不正アクセス、その確認と対策について
Yukie
|Web サイト運用・セキュリティ対策 | 2025年6月29日
インターネットが企業活動に不可欠となり、さらにテレワークも普及したことで、不正アクセスのリスクが高まっています。外部からの攻撃だけでなく、内部不正によっても情報漏えいやウイルス感染の可能性があるのが不正アクセスの怖さです。本記事では、不正アクセスによるリスクや最新の手口、未然に防ぐための対策方法を紹介します。
不正アクセスとは
正規のアクセス権限を持たない者がシステムや端末に侵入する行為を総称して「不正アクセス」といいます。入手した情報を使って不正注文が行われたり、重要な情報を改ざんされたりしたケースでは、事件化されたものも多数あります。
インターネットは世界中とつながっているため、システムやPCを使用する限り不正アクセスのリスクを完全になくすことはできません。どの企業も被害を受ける可能性があると理解し、適切な対策を講じることが大切です。
不正アクセスが企業に与えるリスク
不正アクセスはただシステムや端末に侵入されるだけでなく、さまざまな損害を企業に与えます。想定される主な被害例は以下の通りで、これらのダメージを負うリスクが常にあるということです。
- 機密情報の流出
- ブランドイメージの低下
- データの紛失、破損
- ウイルス感染
- 別のシステムや端末への攻撃(踏み台攻撃)
- 広告アカウントの乗っ取りによる予算や設定の不正な変更
事業者の端末に自由に出入りできるようになれば、同じネットワーク内の別の端末にもアクセス可能になり、場合によっては企業の枠を超えて情報の窃取が行われます(踏み台攻撃)。踏み台攻撃の標的になってしまうと図らずも加害者になってしまい、大きなトラブルに発展するおそれがあるため、「自分のところは大した情報がないから大丈夫」という認識は危険です。
最新の不正アクセスの手口
総務省では不正アクセス行為の認知件数を発表しています。同省の発表によりますと2020年は2,806件だったのが、2023年は6,312件、2024年は5,358件とのことです。2020年から2024年にかけては4年間で約1.9倍に増加しており、高水準で推移していることがわかります。そして不正アクセスの増加だけでなく、最近ではその手口も年々巧妙化しているのが現状です。特に多く見られる最新の不正アクセスの手口を以下に紹介します。
参照元:総務省|不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
パスワード解読・入手
最も代表的な手口は、他人のIDやパスワードを使った不正アクセスです。総務省の調査によると、2024年における不正アクセス禁止法違反事件の検挙数563件のうち、9割以上を識別符号窃用型(他人のIDやパスワードを使った不正アクセス)が占めています。
設定・管理の甘さにつけ込んだ犯行や、パスワードを知り得る立場にあった元従業員・知人による犯行が中心です。また、最新の事例では、生成AIを悪用して不正アクセスが行われたケースもあります。
参照元:総務省|不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
システムの脆弱性をついたウイルス感染
不正アクセスの入り口になりやすいのがシステムの脆弱(ぜいじゃく)性です。脆弱性は、コンピューターのOSやソフトウェアの不具合・設計ミスによって発生するセキュリティ上の欠陥です。脆弱性が狙われることで、ウイルス感染や情報漏えいの被害を受けるリスクがあります。
また、近年では「ゼロデイ攻撃」という新たな脅威が生まれています。開発元が脆弱性を発見してから修正プログラムを提供するまでのわずかな隙をついて攻撃を仕掛けるため、対策が極めて難しいのが特徴です。
組織内の従業員や関係者による内部不正
不正アクセスのリスクは外部からの攻撃だけではありません。組織内の従業員や関係者が意図的に権限を悪用して情報を盗み、漏えいさせたり、企業に損害を与えたりする内部不正も残念ながら多く見られます。
近年はテレワークが普及していることもあって、内部情報の不正な持ち出しや、個人の端末からの情報漏えいが増えています。現従業員はもちろん、退職者も含めてアクセス権限を見直す対策が必要です。
不正アクセスを未然に防ぐための5つの対策
