不正なアクセスとは？

不正なアクセスとは、アクセス権を持たない第三者が、悪意を持って正規のルートではない方法でシステムなどにアクセスを試みることです。

個人情報が盗まれる、サイトにマルウェア（相手に不利益を与える目的で作られた悪意のあるプログラム）が仕込まれたなどは、一度は耳にしているのではないでしょうか。

不正なアクセスの目的は以下のようなことが考えられます。

不正なアクセスの目的
サイトやファイルの改ざん	サイトやファイルにマルウェアを仕込み、アクセスしてきた利用者のPCを感染させたり、情報を盗み取ったりする
情報漏えい	重要な情報（社外秘の機密情報や個人情報）が外部に漏れる 外部に漏れた情報はダークウェブと呼ばれる闇サイトで売買されることもある
他のシステムへの踏み台	不正アクセスに成功したPCを乗っ取り、スパムメールを大量に送信したり、DDoS攻撃（対象のサイトやサーバーに異常な量の情報を送りつけ、システムをダウンさせる攻撃）などのサイバー攻撃を仕掛ける 乗っ取られたPCは意図しないうちに加害者となる

不正なアクセスを受けると、ステークホルダー（企業の利益に関係するすべての人物）に影響を及ぼすだけでなく、社会の信頼も失ってしまいます。

そのため、不正なアクセスをされないように徹底的に対策をとる必要があるのです。

参考元：『不正アクセスとは』総務省　国民のためのサイバーセキュリティガイド

不正なアクセスの発生状況とその原因

総務省によると、2021年の不正なアクセスの発生件数は1,516件です。

引用元 : 総務省　不正アクセス行為の発生状況

内訳は以下のとおりとなっています。

管理者別不正アクセス発生状況（2021年）
一般企業	1,492
行政機関等	15
プロバイダ	5
大学・研究機関等	4
その他	0
合計	1,516

参考元：総務省　不正アクセス行為の発生状況

また、不正なアクセスの手口は以下のとおりです。

不正アクセス行為の手口別検挙件数（2021年）
識別符号窃用型 （IDやパスワードが何らかの理由で悪意のある第三者に渡り、悪用される）	検挙件数	398
	検挙事件数	182
セキュリティホール攻撃型 （セキュリティの脆弱性を突いて不正にアクセスを行う）	検挙件数	10
	検挙事件数	8
合計	検挙件数	408
	検挙事件数	189（重複1）※

