近年、サイバー犯罪の1種である不正アクセスが増加しています。不正アクセスとは、アクセス権限を持たない第三者が、悪意を持ってデバイスやシステムに侵入する行為です。法律によって厳しく取り締まりが行われていますが、公的機関や病院などさまざまな機関で被害が発生していることが事実です。
これを見て、「自分の会社の不正アクセス対策は十分だろうか?」と不安に思った方もいるでしょう。そこでこの記事では、「不正アクセスの事例や原因・対策」を解説します。不正アクセスによって生じる被害についても解説するので、ぜひ参考にしてください。
目次
不正アクセスとは
不正アクセスとは、アクセス権限を持たない第三者が、悪意を持ってデバイスやシステムに侵入する行為です。不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況(警察庁)の調査によると、令和5年には6,312件の不正アクセス行為の認知件数が警察庁に報告されています。令和4年の2,200件と比較すると、3倍近くに増加しました。
不正アクセスの手口は年々巧妙化し、中にはデータの暗号化やデバイスのロックを行い、解除と引き換えに身代金を要求するものもあります。不正アクセスは、重要データの改ざんや漏洩につながり、企業にとって大きな損害をもたらします。
また、不正アクセスによって企業が保有する情報が漏洩することで、顧客にも被害が及ぶ可能性も否定できません。悪質な行為によって自社イメージに傷をつけないためにも、不正アクセスへの対策は不可欠です。
不正アクセスのよくある被害事例
不正アクセスは、アクセス権限を持たない第三者が、デバイスやシステムに侵入する行為であるということは前の項で解説しました。不正アクセスは、デバイスやシステムへの侵入だけでなく、重要データの漏洩や削除にもつながります。
ここでは、不正アクセスによって引き起こされる、よくある被害事例を解説します。最悪の場合、業務停止に追い込まれるケースもあるため、しっかり確認しましょう。
- 情報漏洩
- 身代金の請求
- データの削除や改ざん
- システムの停止
情報漏洩
不正アクセスによって、もっとも発生しやすい被害の1つが情報漏洩です。企業のデータが搾取され、顧客情報や機密情報の漏洩が起こります。情報漏洩は、企業の信用を低下させるだけでなく、損害賠償の責任につながるケースもあります。
業務停止などといった大きな損害を生まないためには、社内で使用するネットワーク回線やデバイスのセキュリティ対策が不可欠です。テレワークなどで、個人の回線やデバイスを使用する機会がある企業の方は、特に注意しましょう。
身代金の請求
不正アクセスの1つに「ランサムウェア」という手口があります。ランサムウェアとは、パソコンやスマートフォンに感染して、保存されているデータの暗号化やデバイスロックを引き起こすコンピュータウイルスです。制限の解除と引き換えに身代金を要求します。
令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について(警察庁)の調査によると、令和6年上半期におけるランサムウェアの被害報告件数は、114件と年々増加傾向にあります。ランサムウェアは近年、手口が悪質かつ巧妙化し、身代金の支払いを拒否すると、業務停止などの被害につながることも。
しかし、身代金を支払ったとしても制限の解除が保証されるわけではないため、要求には絶対に応じてはいけません。脆弱性のあるデバイスやシステムは、ランサムウェアの感染リスクが高いため、バージョンのアップデートやウイルス対策ソフトの導入などといった対策が必要です。
データの削除や改ざん
不正アクセスによって、データが削除もしくは改ざんされることがあります。企業の機密情報や顧客情報が消去されると、業務に支障をきたし、最悪の場合業務停止に追い込まれることも。
よくあるケースとしては、退職者による不正アクセスが挙げられます。ログイン情報を知っている退職者が、退職後に不正アクセスしてデータを持ち出した後に、削除・改ざんするという手口です。
万が一、退職者による不正アクセスで情報漏洩が起きた場合でも、賠償責任を負うのは情報を漏洩させた企業です。このような被害に遭わないために、データのアクセス権限の管理や秘密保持契約書などの対策が重要です。
システムの停止
不正アクセスによる被害の1つが、システムの停止です。アクセス権限のない第三者がアクセスすることによってサーバーがダウンし、システムが停止します。特に脆弱性のあるサーバーは、被害が大きくなるリスクがあります。
また、ランサムウェアなどのウイルスの場合、感染したデバイスやシステムを放置すると、同一ネットワーク回線全体へ感染が拡大する可能性もゼロではありません。そのため不正アクセスされた際に、被害を最小限に抑えるためにシステム停止せざるを得なくなるケースも少なくありません。
不正アクセスの過去の事例
不正アクセスに遭うと、デバイスやシステムに侵入されるだけでなく、情報漏洩やシステムの停止など、大きな被害につながる可能性があることを前の項で解説しました。
実際に、国内の公的機関や病院なども不正アクセスの被害に遭っています。ここでは、不正アクセスの被害に遭った過去の事例を5つ紹介します。不正アクセスの手口や原因を知って、自社が被害に遭わないための対策に役立てましょう。
- 日本年金機構
- 徳島・半田病院
- マツダ株式会社
- 山形大学
- タリーズコーヒージャパン株式会社
日本年金機構
2015年、不正アクセスによって、日本年金機構に登録された125万件の個人情報が流出しました。メールに添付されたウイルス付きのファイルの開封によって、機構職員のデバイスがウイルス感染したことが流出の原因とみられています。
