不正アクセスの被害事例から学ぶ主な手口と企業が行うべき対策
例年企業で発生するセキュリティーインシデントの中でも、不正アクセスは件数が多く、国内でも繰り返し注意喚起が行われています。不正アクセスから機密情報の流出につながり、大規模な情報セキュリティー事故に発展した事例も少なくありません。
本記事では、引き続き注意すべき不正アクセスの実態を確認するために、よくある被害事例や手口をご紹介します。企業のセキュリティー対策を強化する対策方法についてもお伝えするため、情報セキュリティーのご担当者様は、ぜひ参考にお読みください。
不正アクセスの被害事例
サイバー攻撃の手口が巧妙化する昨今は、企業でも不正アクセスによる被害が後を絶ちません。初めに、数ある不正アクセスの被害のなかでも、企業を狙った被害例の一部をご紹介します。
Webサイトの改ざん
Webサイトに不正アクセスされて、サイトの内容やプログラムを勝手に改ざんされてしまう事例です。企業が運営する公式サイトやECサイト(オンラインショップ)がターゲットになる可能性もあります。サイトにマルウェアやウイルスを仕込まれて、閲覧したユーザーが感染すると、PC内のデータを窃取されるリスクがあります。また、ユーザーが偽サイトに誘導されるおそれがあるのも注意点です。
個人情報の漏えい
システムやデータベースに不正アクセスされて、個人情報を窃取されてしまう事例です。企業が保有している顧客情報のほか、職員や取引先の情報が狙われて、大規模な情報漏えい事故に発展する危険性があります。場合によっては、氏名・住所・電話番号・クレジットカード情報・アカウント情報・パスワードなどの情報が流出し、犯罪行為に不正利用される可能性も考えられます。
データの破壊
サーバーに不正アクセスされて、内部に保存されていたデータやシステムが破壊されてしまう事例です。企業の業務に必要なデータやシステムが破壊されると、企業活動や提供するサービスの停止を余儀なくされて、甚大な影響が生じるおそれがあります。復旧までに多くの時間がかかって損害が増えたり、攻撃者から高額な身代金を要求されたりと、金銭的な負担も懸念されます。
システムの遠隔操作
パソコンやスマートフォンなどのデバイスに不正アクセスされて、何者かによってシステムを遠隔操作(リモートコントロール)されてしまう事例です。その後、遠隔操作された端末から機密情報が窃取されたり、通販で特定の製品や電子マネーを不正購入されたり、不正送金されたりする被害につながる可能性があります。被害者が遠隔操作されている事実に気づかず、問題の発覚が遅れるケースも珍しくありません。
SNSアカウントの乗っ取り
SNSアカウントに不正ログインされて、乗っ取られてしまう事例です。攻撃者が過去の情報漏えいによって入手したIDやパスワードをリスト化して使用し、不正ログインを行う「パスワードリスト攻撃」による乗っ取りの被害が見られます。他人に乗っ取られたアカウントは、本人のプロフィールが改変されたり、既存の投稿が削除されたり、不審な内容を発信されたりするおそれがあります。
不正アクセスの主な手口
悪意のある第三者が組織のネットワークに不正侵入するケースでは、主にどのような手口が用いられるのでしょうか。続いて、不正アクセス行為の具体的な手口を解説します。
システムやサーバーの脆弱性を狙うもの
システムやサーバーに存在する脆弱性を悪用して不正アクセスを行う手口です。脆弱性とは、情報セキュリティーの欠陥のことで、不具合や設計ミスなどの原因によって生じる場合があります。例として、セキュリティーホールにゼロデイ攻撃(=対策を講じる前に攻撃すること)を仕掛けるケースなどが挙げられます。
ウイルスを利用するもの
ウイルス感染(マルウェア感染)させた端末から不正アクセスを行う手口です。近年では電子メールの添付ファイルや本文に記載されたリンク先からウイルスに感染させるほか、脆弱性のあるネットワークに接続している機器を感染させたり、ウイルス入りのアプリをインストールさせて感染させたりする手口も見られます。
フィッシングによるもの
フィッシングメールを送信して、巧みな嘘で受信者をリンク先のフィッシングサイトへと誘導する手口です。フィッシングサイト上でアカウントIDやパスワードを入力してしまうことで情報流出が起こり、不正アクセスに利用されます。公的機関や利用中のサービスなどを装い、メールの受信者を油断させます。
なりすましによるもの
