ネット利用におけるトラブルの一つが不正アクセスです。公私ともに不正アクセスの被害にあったことがない人は、不正アクセスとはどういったものか、それによりどのような被害が起きるのか、はっきりと理解していない人もいるかもしれません。
今回は、不正アクセスの定義・不正アクセスの種類とその対策について、詳しく解説します。業務におけるセキュリティを強化したいと検討している人は、ぜひ参考にしてください。
目次
不正アクセスとは
不正アクセスとは、文字通り不正にアクセスをする行為です。本来アクセス権限を持たない人間が、特殊な技術を駆使して個人・法人のサーバーやシステムに侵入する行為を指します。
不正アクセスの目的は、内部の人間しか閲覧・編集できないデータの無断入手および編集・情報の悪用・業務妨害などです。不正アクセスを受けたサーバーやシステムは、起動停止や情報漏洩などの被害を受け、その結果、システムを保有している個人・法人に対して損害が生じます。
企業が不正アクセスを受けた場合、大きな損害が発生する可能性があります。それは、自社の情報だけでなく顧客・取引先の情報も漏洩した場合です。この事態が生じると、顧客・取引先が企業に寄せていた信用が大きく失われます。
また、情報漏洩が大々的に報道されると、企業のブランドイメージにも傷がつくでしょう。インターネットはどこからでもアクセスできる利点がありますが、インターネットを利用している以上、誰でも不正アクセスの被害を受ける可能性があるのです。
不正アクセスの種類
不正アクセスの種類は一つではなく、下記のようなさまざまな種類が存在します。
- ブルートフォースアタック
- パスワードリスト攻撃
- SQLインジェクション
- バッファオーバーフロー攻撃
- OSコマンドインジェクション
- 辞書攻撃
不正アクセスそれぞれの内容について説明します。
ブルートフォースアタック
ブルートフォースアタック(ブルートフォース攻撃)は、ログインのためのパスワードを大量にトライして不正アクセスを狙う、不正アクセスのなかでは古典的な手法です。
この不正アクセス方法は、ログインするためにID・パスワードの入力が必須のサイト・システムがターゲットです。
この場合、IDは不正入手をして把握済みですが、パスワードはまだわかっていません。そのため、パスワードの文字列を片っ端から入力し、本当のパスワードを見つけ出します。
「総当たり攻撃」とも呼ばれているこの方法は、特別な技術がなくても時間さえかければ不正アクセス可能なので、専門家でない一般人が行うケースも珍しくありません。
以前は時間がかかる方法でしたが、近年は特殊な解析ソフトの処理能力の向上により、パスワード解読が短時間で可能ともいわれています。
パスワードリスト攻撃
ID・パスワードによるログインが必要なサービスに、本人に無断で多数のパスワードトライでアクセスするのが、パスワードリスト攻撃です。違法な方法で入手した多くのID・パスワードをリスト化してアクセスを狙います。ネット利用者でよくあるのが、一つのID・パスワードを複数のサービスで使い回しするパターンです。
サービスごとに異なるID・パスワード設定をするのが面倒なので、同じものを使い回している人も少なくないでしょう。不正アクセス攻撃者はそれを利用して、入手したID・パスワードを使って複数のサービスにアクセスを試みます。
パスワードの入手経路は、パスワード漏洩したサイトから入手する手法と、悪意ある人がサービスを作り、そこでIDとパスワードの組みでアカウントを作ってもらって入手する手法、有名サイトにそっくりのサイトを作りログインしてもらうことで入手する手法などがあります。
また、良く使われる安易なパスワードもパスワードリストに入っていますので、簡単に侵入されてしまいます。
それにより、いくつものサービスへの不正アクセスを成功させるという手順です。一般ユーザーで自分の利用しているサービスがいきなり乗っ取られる例がありますが、このパスワードリスト攻撃が原因といえます。
SQLインジェクション
アプリケーションの脆弱性を狙った不正アクセスが、SQLインジェクションです。SQLとは「Structured Query Language」の略称で、データベース操作の言語の一種で、国際標準化がされているため、多くのアプリ開発に使われています。
不正アクセスユーザーは断片的なSQL文をアプリに不正注入(インジェクション)し、アプリに保存された個人情報の不正入手・改ざん・消去などを行う手順です。SQLインジェクションが成功した場合、アプリのデータベースを自由に操作することが可能になり、データベースに保管された情報を好きなように操ることができます。
これはサービス提供者側の不具合ですので一般利用者では対策が困難です。WordPressなど、自社でサーバーを立てて製品を設置する場合などは、こまめなシステム更新をしてセキュリティパッチを適用する必要があります。
バッファオーバーフロー攻撃
バッファオーバーフロー攻撃とは、許容範囲以上のデータ・特殊なコードを送り、制御不能な状態にする、不正アクセスの一種です。バッファとは、一時的にデータを保存するコンピュータ内の領域を指します。