流出した情報には基礎年金番号と氏名が含まれ、そのうち約5.2万件は生年月日や住所も流出しています。国内の公的機関としては過去最大規模の情報流出となり、同年6月には事案の発生原因の究明や再発防止に取り組む「日本年金機構不正アクセス事案検証委員会」が立ち上がりました。
徳島・半田病院
2021年10月、徳島県のつるぎ町立半田病院がランサムウェアによるサイバー攻撃を受けました。電子カルテをはじめとした、院内のシステムが身代金要求型コンピュータウイルス(ランサムウェア)に感染し、通常診療が停止するなどの被害を受けています。
感染の原因は判明していませんが、院内のVPN機器の脆弱性が狙われた可能性が高いとみられています。また、患者情報等の漏洩はなかったものの、システム復旧にかかったコストや時間を踏まえると、病院や患者への損害は非常に大きいものとなりました。
マツダ株式会社
2023年、自動車メーカーマツダ株式会社が管理する個人情報の一部が、不正アクセスによって外部へ流出した可能性があることが判明しました。社内のアプリケーションサーバーの脆弱性が原因であると判明しています。
不正アクセスを受けたサーバーには顧客の個人情報は保管されておらず、社員をはじめとした約10万件の関係者の個人情報が流出しました。
山形大学
2023年、山形大学が運用する研究室ホームページのサーバが不正アクセスの被害に遭いました。大学の調査によると、不正アクセスを受けたホームページは改ざんされ、不正なプログラムが書き込まれていたことが判明しています。
改ざんされたホームページは、閉鎖後再度不正アクセスが確認されたため、該当サーバーが管理する全てのホームページが閉鎖されました。また、大学関係者380人分の氏名やメールアドレス等を含んだ、個人情報が漏洩した可能性があることも発表しています。
原因については明らかになっていませんが、サーバもしくはホームページ上の脆弱性が狙われた可能性が高いとみられています。
タリーズコーヒージャパン株式会社
2024年、タリーズコーヒージャパン株式会社が運営する、タリーズオンラインストアが不正アクセスを受けました。これにより、顧客の個人情報92,685件、クレジットカード情報52,958件が漏洩した可能性があると判明しています。
システムの一部の脆弱性をつかれ、ペイメントアプリケーションが改ざんされたことが原因となっています。
不正アクセスの対策
前の項で紹介した通り、公的機関や病院など機密情報や顧客情報を多く扱う機関も、不正アクセスの被害に遭っています。法律によって、不正アクセスをはじめとしたサイバー犯罪の取り締まりは強化されていますが、悪質かつ巧妙化している手口によって、被害件数は増加していることが事実です。
そのため、業種などにかかわらず、漏洩すると困る情報を扱う全ての企業にとって、不正アクセスへの対策は不可欠です。ここでは、不正アクセスへの3つの対策を解説します。
- ウイルス対策ソフトの導入
- OSやアプリケーションは最新の状態を保つ
- 社内教育の徹底
ウイルス対策ソフトの導入
ランサムウェアをはじめとしたウイルスへの対策として、ウイルス対策ソフトの導入は基本となります。ウイルス対策ソフトがあれば、万が一不正アクセスされた時でも、ウイルスをすぐに検知し、被害を最小限に抑えることが可能です。
しかし、ソフトによっては、特定のウイルスにしか対応できないタイプもあるため、自社にとってどのような対策が最優先なのかを導入前に明確にしておく必要があります。また、導入して終わりではなく、ウイルス対策ソフト自体のバージョンアップデートも定期的に行いましょう。
OSやアプリケーションは最新の状態を保つ
前の項で紹介した事例を見てわかる通り、不正アクセスはデバイスやシステムの脆弱性が原因となるケースが多くなっています。そこで重要となるのが、OSやアプリケーションのアップデートです。
OSやアプリケーションのバージョンが古いままだと、何かしらの欠陥・不具合が生じるため、不正アクセスのリスクも高まります。そのため、普段使用しない機器であっても、定期的にバージョンを確認し、最新の状態を保ちましょう。
社内教育の徹底
社内の不正アクセスの被害を抑えるためには、社員への教育の徹底が重要です。例えばランサムウェアの場合、1つのデバイスが感染すると、同じネットワーク回線を介する社内の他のデバイスにも感染が拡大します。そのため、以下のようなルールを徹底し、不正アクセスさせない環境を作りましょう。
- 安易なパスワードを設定しない、パスワードの使いまわし(他サイトと同じ)をしない、12桁以上など長いパスワードにする
- 不審なメールやファイルは開かない
- アクセス権限の管理
- デバイスの持ち出しルールの設定
不正アクセスの対策ならibisStorage
この記事では、「不正アクセスの事例や原因・対策」を解説しました。不正アクセスとは、アクセス権限を持たない第三者が、悪意を持ってデバイスやシステムに侵入する行為です。不正アクセスは、情報漏洩やデータの削除・改ざんなど、企業に大きな損害をもたらします。
法律によって取り締まりは強化されていますが、公的機関や病院もその被害を受けています。不正アクセスによって、顧客への損害や企業イメージの悪化を引き起こさないためには、徹底したウイルス対策が重要です。
しかし、手口が巧妙化している不正アクセスを、自力で防ぐことは現状、難しくなっています。
株式会社アイビスが提供するibisStorage(アイビスストレージ)は、社内のファイルを保存し、共有するクラウドストレージサービスです。NASや社内ファイルサーバーに比べてセキュリティレベルが高く安心です。
承認されたデバイスかつ承認されたユーザーからのみのアクセスを許可するゼロトラストセキュリティを採用しているため、不正アクセスへの対策にも最適です。不正アクセス対策や重要なデータの管理に不安がある企業の方は、一度試してみるとよいでしょう。フリープランや無料トライアルもあるためおすすめです。