不正アクセスは、特定の企業や個人を狙う標的型攻撃だけでなく、不特定多数を対象にした無差別攻撃も行われる悪質な行為です。どの企業も被害を受ける可能性があるため、未然に防ぐために日頃から以下のような対策を講じましょう。きちんとした対策をしておけば、万が一攻撃を受けた場合にも被害を最小限に抑えられます。
1.二要素認証
多要素認証とも呼ばれる対策方法です。よく似た言葉に「二段階認証」がありますが、本人確認を2回に分けるだけで要素は問わない二段階認証に対し、二要素認証は2つの異なる要素の組み合わせで不正アクセスのリスクを低減します。以下の3種類の情報のうち、2つ以上を組み合わせて認証を行う方法が一般的です。
二要素認証に用いられる情報
- 知識情報:ID、パスワード、秘密の質問など
- 所持情報:ICカード、ワンタイムパスワードなど
- 生体情報:指紋、顔、静脈など
例えば、システムにログインする際に、パスワードに加えてICカードを認証に用いると、安全性が高まります。「パスワードと秘密の質問」といった1個の要素のみよりも格段に解読されづらく、不正アクセスの有効な対策となります。
2.アカウント権限管理
組織内の従業員や関係者による不正アクセス防止に有効な対策方法が、アカウント権限を厳格に管理することです。攻撃者は、正規のユーザーのIDとパスワードを用いて機密情報に不正アクセスする場合があります。長期間利用されていないアカウントや退職者のアカウント、テストアカウントなどを削除することで、悪用されるリスクを軽減できる点がメリットです。
また、すべての従業員にアカウントの権限を与えるのではなく、必要な人とそうでない人を見極めることも不正アクセス防止には重要です。本当に必要な人にのみ権限を与えれば、悪用されるリスクを軽減できます。
3.ゼロトラストセキュリティ
文字通りトラスト(信頼)をゼロ(何もない)という「どのアクセスも信頼しない」前提のもとでセキュリティ対策を進める考え方です。従来は「社内アクセスは信用できるが社外アクセスは信用できない」という考えが主流でしたが、ゼロトラストでは社内アクセスも含めて脅威の可能性を考慮しながら対策を行います。
ゼロトラストを実現するためには、先に紹介した二要素認証やアカウント権限管理のほか、セキュリティソフトの導入も有効です。最新のセキュリティソフトでは、AIや機械学習の技術を活用してプログラムの不審な挙動を検知し、被害を未然に防ぐ機能が備わった製品もあります。システムの規模が大きくなるほどセキュリティ対策は複雑になるため、効率的に管理したい場合はセキュリティソフトの導入を検討してみましょう。
4.エンドポイントセキュリティ
PCやスマートフォン、タブレットといったユーザーが操作する機器である「エンドポイント」、すなわち端末を保護する対策がエンドポイントセキュリティです。テレワークの普及をきっかけに端末を社外に持ち出す機会が増え、働く場所にとらわれないセキュリティ対策が重要視されるようになりました。
例えばテレワーク環境下で無料Wi-Fiを使用した場合、外部からサイバー攻撃をしかけられやすく、その被害が社内ネットワークにまで広がるおそれがあります。不正なWebサイトの閲覧やアプリのダウンロードによってマルウェア感染するケースもあるため、従業員が使用する端末のセキュリティ対策は重要です。
5.アクセスログ分析
異常なアクセスパターンの早期発見や、システムトラブルの原因特定にはアクセスログ分析が効果的です。アクセスログとは、サーバーやネットワーク機器に対し、ユーザーや外部システムが行ったリクエストの記録データを指します。接続元のIPアドレスやアクセス日時、利用した端末情報などが含まれるため、いつどこからアクセスされたのかを把握するのに役立ちます。
また、アクセスログはユーザーの操作履歴の証拠としても有効です。万が一、従業員による内部不正が行われた際にも、アクセスログをもとに調査や対応を迅速に進められます。
まとめ
不正アクセスは、情報漏えいやブランドイメージの低下、踏み台攻撃など、さまざまなトラブルにつながる悪質な行為です。どの企業も被害を受ける可能性があるため、未然に防ぐための対策を講じましょう。
例えばCHEQ は、全てのボットや不正ユーザーを可視化します。全ユーザーに対して、2000項目以上のサイバーセキュリティチェックを行うことで、悪意のあるトラフィックを自動的にブロックします。自社のセキュリティ状況を客観的に把握したい方は、まずはCHEQの無料セキュリティ診断をお試しください。
