフォンを仕事に活用するシーンが増えており、攻撃の標的が増加しています。

不正アクセスの増加要因であるテレワークのセキュリティ対策については、以下の記事で詳しく解説しています。

続いて、不正アクセスを受けるとどのような被害やリスクが発生するのかを解説します。

不正アクセスを受けると、個人情報や企業の機密情報などの重要なデータが外部に漏洩してしまう可能性があります。漏洩した情報を、詐欺などのさらなる犯罪行為に悪用されるリスクも発生します。

端末やWebサイトなどのデータを改ざんされると、正しいデータを利用できなくなります。特に外部に公開しているWebサイトのデータが改ざんされると、企業に関係のない悪意ある情報を勝手に掲載されたり、閲覧者に被害を与えるウイルスを埋め込まれたりするリスクがあります。

不正アクセスによってサーバーダウンやデータ破損などが発生すると、システム全体が停止する可能性があります。システムが止まれば、社内業務や顧客へのサービスが止まってしまうリスクが生じます。

アカウントが乗っ取られると、不正送金や不正購入がおこなわれる恐れがあります。また、企業アカウントの場合、不適切な情報が発信される危険性もあります。

不正アクセスによる被害を受けると、企業のブランドイメージや信頼の低下につながる恐れがあります。一度失ったブランドイメージや信頼を取り戻すには多大な時間と労力が必要となり、今後の企業経営に大きな影響を与えるリスクにつながります。

では、どのような手口で不正アクセスがおこなわれるのでしょうか。詳しく解説します。

不正アクセスにおける「脆弱性」とはセキュリティ上の欠陥を指します。つまりシステムのセキュリティが弱い部分を利用してアクセスを試みる手法です。代表的な攻撃には、「バッファオーバーフロー」や「SQLインジェクション」などがあります。こうした手法で侵入されると、システムの停止や不正な操作といった被害を受けます。

ある大手企業では、海外の現地法人で利用していた旧型のVPN装置がサイバー攻撃を受け、社内ネットワークに不正侵入される事案が発生しました。VPN装置経由で国外および国内拠点の一部機器の乗っ取り行為がおこなわれ、個人情報を窃取される、ランサムウェアで各機器内のファイルを暗号化されるなどの被害を受けています。

ウイルスをコンピューターに埋め込み、コンピューターを不正に操作する手法です。
ウイルスに感染する経路としては、メールの添付ファイルの開封や不審なWebサイトからのアプリダウンロードなどがあります。

本物そっくりな偽のWebサイトやメールを使い、ユーザーの個人情報や認証情報などを盗み取る手法です。
盗み取られた情報の悪用により、さまざまシステムへのアクセスや操作を実行される恐れがあります。

ユーザーのパスワードを推測または解読して不正にアクセスする手法です。
代表的な推測・解読方法には、考えられるパスワードをすべて試していく「総当たり攻撃（ブルートフォースアタック）」や、辞書に登録されている言葉を試す「ディクショナリアタック（辞書攻撃）」などがあります。

パスワード管理ツール「NordPass」が公開している2023年版のパスワードランキングでは、「123456」や「password」などの脆弱なパスワードがまだまだ多く利用されていること、それらの脆弱なパスワードは1秒以内に乗っ取りを受ける可能性があることが示されています。

正規のユーザーになりすまして不正にアクセスする手法です。
別の人間のふりをして認証情報を聞き出したり、操作を指示する行為や、他人のIDやパスワードを利用してシステムにアクセスする行為などが該当します。

例えば退職者が、現在は権限がないにも関わらず、過去の業務で知り得た管理アカウントでシステムにアクセスする場合なども、なりすましによる不正アクセスにあたります。退職者のアカウント棚卸など適切なID管理がされていないと、なりすましによるリスクが高まるため注意しましょう。

実際に起きた不正アクセスの被害例をご紹介し、その影響と対応について解説します。

不正アクセスにより顧客の個人情報が外部に流出する被害が発生したケースです。
個人情報の流出に加えて公式サイトが改ざんされ、訪問者が悪意のあるサイトへ誘導される被害も確認されました。

企業はただちにサイトを一時停止し、不正アクセスの影響を受けた、または受けた可能性のある顧客全員に状況の通知をおこないましたが、サービスを一時中断せざるを得なくなったことに加え、顧客からの信頼を失う結果となりました。