バッファには一定の容量があり、一定量を超えたデータは記録されません。そのバッファの領域をターゲットにしたのが、バッファオーバーフロー攻撃です。システムの不具合で一定量を超えたデータが記録されてしまう状態がある場合(セキュリティホール)にこの攻撃を受けます。意図的に膨大なデータ・特殊コードを送ると、バッファの領域が限界を超えて溢れた状態(オーバーフロー)になります。
この状態になると悪意あるプログラムが挿入され、それによって生じるのがウィルスの感染、情報漏洩、動作停止、乗っ取りなどの被害です。また、バッファオーバーフロー攻撃を受けると、セキュリティが無防備な状態にすることができるので、さらなるサイバー攻撃をまともに受けて、情報流出などの被害が生まれます。
バッファオーバーフローもサービス提供者側の不具合ですので一般利用者では対策が困難です。WordPressやWebサーバーなど、自社でサーバーを立てて製品を設置する場合などは、こまめなシステム更新をしてセキュリティパッチを適用する必要があります。
OSコマンドインジェクション
Webサイト・アプリなどの入力フォームを利用した不正アクセスが、OSコマンドインジェクションです。入力フォームから特殊なコマンドを含んだパターンを入力すると、サイト・アプリ内で入力値に加えてコマンド文字列が構築されます。
これにより、不正アクセスユーザーが意図的に入力したコマンド文字列が有効となる仕組みです。この状態になれば、不正アクセスユーザーの意図したコマンドがシステム上で実行され、システム攻撃・操作制御が起こります。
似たような不正アクセスに、先述したSQLインジェクションがありますが、こちらはデータベースへの攻撃で情報盗難・改ざんが主な目的です。それに対してOSコマンドインジェクションは、システムそのものへの攻撃・アクセス権制御が主な目的となっています。
OSコマンドインジェクションもサービス提供者側の不具合ですので一般利用者では対策が困難です。WordPressなど、自社でサーバーを立てて製品を設置する場合などは、こまめなシステム更新をしてセキュリティパッチを適用する必要があります。
辞書攻撃
ブルートフォースアタックと同様に、ID・パスワードの大量のトライによって不正アクセスを実行するのが、辞書攻撃です。一般の単語リスト(辞書)に記載されたワード・著名人の名称などをパスワードとして使っていると仮定し、単語・人名を次々と入力してアクセスを試みます。
「パスワードを覚えるためわかりやすい言葉・人名を使う」という人は少なくないでしょう。そのようなユーザーの心理を利用したのが、辞書攻撃です。辞書攻撃は、パスワードだけでなくメールアドレスも対象にしています。
メールアドレスのユーザー名(@の前の名称)も、わかりやすい単語・人名を使っている人が少なくありません。それらを使って自動生成によって大量のメールアドレスを作り、そのアドレス宛にスパムメールを送るという手順です。
「パスワードは12桁以上の乱数(アルファベット、数字、記号を含む)を使う」などの社内ルールを整備して、セキュリティ教育を従業員にする必要があります。
不正アクセスの対策方法
不正アクセスの種類は複数あるため、その対策もいくつか準備しないといけません。不正アクセスの対処法は、下記のような種類があります。
- マルウェア対策をする
- 二段階認証や多要素認証・端末認証
- ファイアウォールの導入
- WAFの導入
- 定期的なアップデート
- DMZ環境の構築
- 社内ルールの徹底
不正アクセスの対策方法の特徴について、それぞれ説明します。
マルウェア対策をする
不正アクセス対策で重要なのが、マルウェア対策です。代表的なマルウェア対策はアンチウィルスソフトなどのソフトウェアの導入が挙げられます。マルウェア対策ソフトウェアは、数多いマルウェアを自動的に選別し、マルウェアの特徴に合わせた対応を行います。
自動的にマルウェアを削除してくれるので、安心です。また、メール経由でマルウェア・ランサムウェアに感染する・フィッシング攻撃を受けるなどの被害もあります。そのような被害を防止するためにも、メール関連の対策を用意しないといけません。
メールを対象としたセキュリティ対策ツールの導入・日頃からの注意が大事です。怪しいメールが届いたら、リンクされたURL・添付ファイルを開くようなことはせずに、すぐに削除しましょう。
二段階認証や多要素認証・端末認証
認証の回数を1回で済ませない、2段階認証・多要素認証を導入することも、不正アクセス対策の手段です。
二段階認証
従来のID・パスワード入力に加えて、もう一つ別の認証方法を使って、認証を成立させる仕組みです。1つ目の認証が完了しても、次の認証が認められなかった場合、アクセスはできません。2回目の認証方法は、ショートメッセージ・メール・認証アプリを使ったワンタイムパスワードが良く使われます。
多要素認証
認証の種類である知識情報・所持情報・生体情報のうち2つ以上の要素を提示して認証する方法です。従来の知識情報であるID・パスワード・スマホやICカードなどの所持情報、指紋は顔などの生体情報などを使って認証を進めます。
どちらも通常のアクセス方法より手間がかかりますが、方法を複雑にすることにより不正アクセスを回避できます。
