企業の不正アクセスでよくある被害例と具体的な5つの対策を解説

企業をターゲットにした不正アクセスは年々巧妙になり、被害も大規模になっています。それらに対処するにはどうすればいいのでしょうか。よくある被害例から具体的な対策まで、解説します。

企業が被害を受ける不正アクセスとは

昨今の企業活動において、顧客の個人情報を含む大量のデータが使用されることは特別なことではなくなってきました。ユーザーとのやり取りもオンライン上で完結することが増え、Webサイトをはじめとしたデジタル情報の管理がますます重要になっています。

そのような状況もあり、不正アクセスによって企業が受ける被害はより大きなものとなってきました。情報漏洩やデータ改ざんによる影響が、企業存続の危機に直結してしまうような規模になったのです。

この記事では、企業が受ける不正アクセス被害と取りうる対策について解説していきます。
まずは不正アクセスの現状について理解するところから始めましょう。

不正アクセスの現状

情報技術の進歩とともに、絶えず不正アクセスの手口も進歩してきました。その手口は細分化されているものの、ほとんどの場合は金銭的な利益を目的とした不正アクセスです。

• ユーザーのクレジットカード情報を入手し、不正に買い物をする。
• 個人情報を入手し、フィッシングサイトへの誘導や詐欺に利用する。
• 重要データをロックして閲覧できないようにし、データと引き換えに送金を強要する。

不正アクセスで入手したデータを使用し、このような手法で悪用されてしまうためリスクがあります。

そのため、大学や研究機関などと比較し、一般企業が不正アクセスのターゲットとなる機会が圧倒的に多いのが現状です。

（参考：総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」内「不正アクセス行為の発生状況」）

不正アクセス禁止法とは

不正アクセス禁止法とは、「不正アクセス行為の禁止等に関する法律」の通称です。この法律のなかで明確に不正アクセスとは何かについて定義されており、どのような行為が違反にあたるかについても記載されています。

不正アクセスとは、アクセス権限を持たない者が、不正な手段で本来アクセスできないはずのデバイスやシステムに侵入したりログインしたりする行為のことです。

不正アクセス禁止法では、“何人も、不正アクセス行為をしてはならない。”と明示しています。
（引用：総務省：「不正アクセス行為の禁止等に関する法律」）

不正アクセスは大きく分けて2種類｜侵入となりすまし

不正アクセスの手口は数多くありますが、大別すると2種類です。

一つは、システムの脆弱性を突いた「侵入」です。「不正侵入」と呼ばれることもあります。これは、いわゆるセキュリティホールなどを狙ってコンピューターやシステムに侵入する手口のことです。
アプリケーションやソフトウェアが抱えている脆弱性が原因の場合もあれば、OSそのものの脆弱性が原因となることもあります。

スマートフォンやPCのソフトウェアのアップグレード時に、「脆弱性が見つかったため」といった情報を目にしたことはありませんか？ソフトウェアの更新を行うことにより、不正侵入のリスクを下げているのです。

もう一つの手口が「なりすまし」です。「なりすまし」とは、他者のIDやパスワードを入手してログインすることです。サイトやシステムの側から見ると、正しいIDとパスワードが使用されるため、本人なのか、なりすました別人であるかを区別することができないのです。

「なりすまし」で使用されるIDは、本物そっくりに作られたフィッシングサイトやパスワードの総当たりなどのほか、企業のデータに不正アクセスしてダウンロードするといった方法でも入手されます。

このような「なりすまし」による被害を防ぐため、生体認証や二段階認証など認証方法を強化する対策が取られています。

不正アクセスでよくある被害例

ここまでは、不正アクセスに関する基礎知識を確認してきました。
では、実際に企業ではどのような不正アクセスの被害を受けているのでしょうか。ここで確認しておきましょう。

Web改ざん

不正アクセスされた結果、編集者権限を濫用されてWebサイトを改ざんされてしまうケースがあります。
その結果、WebサイトにアクセスしたPCにウイルスを感染させてしまったり、リンクが書き換えられてフィッシングサイトに誘導されてしまうなど、さらなる被害の温床となる可能性があります。

ランサムウェアなどのデータの破壊行為

ランサムウェアとは、不正にファイルを暗号化してアクセスできないようにするプログラムのことです。重要なデータを人質にとり、解除する代わりに金銭を要求します。
ランサムウェアの語源は、「身代金」という意味のransomです。

日本においても大手ゲーム会社がランサムウェアの被害に合い、約11.5億円の身代金を要求されました。当該企業は支払いを拒否したため、その後同社のものと思われる重要な情報がインターネット上にアップロードされています。
その結果、個人情報や顧客情報、さらには企業秘密の開発情報などに至るまで流出し、大きな被害をもたらしました。

個人情報の漏洩

不正アクセスによって、個人情報が抜き取られるケースもあります。クレジットカード情報が標的にされることが多く、その場合はユーザーの直接的な金銭被害につながります。

クレジットカード情報以外にも、個人名と顔写真や住所・電話番号が流出し、新たな犯罪や詐欺などに利用されてしまうこともあります。

SNSアカウントのなりすまし

前述した、IDとパスワードを不正に入手されてしまう「なりすまし」によってSNSアカウントを乗っ取られてしまう場合があります。

また、別の意味での「なりすまし」も横行しています。すなわち、ユーザー名やアイコンを実在する企業公式アカウントと同じものにし、その企業アカウントであるかのようになりすます行為です。