※1つの事件で複数区分の行為を検挙した場合はそれぞれに重複して計上。

参考元：総務省　不正アクセス行為の発生状況

資料から、不正なアクセスの90％以上が、IDやパスワードなどのアカウント情報の漏えいや流出による「識別符号窃用型」であることがわかります。

不正アクセスを防ぐためにも、アカウント情報の厳重な管理やセキュリティの強化を怠らないようにしましょう。

不正なアクセスにつながるサイバー攻撃

不正なアクセスに繋がるサイバー攻撃はおもに5つあります。

1. パスワードリスト攻撃
2. 総当たり攻撃
3. SQLインジェクション
4. OSコマンドインジェクション
5. バッファオーバーフロー攻撃

サイバー攻撃は年々巧妙化し、気づかないうちに被害に遭っていたケースも少なくありません。

それぞれの攻撃について知り、不正アクセスされないように対策をとるようにしましょう。

（１）パスワードリスト攻撃

不正なアクセスや情報漏えいなどにより入手したID・パスワードのリストを、さまざまなサイトで試してログインしようとする方法がパスワードリスト攻撃です。

IDやパスワードを覚えるのが面倒くさいなどの理由から、アカウント情報を使い回す人が多いことに目をつけ、悪意のある第三者はパスワードリストによる攻撃を仕掛けます。

IDやパスワードは、利用するサイトやサービスごとに違うものを設定するようにしましょう。

また、パスワードは記憶できるものにして、メモに残さないようにするのがおすすめです。

ふせん紙に書いて貼り付ける、PCのメモなどに残すなどの行為は、アカウント情報の流出に繋がる可能性があります。

（２）総当たり攻撃

総当たり攻撃は「ブルートフォース攻撃」とも呼ばれ、パスワードとなる可能性のある数字や英語の組み合わせを片っ端から試してログインを試みる攻撃です。

例えば、ATMの暗証番号は4桁の数字のため、「0000」から「9999」まですべてを試せば必ず暗証番号を見破れます。

そのため、銀行などの暗証番号は数回認証が失敗するとロックがかかるようになっているのです。

パスワードを10桁以上の適度な長さにすることは、総当たり攻撃の防止に繋がります。

（３）SQLインジェクション

データベースを操作する言語であるSQLの中に不正なSQLを入れ込んで、データを盗み見たり改ざんしたりする攻撃がSQLインジェクションです。

SQLインジェクションは、主にデータベースを操作するサイトに罠として仕込まれます。

SQLインジェクションの攻撃を受けると、Webサイトの改ざんや個人情報の漏えいの被害が発生します。

SQLインジェクションは情報を盗み出すだけでなく、データの改ざんや削除も可能です。

積み上げてきたデータが削除されてしまうとビジネスが継続できなくなるため、最新データは定期的にバックアップしておきましょう。

（４）OSコマンドインジェクション

OSコマンドインジェクションとは、OSの脆弱性を突いたサイバー攻撃の1つです。

Webサイトの入力欄に不正なOS操作コマンドを埋め込みWebサーバーに送信し、サーバーの改ざんや乗っ取りなどを行います。

OSコマンドインジェクションに遭うと、データの改ざんや破壊、個人情報の流出やWebサーバーを他のサイバー攻撃の踏み台にされるなどの被害が起こります。

（５）バッファオーバーフロー攻撃

バッファオーバーフロー攻撃は、「バッファ」に過剰なデータを送り込み機能停止や予想外の行動を起こさせるのが目的の攻撃です。

データを一時的に蓄えておくメモリを「バッファ」と呼びます。

データがバッファが処理できる以上に送り込まれると処理が間に合わず、意図しない処理をする場合があります。

バッファオーバーフロー攻撃は、バッファの脆弱性を突いた攻撃です。

攻撃を受けると、データの改ざんや情報漏えい、サイバー攻撃への踏み台にされるなど、さまざまな被害が想定されます。

不正なアクセスの主な手口

不正なアクセスの主な手口として4つの方法が考えられます。

1. システムの脆弱性をねらう
2. ウイルスを利用する
3. なりすまし
4. フィッシング攻撃

それぞれの手口について、詳しく説明します。

（１）システムの脆弱性をねらう

悪意のある第三者は、OSやアプリケーションなどにシステムの脆弱性があった場合、集中的に狙って攻撃を仕掛けてきます。

システムの脆弱性は穴が空いているようなものなので、そこをついた方が不正なアクセスをしやすいからです、

システム開発者も脆弱性がないように細心の注意を払っていますが、その時は完全だと思っていても、後から脆弱性が見つかることは良くある話です。

問題なく使えているからといって、脆弱性をそのままにしていると自ら不正なアクセスへのリスクを高めてしまいます。

システムに脆弱性が見つかり、修正プログラムが発表された際にはすぐに適用することが重要です。

（２）ウイルスを利用する

不正なアクセスを実行するために、Webサイトやアプリなどにマルウェア（コンピューターウイルスなどの悪意のあるソフトウェア）が仕掛けられる例も見られます。

PCがウイルスに感染するとさまざまな悪影響があります。

不正なアクセスにより情報が漏えいしたり、サイバー攻撃の踏み台にされるケースは、PCがウイルスに感染したために起こることもあります。

ウイルスに感染しないために、怪しいと思ったサイトにアクセスしない、メールに添付されているURLやファイルは信頼の置けるものかどうか確認するなどの対策が必要です。

（３）なりすまし

