総務やシステム担当者が知っておきたい不正アクセスの手口



企業でのWebやITの活用が進む中、総務担当者・システム担当者は不正アクセスへの対応を迫られています。不正アクセスへ対応していくためには、事前の対策が重要です。

不正なアクセスへの対策を立てるため、今回は不正アクセスのよくある手口や対策方法を見てみましょう。

知っておきたい不正アクセスの手口

不正アクセスとは、アクセス権限を持たない者がサーバや情報システムの内部へ侵入する行為のことです。1999年には不正アクセス禁止法が制定され、アクセス権限を持たない者がインターネット上で不正にアクセスする行為に対しては、法律で禁止・罰則が定められています。

不正アクセスを行う手口は、大きく分けて二つあります。

セキュリティホール

一つ目は、コンピュータのOSやソフトウェアの「セキュリティホール」からアクセスされる場合です。

セキュリティホールは、OSやソフトウェアの設計上のミスなどが原因で発生するセキュリティ上の欠陥をいいます。セキュリティホールが残されたパソコンを使用すると、ハッキング攻撃やウィルス感染により、不正アクセスの被害に遭う可能性があります。

識別符号

二つ目は、「識別符号」と呼ばれるアクセス権限者であることを示すIDやパスワードを不正に入手し、アクセスされる場合です。

識別符号の不正入手は、詐欺メールに添付されたスパイウェアやフィッシングサイトにより行われます。

また、総当たり攻撃と呼ばれる、パスワード解析ツールを使用してIDやパスワードが一致し、ログインできるまで繰り返し試行する方法もあります。よく「ID・パスワードは複雑なものにしましょう。定期的にID・パスワードを変更してください。」と呼びかけられるのは、この不正アクセスを防ぐためです。

このように、全くの他人から不正アクセスを受けるケースもありますが、平成29年に検挙された不正アクセス行為の手口をみると、知人による犯行にも注意が必要です。

識別符号を盗まれたことによる不正アクセス行為で検挙された総数545件中、113件が「識別符号を知り得る立場にあった元従業員や知人等によるもの」であり、身近な人間による犯行である場合もあります。

不正アクセスによる被害

セキュリティホールや識別符号の窃用により、不正アクセスを受けると様々な被害を受けます。代表的な被害は下記の通りです。

• インターネット上で提供される様々なサービスが不正利用される
• ホームページを改ざんされる
• サーバ内に保存されていた個人情報や機密情報などのデータが外部に送信される
• サーバのシステムが破壊される
• サーバやサービスが停止してしまう
• 迷惑メールの送信や中継に利用される
• 他のパソコンを攻撃するための踏み台として利用される
• バックドアを仕掛けられ、いつでも外部から侵入できるようにされる

上記の被害の中でも、ここ数年で実際に不正アクセス行為が多かったものは「インターネット上で提供される様々なサービスの不正利用」です。

インターネットバンキングでの不正送金や、インターネットショッピングでの不正購入、オンラインゲームの不正操作などがあります。

総務省へ実際に報告された、「インターネット上で提供される様々なサービスの不正利用」については、下記のような検挙事例があります。

平成29年１月、自営業の男（39）らは、個人間融資を仲介するインターネット掲示板で、融資をするとの虚偽の情報を書き込み、応募者に本人確認審査と称して、携帯電話のキャリア決済に必要なID・パスワードを送信させました。

男はこれを使用して携帯電話会社決済用サーバに不正アクセスし、電子マネーをだまし取り、同年10月、不正アクセス禁止法違反（不正アクセス行為）で逮捕されました。

不正アクセスによる被害を防ぐために

それでは、企業が不正アクセスによる被害を防ぐためには、どうすればよいのでしょうか。管理担当者は下記の点に気をつけて、ITセキュリティを強化しましょう。

ID・パスワードなど識別符号の適切な管理

識別符号の設定について、容易に推測されない、他で使用しているものとは違うものを設定し、定期的に変更するようにしてください。アクセス権限者だった従業員が退職する場合は、IDの削除や、パスワードの変更実施を徹底しましょう。

フィッシングや不正プログラム等への対策

金融機関などを装って、口座番号や暗証番号等の個人情報を入力させるフィッシングや、不正プログラムを感染させ、他人のID・パスワードを不正に取得する手口は電子メールを経由して発生する場合が多いです。心当たりのない電子メールは不用意に開かないよう社内で周知徹底してください。

サーバで使用するサービスの見直し

不正アクセスされやすいサービスとして、サーバを遠隔操作できるTelnetやパソコン間でのファイル転送に使用されるFTPがあります。サービスが特に必要なければ、サービスを停止しましょう。

ソフトウェアの更新

ソフトウェアの開発元などからセキュリティホールの修正のため、更新プログラムの適用を促された場合は、危険性を検討し迅速に更新してください。

その他、重要なセキュリティ対策として、 SQLインジェクションへの対策、パーミッションの設定、ファイアウォールやIPSなどシステムの導入、デバイスの取扱注意などが挙げられます。総務やシステム担当者は、不正アクセスの手口を理解し、企業の信用低下や損失を生み出す可能性のある不正アクセス対策を徹底しましょう。