どちらの場合においても、ユーザー側は信頼する企業が発信した公式情報だと思って投稿やリンクURLをクリックしますが、その先はフィッシングサイトなどが設定されているのです。

偽アカウントの場合はSNSによる周知・拡散によって排除することができますが、アカウントを乗っ取られた場合は、より深刻な被害を生んでしまいます。

不正アプリからの遠隔操作

不正アクセスされた際に遠隔操作アプリをインストールされてしまうこともあります。
遠隔操作アプリを使ってデータを抜き取られたり、気づかないうちに不正送金させられたりなど予期せぬ操作をさせられるのです。

企業がとるべき不正アクセス5つの対策

ここまで見てきて分かるとおり、不正アクセス自体が大きな被害をもたらすにもかかわらず、そこからさらに他の被害へと波及していきます。
不正アクセスされたことによる情報流出やデータ破壊などの被害だけにとどまらず、企業イメージの毀損、信用の失墜による顧客離れ、そして取引先との取引停止にまでつながりかねません。

このような状況のなか、企業においてどのような対策を講じればよいのでしょうか。
代表的な5つの対策と、それに対応するおすすめのサービスをご紹介します。

1. ウイルス対策をする

まずは基本的な対策として、ウイルス対策を行っておくことは必須ではないでしょうか。
しかし、特定のウイルスを検知するタイプのアンチウイルスソフトの場合、最新のウイルスや未知のウイルスに対処できない、という課題がありました。

Isolation Lite (Menlo Security)

Isolation Lite（Menlo Security）は、WEBサイトを無害化して表示することにより、エンドユーザーが安心安全にインターネットを利用できるセキュリティサービスです。
通常のセキュリティサービスと比べてウイルスを検知しないので、未知のウイルスへの感染も防ぐことができる大きな利点を持っています。
メールに記載されている不審なURLを誤ってクリックしたとしても、Webサイトを無害化して表示するので、標的型メールによる、感染を防ぐことができるのも大きな特徴です。

マイセキュア ビジネス

上記サービスも同様に、未知のウイルスに対策できます。フルクラウド型AIエンジンが常にPC端末を監視しており、PC上のファイルに脅威になりえるデータがある場合すぐさま検知してくれます。
クラウド型であるため大容量のウイルス定義ファイルをダウンロードする必要がなく、業務パフォーマンスを下げないのも特徴的です。せっかく対策ソフトを配布したにも関わらず、PCが重くなるという理由で社員個人が対策ソフトの稼働を停止してしまうというケースも防げるでしょう。

2. 現システムのセキュリティ対策状況を診断してみる

不正アクセスにおける「侵入」では、脆弱性やセキュリティホールが狙われるということをお伝えしました。
自社で使用しているシステムがセキュリティ的に問題ないか、まずは診断してみるのも手段の1つです。もし問題があるようなら、該当箇所を重点的に補強することでセキュリティレベルを高めることができるでしょう。

WideAngle プロフェッショナルサービス リスクスコアリング

※お客さまのセキュリティリスクを簡単にスコアで見える化！選べる3プラン（無料トライアル/スポット診断/定期診断）をご用意しています。

3. Web改ざんを検知するツールの導入

不正アクセスをされないことが重要ですが、万が一、自社が運営するWebサイトに不正アクセスをされてしまいサイトの情報が改ざんされてしまった場合、一刻も早く被害を最小限にするための対応を行う必要があります。

そのために有用なのが、Webサイトの改ざんの有無をチェックするサービスです。

絶対に不正アクセスを起こさせない、ということも重要ですが、いざ起こってしまった際のリスクヘッジを考えておくことも同様に重要なのではないでしょうか。

4. セキュリティに関する社員教育をする

近年のランサムウェアやウイルスは、特定の企業をターゲットに特化して開発されたものが多くなっています。その感染経路は、社員が不用意に開いてしまったメールや、気づかずにクリックしてしまったリンクだったということが実際には多いのです。

それらを防ぐためには、社員のセキュリティ意識やリテラシーを高めることが重要な対策です。

WideAngle プロフェッショナルサービス セキュリティ教育＆メール訓練

このサービスでは、セキュリティ教育を行い、社員が怪しいメールを開かないように訓練を行うことができます。さらに教育の結果、社員のセキュリティ意識がどの程度向上したのかを数値化し評価することもできます。

5. クラウドサービスのセキュリティを強化する

SaaSなどのクラウド上でデータのやり取りが行われる場合、社員個人のPCにインストールされているウイルスソフトでは不十分な場合があります。

そのような場合は、クラウド上の不正もチェックしてくれるシステムが必要です。

Cloud App Security

上記サービスは、Microsoft 365などのクラウド型業務アプリケーションをはじめとして、Box、Dropbox、Googleドライブなどのクラウドストレージのセキュリティも強化できます。

まとめ

不正アクセスによる被害は、企業にとって存続を脅かす大きなリスクの1つです。ぜひこの機会に自社の不正アクセス対策を見直してみてください。もしも、不安な点があるようであれば、できる限りの対策を講じるようにしておきましょう。