9割超の被害が一般企業⁈ 不正アクセスの実態
2021.09.29(水)
- 運用・セキュリティ
5年で約1.6倍に増えた不正アクセス
1999年に公布された「不正アクセス禁止法」に基づき、総務省、経済産業省、警察庁が発表した
「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、
2020年の1年間で、都道府県警察から警察庁に報告された不正アクセスの認知・検挙数は2,806件。
2019年の2,960件からは微減したものの、過去5年の推移は右肩上がりとなっています。
実に、過去5年で1.6倍と、大幅に増えているのです。
不正アクセス行為の認知件数の推移
引用元:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 (2020年公表)
警察庁で認知・検挙されているだけでこの数字なので、把握されていないものを含めた場合、
さらに多くの不正なアクセス行為が行われていることが推測できます。
不正アクセスを受けているのは9割超が「一般企業」
前出の発表によると、2020年に認知・検挙された不正アクセスを受けた2,806件の管理者別内訳を見ると、
「一般企業」が2,703件、全体の9割超と圧倒的です。
行政機関や大学、研究機関などと比べると、一般企業の数がそもそも多いので当然の結果ではあるのですが、
絶対数が多いということは、攻撃者にとっても狙うターゲットがたくさんあるということになりますので、
十分に注意が必要になると考えましょう。
引用元:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 (2020年公表)
不正アクセスとは?どんな被害があるの?
では、不正アクセスを受けると、どんな被害につながるのでしょう?
前出の発表によると、最も多いのが「インターネットバンキングでの不正送金等」1,847件で全体の6割超。
そのほかにも「インターネットショッピングでの不正購入」や「オンラインゲーム・コミュニティサイトの不正操作」
など、現金、またはそれに類するゲーム上のポイント・コインや、物品をだまし取られる、といった被害が、
不正アクセス行為を起因として数多く起こっているのが実態です。
引用元:不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 (2020年公表)
- 不審な電子メールの添付ファイルを開いたことでスパイウエアがインストールされ、インターネットバンキングのID・パスワードが盗まれた
- 実在の銀行やショッピングサイトなどを装った「偽サイト」に誘導され、個人情報や支払情報を入力してしまった
私たちの身近にも起こりうる内容なので、不審なメールの取り扱いのほか、偽サイトには気を付ける必要があります。
不正アクセスの被害を防ぐためにできること
このような不正アクセスによる被害に遭わないためには、どのような対策が必要なのでしょうか?
前出の調査の中に、「防衛上の留意事項」として記されていましたので抜粋してご紹介します。
今回は、企業のIT管理者の方々のために、「アクセス管理者の講ずべき措置」を中心にまとめます。
①運営体制の構築等
・セキュリティ確保に必要なログ取得の仕組みを導入する
・管理するシステムの脆弱性をチェックする体制づくり
・不審なログイン、および類似行為の監視と、不正アクセスを受けた場合の体制づくりと運用
→日々の脆弱性チェックや不正行為の監視を行うとともに、パソコンやサーバー、システムの
ログ(データ履歴)を収集・管理することで、万が一の時に原因を究明し、更なる対策を行うことができます。
②パスワードの適切な設定
・不正アクセスが起こる原因として、利用者のパスワード設定・管理が行き届かないことも挙げられる
・容易に推測されないパスワードを使用する
・複数のWebサイトで同じID・パスワードを使用しない(使いまわさない)よう、ユーザーに注意を促す
→ID・パスワードの使いまわしは、誰もがハッとさせられるところではないでしょうか?
推測されにくいパスワードを自動的にはじき出すサイトなども活用して、推測されないパスワードを設定しましょう。
③ID・パスワードの適切な管理
・担当者が変わったらID・パスワードも変更する
→元従業員、業務委託先による不正アクセスを防ぐため、該当のシステムやパソコンにアクセスする立場から
離れた担当者が出た場合は、ID・パスワードの削除や変更を行いましょう。
④セキュリティホール攻撃への対策
・定期的にWebシステムやサーバーのプログラムを点検して、脆弱性を解消する
→Webシステムやサーバーのセキュリティホールを狙った攻撃に備えて、プログラムの更新などを適切に行い、
安全な環境を保つようにしましょう。
⑤フィッシング等への対策
・ワンタイムパスワードなどの二要素認証・二経路認証を積極的に導入し強化する
・フィッシングサイトの情報、正規サイトかどうかの確認など、ユーザーに情報提供を行う
→不正に取得されたかもしれないID・パスワードがインターネット上に流出する事案も。
認証強化やユーザーへの注意喚起を行い、セキュリティレベルを高めておくようにしましょう。
まとめ
いつ、どこで、どんなきっかけで起こるか分からない不正アクセス。
対処が必要だと分かっていても「正直、手が回らない」「どこまでやればいいのか分からない」ということもあるでしょう。
十分に対策をしているつもりでも、意外な落とし穴があるかもしれません。
少しでも現状のセキュリティ対策に不安を感じたら、セキュリティ・運用のプロに相談してみてはいかがでしょうか?
安心安全な業務活動を守るために、きっと御社の力になってくれますよ!