VPN装置経由で不正アクセスを受け、業務委託元からの提供情報を含めた顧客や従業員の個人情報が流出する被害を受けたケースです。

企業は不正アクセスの経路となったネットワークを停止し、影響を受けた、または受けた可能性のある顧客への対応をおこないました。インフラ企業であることもあって被害による影響の規模は大きく、多くの顧客からの信頼を失うことになったほか、多大な対応工数が発生する結果となりました。

セキュリティインシデントの事例については、以下の記事で詳しく解説しています。

万が一不正アクセスにあった場合、被害を最小限におさえるためにはどのように対処すればよいのでしょうか。5つのポイントを解説します。

不正アクセスを発見したら、最初におこなうべきことは被害の拡大を防ぐことです。不正アクセスを受けたシステムのネットワークを速やかに遮断しましょう。

ネットワークの遮断ができたら、システムやアカウントなどのパスワードを変更しましょう。不正アクセスを受けた時点で認証情報などが搾取されている可能性があり、別のシステムやアカウントも被害を受ける可能性があるためです。

事態がおさまるまでは不要なシステムやアカウントを一時的に停止させ、被害を拡大させない取り組みも重要です。

被害や原因の調査を進めるためには、証拠を保全しておく必要があります。被害状況やシステムログ、アクセス履歴、画面のキャプチャなどをまとめておきましょう。

メモリ上に保存された情報などは端末をシャットダウンや再起動してしまうと失われてしまう情報もあるため、シャットダウンや再起動を不用意にしないよう注意しましょう。

被害を最小限に抑えるために、不正アクセスによる被害状況を速やかに関係者へ報告しましょう。情報セキュリティ担当者、場合によっては取引先にも連絡が必要です。

また、個人情報の漏洩の有無など、被害内容によっては外部への報告も必要となります。個人情報の漏洩が発生した場合には、法律に則って個人情報保護委員会への報告が必要であり、報告義務に違反した場合には刑事罰や最高1億円の罰金刑が科される可能性があります。不正アクセスが発覚したら、速やかに警察庁や独立行政法人情報処理推進機構（IPA）に届出・相談をしましょう。

被害や原因の調査をし、結果をもとに復旧と再発防止策の検討をおこないましょう。調査や再発防止策の検討には専門的なサイバーセキュリティのスキルが必要になるため、外部サービスの利用も有効です。

なお、データのバックアップがあれば、被害を受けても迅速にシステムを復旧させることができます。不測の事態に備え、日頃からデータのバックアップを定期的に取っておくことが大切です。

IT技術の発達により不正プログラムや巧妙な偽サイトを作る難易度は下がっており、これまで以上に各自の不正アクセス対策が重要となっています。また、企業が一度不正アクセスを受けると、顧客からの信頼を失い、その後の経営に重大な影響を及ぼしかねません。そのことを考えれば、企業として不正アクセス対策を講じることは必要不可欠といえるでしょう。

ここでは、具体的な不正アクセス対策の例をご紹介します。

アカウント情報の管理は不正アクセス対策の基本です。以下の点を守って適切に管理しましょう。

• 社内のパスワードポリシーを守る
• 社内で利用しているアカウント情報を社外で使わない
• アカウント情報を人に見られる場所で管理しない
• アカウント情報を人と共有しない

社内のパスワードポリシーを守りつつ覚えやすいアカウント情報を作る方法の一つに、コアパスワードという手法があります。コアパスワードについては以下の記事で詳しく解説しています。

OSやアプリケーションは原則として最新の状態を保ちましょう。
アップデートにはセキュリティの脆弱性を修正する内容が含まれています。最新の状態を保つことで、既知の脆弱性を狙った攻撃を防ぐことができます。

多くの企業では、情報システム部門などによりアップデートの管理・配信がおこなわれています。アップデート配信後の機器の再起動など、情報システム部門の指示にしたがって最新の状態を保つようにしましょう。

パソコンやスマートフォンなどのIT機器は適切に管理することが大切です。社外では紛失や盗難のリスクがあることを意識し、一時的にであっても機器を公共の場に置きっぱなしにしない、覗き見防止フィルタをつけるなどのセキュリティ対策を講じましょう。

不審なメールや見知らぬURLには注意が必要です。不用意に開くと、個人情報が不正に取得されたり、マルウェアに感染したりする可能性があります。身に覚えのないメールやURLは開かないようにし、判断が難しい場合には、上長への相談や先方への確認で正当なメールであることがわかってから開くようにしましょう。