端末認証
事前に使用を許可した端末のみアクセスできる認証方法です。多要素認証の一つでありますが、指紋認証や顔認証に比べて利用者の操作手順が増えずにすぐログインできるメリットがあります。また、システム管理者の画面で「ノートPCを紛失したので、即その端末からのアクセス権を外す」等のブロックができます。また個人所有のノートPCやスマホからは社内システムにアクセスさせない。または、テレワークで家から会社支給のノートPCは許可するが、個人PCからはアクセスさせないなどの制御もできるため、最も高いセキュリティを保てます。
ファイアウォールの導入
直訳すると「防火壁」を意味するファイアウォールの準備をすることも、不正アクセス対策では重要なポイントです。ファイアウォールは、外部から送られてくる情報を判別する働きをします。
この段階で不正アクセスがあった場合それを発見し、アクセスを拒絶しつつシステム管理担当者へ通報をするのが、ファイアウォールの仕組みです。情報の分別をする能力はフィルタリングと呼ばれており、ファイアウォールでは状況に応じてさまざまなフィルタリングレベルが用意されています。
自身の状況・保有するシステム・データ量に合わせてファイアウォールの種類を選ぶことが大事です。また、すべての悪意あるアクセスに対応できるとは限らないため、状況に応じて他の不正アクセス対策と併用することも忘れてはいけません。
NAS(ナス:ネットワークHDD)やファイルサーバーなどを社内に設定している場合や社内システムを社内に設定している会社ではファイヤーウォールを設定したほうがよいでしょう。
WAFの導入
WAF(Web Application Firewall)の導入も、不正アクセス対策の手段の一つです。名称に 「Firewall」とある通り、先述したファイアウォールと似たような働きをします。サイト・アプリの通信状況を細かく確認し、不正アクセスのような不穏な動きがあった場合、それを遮断する仕組みです。
ファイアウォールと異なり、アプリへの通信を察知する働きをするため、ファイアウォールをすり抜けた不穏な動きさえも検知・ブロックできます。そのため、ファイアウォールとの併用がおすすめです。
定期的なアップデート
使用しているOS・ソフトウェアの定期的なアップデート及びセキュリティパッチ(ソフトウェアの修正プログラム)のインストールを欠かさないことも重要です。各OSはアップデートされるたびに不正アクセス攻撃を想定したセキュリティ対策が強化されています。
アップデートやセキュリティパッチは、再起動・インストールなど若干の手間がかかるため、業務に支障をきたさないようにしましょう。
DMZ環境の構築
ローカルネットワークとインターネットの狭間に、セキュリティ区域であるDMZ環境を構築することも、不正アクセス対策では重要なポイントです。DMZ環境ができればこの区域にメールやサーバーを設置できるため、サイバー攻撃があってもLANの中までは影響を受けません。DMZは、デミリタライズドゾーンの略で非武装地帯という意味です。ただし、DMZ環境に置いたサーバーは攻撃を受けやすいためファイヤーウォールの設置やDMZ環境に置く情報の最小化等は行ったほうがよいです。
社内ルールの徹底
社内の従業員に対してルール・教育を徹底することも大事です。従業員1人のミスによって社内全体の損害に発展する恐れもあります。一人ひとりに危機感・責任感を持ってもらうために、ルール作成およびその徹底をしなくてはいけません。
研修などを設けて、不正アクセス対策を怠った場合、どれだけの損害が生じるか、それを回避するためにはどんな対策があるのか、などを教育することが大事です。
新入社員が入ったときや、毎年1回既存社員に対して、セキュリティ教育動画をみせる、セキュリティ教育スライドをみせる、セキュリティ試験を受けてもらうなどを行うことが一般的です。
不正アクセスの対策ならibisStorage
「不正アクセス対策がしっかりした共有ファイルサーバーまたはNASが欲しい」
そのような方には、クラウドストレージサービス「ibisStorage(アイビスストレージ)」の利用をおすすめします。ibisStorageは、データ共有による業務工数の削減、それによるコスト・労力の削減などのメリットがありますが、それ以外にもセキュリティ体制が徹底していることも、特徴の一つです。
ibisStorageが用意しているセキュリティ機能は、以下のとおりです。
- 端末認証機能
- 接続元IP制限機能
- ランサムウェア対策機能
- アクセス権限管理機能
- アクセス権限管理グループ化機能
- 監査ログ機能
- アクセス権の引き継ぎ機能
- 個人フォルダの引き継ぎ機能
- データ保護機能
またibisStorageでは端末認証によるゼロトラストセキュリティを採用しています。誰がどこからアクセスか」ではなく「誰がどの端末でアクセスか」でアクセス権を付与するため、パスワード漏洩やサイバー攻撃・不正アクセスに強いシステムとなっています。
ibisStorageは、フリープランや無料トライアル期間があるため、一度試してみることをおすすめします。