なりすましによる不正なアクセスは、情報漏えいなど何らかの方法でアカウント情報を入手した悪意のある第三者が、本来の利用者になりすましてログインすることを指します。

なりすましの被害の一例として、以下のようなことが発生しています。

• アカウントを乗っ取られる
• 個人情報を盗み取られる
• 不正送金
• 誹謗中傷など勝手に発言し、他人を傷つけてしまう

なりすましの対策でまず考えられることは、厳重なアカウントの管理です。

安全なパスワードを設定し厳重に管理する、シングルサインオン＋多要素認証などを用いるなど、アカウント管理は日頃から十分注意するようにしましょう。

（４）フィッシング攻撃

フィッシング攻撃は、主に個人情報を盗み出す目的で、偽サイトのURLを添付したメールやSMSを送りつけることを言います。

悪意のある第三者は、フィッシング攻撃で盗み出した情報を元に不正なアクセスを行い、クレジットカードの不正利用や不正送金などを行うのです。

フィッシング攻撃の場合は、誤ってURLをクリックしただけならほとんどの場合被害が発生しません。

本物のサイトと信じて個人情報を入力したときに、悪意のある者に情報を盗まれてしまいます。

URLが記載されたメールで少しでもおかしいと思った場合には、メールが信頼できるサイトから送られているか、URLは正しいかチェックした方がいいでしょう。

不正なアクセスへの対策

不正なアクセスへの対策として、4つの方法を紹介します。

1. サーバーやソフトウェアの更新
2. 不要なサービスの利用停止
3. ゼロトラストセキュリティの導入
4. 社内リテラシーの向上

不正なアクセスが発生する理由はさまざまです。

すべての対策を実施し、できる限りリスクを下げるようにしましょう。

（１）サーバーやソフトウェアの更新

サーバーやソフトウェアは常に最新のものにしておくことで、プログラムの脆弱性を突いた不正なアクセスのリスクを下げられます。

脆弱性が発生する理由は、プログラム設計時のミスや不具合と言われていますが、いくらチェックを重ねても、開発時に気づかない場合や、後から気づくことがあります。

脆弱性はそのままにしていても自然に修復するものではありません。

システム開発会社から公表される修正プログラムを適用する以外方法がないのです。

そのため、サーバーやソフトウェアを更新し、修正プログラムが適用されたシステムで運用することが、不正なアクセスの防止に役立ちます。

（２）不要なサービスの利用停止

不要なサービスの利用を停止することは、不正なアクセスの防止に繋がります。

不要なサービスをそのままにしていたために不正アクセスされ、被害が拡大する例も見られるからです。

2022年現在、11以上のSaaSサービスを利用している企業は2020年に比べて32.7％増加しました。

さらに、7割以上がSaaSの未使用アカウントを所有していたり、SaaSの運用をIT担当者任せにしていると言う調査レポートも発表されています。

数多くのSaaSを担当者任せにすることは、担当者の大きな負担になるだけでなく、担当者のミスや過失による不正なアクセスが発生するリスクも高まるのです。

SaaSの管理には、メタップスクラウドのようなSaaS一元管理ツールの使用がおすすめです。

一元管理ツールを使うことで未使用アカウントが可視化され、不正なアクセスのリスクやSaaSにかかるコストの削減が可能になります。

メタップスクラウドはシングルサインオンやアクセス管理によるセキュリティ強化など、さまざまな機能を揃えています。

SaaS管理を効率よく行い、不正なアクセスのリスクを下げたい方は、ぜひ、公式サイトをご覧ください。

（３）ゼロトラストセキュリティの導入

ゼロトラストセキュリティの導入も、不正なアクセスの防止に役立ちます。

なぜなら、不正なアクセスの原因は社内外関わらずあるからです。

ゼロトラストセキュリティは「『すべて信用しない』という考えをもとに、あらゆるネットワークの安全性を検証する」考え方を元にしたセキュリティモデルです。

近年ではクラウドサービスの利用やテレワークが増加し、社内システムがネットワークで外部と繋がっている機会も多くあります。

また、ヒューマンエラー（人的なミスによる情報漏えいなどのリスク）も以前より多く発生しています。

そのため、今までの考え方を改めセキュリティを強化していく必要があります。

（４）社内リテラシーの向上

不正なアクセスを防止するためには、社内リテラシーの向上も必要になります。

社員（元社員も含む）が、故意・過失を問わずに内部から情報を漏らしたり不正行為を行ったりする内部不正は、大きな問題となっています。

そのため、社内研修を行う・簡単なセキュリティに対するテストを実施するなど、社内リテラシーを向上させるための対策は不正なアクセスの防止に有効な手段なのです。

不正アクセスのリスクは、社内外関係なくあることを理解しましょう。

まとめ

不正なアクセスとは、アクセス権を持たない第三者が正規のルートではない方法で不正にアクセスを試みることを言います。

不正なアクセスにはさまざまな手口や要因があるため、システムだけでなく社内リテラシーの向上など、人的リスクへの対策も取らなければなりません。

すべての対策を実施するには手間がかかるので、セキュリティ強化に繋がるツールを使用するのも有効な手段です。

メタップスクラウドはSaaS利用状況の可視化やそれぞれのサービスへのアクセス管理ができるツールです。

セキュリティへの対策にツールを使うと手間や時間の削減にも繋がるので、不正なアクセスを防止したいと考えている方は、導入を検討してみてはいかがでしょうか。