公共の場所で提供されているフリーWi-Fiは便利ですが、誰でも接続できる分、セキュリティ上のリスクがあります。悪意ある第三者がフリーWi-Fiを通じて機器に侵入する可能性があるため、使用しないようにしましょう。

従業員が自由にソフトウェアをインストールできる状態だと、安全性が保証されていないソフトウェアがインストールされてしまうリスクがあります。端末にインストール制限をかけ、許可されたソフトウェアのみがインストールできる状態にしましょう。

不要な機能やサービスを動かしているとメンテナンスが甘くなり、不正に悪用されるリスクが高まります。定期的に稼働しているサービスをチェックし、不要なサービスは停止しましょう。

環境に応じて不正アクセス対策ツールの導入を検討しましょう。代表的なシステムには以下のようなものがあります。

• アンチウイルス/EDR：ユーザーのコンピューターのウイルス侵入防止/ウイルス被害最小化を図るツール
• ファイアウォール：不要な通信を遮断しシステムを保護するツール
• WAF（Web Application Firewall）：Webアプリケーションの脆弱性を悪用した攻撃を防ぐツール
• IDS/IPS（侵入検知/防御システム）：ネットワークへの不正な侵入を検知/遮断するツール
• NDR：ネットワーク内の不審な挙動を監視し未知の脅威を検知するツール

QT PROでは、お客さまの環境にあわせてさまざまなセキュリティサービスをご提供しています。不正アクセス対策の強化をお考えの方は、ぜひお気軽にご相談ください。

システムやデータに対する権限（パーミッション）を適切に設定すると、情報漏洩のリスクを軽減できます。アクセス権限の付与は必要最小限とし、定期的に見直すことが大切です。

多要素認証の導入は、不正アクセスのリスク低減に効果的な方法です。パスワードだけでなく、指紋認証やワンタイムパスワードなど、複数の要素を組み合わせることで、セキュリティレベルは向上します。

従業員のセキュリティ意識を高めることは、組織全体の防御力を向上させるうえで重要な取り組みです。定期的な研修や最新のセキュリティ脅威に関する情報共有をおこなうことで、人的要因による不正アクセスのリスクを減らすことができます。

QT PROでは、従業員のリテラシーを高めるセキュリティ研修ならびに実践的な標的型メール訓練サービスを提供しています。

自社のシステムに関するセキュリティ上の弱点を把握するために、定期的なセキュリティ診断を実施しましょう。専門家による診断を通じて潜在的な問題点を洗い出し、適切な対策を講じることで、より強固なセキュリティ体制を構築できます。

セキュリティ診断の具体的な実施内容は以下の記事で詳しく解説しています。

また、最新の情報セキュリティ対策については以下の記事で詳しく解説しています。

高度化する近年のサイバーセキュリティ環境を受け、対応するセキュリティツールも多様化しています。一方、各セキュリティツールは通常のITツールと比べて高額なケースが多いため、セキュリティ対策に割けるコストを考えながら導入する必要があります。

また、セキュリティ課題の抽出やリスクアセスメント、対策の検討など、一連のプロセスにはセキュリティの専門性や一定の工数が必要となり、日々の企業活動のなかで取り組むのが難しいケースもあるでしょう。

QT PROでは、企業のセキュリティ状況を迅速に可視化しセキュリティ課題やリスクを明確化する「QTクイックセキュリティアセスメントサービス」をご提供しています。
QTクイックセキュリティアセスメントサービスを利用すれば、企業内のセキュリティ課題が分かるだけでなく、どの課題に優先的に対応しなければならないかも明確になります。

自社のシステムのセキュリティ強化をお考えの際は、ぜひQTクイックセキュリティアセスメントサービスをご利用ください。

不正アクセスとは、アクセス権限を持たない第三者がコンピューターやネットワークに侵入し、データやシステムを不正に利用・操作する行為を指します。

サイバー攻撃のハードルが下がったことやテレワークの浸透、スマートフォンの普及などを背景に、不正アクセスの被害件数が増加しています。また、攻撃の手口も巧妙化、多様化しており、これまで以上に十分な対策が求められています。

企業への不正アクセスにおいては、企業活動の一時停止や顧客からの信頼の失墜など、大きな被害を受ける可能性があり、企業経営を維持するためにも不正アクセス対策が必要不可欠です。この記事で解説した内容を参考に、積極的に不正アクセス対策に取り組みましょう。