従業員や取引先の担当者など、ビジネスシーンで実在する人物になりすまして重要な情報を窃取する手口です。なかには関係者のメールアドレスを乗っ取り、業務と関連性の高い件名でメールを送信するといった、巧みな偽装が行われるケースもあります。騙されて盗まれた情報が不正アクセスに利用されます。
関連会社を踏み台にするもの
多数の企業が連携するサプライチェーンを悪用することで、関連会社を踏み台にして大企業に不正アクセスする手口です。セキュリティーが強固な大企業を標的にする際、まずはセキュリティーが脆弱な関連会社に侵入し、関連会社を経由して大企業へのサイバー攻撃を仕掛けます。
不正アクセスの被害事例から学ぶ企業ができる対策
ここまで、不正アクセスの被害事例や手口を解説しました。今後、自社の情報漏えい事故を防ぐには、どのような不正アクセス対策を講じるべきでしょうか。多様化する攻撃者の手口に備えた情報セキュリティー対策をご紹介します。
OSやソフトウェアは常に最新のバージョンに更新する
社内で管理する端末のOSやソフトウェアはこまめにアップデートを行い、速やかに最新のバージョンに更新することが大切です。古いバージョンには脆弱性が残されている可能性があり、放置すると攻撃者からターゲットにされるおそれがあります。
適切なパスワードの設定と管理を行う
オンラインサービスを利用する際は、簡単に予測できるパスワードを使うのは避けたほうが無難です。具体的には、連続する数字、自分の生年月日、社名を含む文字列などは特定されやすいといえます。また、パスワードの他に2段階認証や2要素認証を設定する対策や、定期的に新しいパスワードを登録する対策も有効です。
ソフトウェアのインストールを制限する
社内の端末にソフトウェアをインストールする場合は、不正検知システムを導入し、必ずセキュリティーチェックを実施するのがポイントです。不正検知システムを導入すると、不正なプログラムやソフトウェアを早期に発見して、危険なダウンロードやインストールを防止することにつながります。
適切なパーミッション設定を行う
自社の機密情報へアクセス可能なユーザーを適切に切り分けするために、詳細なパーミッション(=アクセス権限)設定を行います。特定のファイルやフォルダにアクセスできるユーザーを限定することで、外部からの不正アクセスによるリスクを減らし、重要なデータを脅威から守りやすくなります。
定期的に脆弱性の診断を実施する
自社の情報セキュリティーの強度を確認するために、定期的に脆弱性の診断を実施するようおすすめします。診断サービスはセキュリティーサービスの提供会社などに依頼可能です。自社のセキュリティー対策の課題を明らかにして、対策方法を検討する際に活用できます。
身に覚えのないメールは開封しない
業務で使用しているメールアカウントに不審なメールが届いた場合は、開封せずに情報セキュリティーの担当部署へ報告や相談をすることが大切です。ウイルスやマルウェアはメールから感染するケースが多いため、身に覚えのないメールの送付に注意する意識が求められます。
IT機器やサービスは適切に管理する
業務で使用するIT機器やサービスは管理を徹底し、セキュリティーの安全を確保して運用する必要があります。近年はテレワーク体制でクラウドサービスなどのツールを活用する企業も多くなりました。暗号化などの強固なセキュリティー対策を講じ、不正アクセスで狙われにくい環境を整備することが大切です。
従業員にセキュリティーに関する教育を行う
従業員のセキュリティーリテラシーが低い状態では、攻撃者による巧みな偽装に騙される危険性が高く、不正アクセスなどの被害を招くおそれがあります。社内で最新のサイバー攻撃の手口を共有するとともに、情報漏えいを防ぐための社内ルールを周知し、危機管理意識を高めることも重要です。
セキュリティーソフトを導入する
不正アクセスをはじめとしたサイバー攻撃に備えて、専用のセキュリティーソフトを導入するのが望ましいといえます。セキュリティーソフトには、端末の状況をリアルタイムで管理する機能や、標的型攻撃から社内を保護するファイアウォールなど、セキュリティー強化に貢献する機能が搭載されています。
- 最新のサイバー攻撃の傾向、活動と休止を繰り返すEmotet
- 対策として注目される「多層防御」とその効果
- 「多層防御」していないとどうなるか?
- 「多層防御」によるセキュリティー対策の具体例
ご相談・お問い合わせ
受付 9:00-12:00/13:00-17:00(土曜、日曜、祝日および当社指定休日は除く)
受付後、詳細について専門担当より折り返しご連絡させていただきます。