不正アクセスとは、利用する権限がないパソコンやサーバへ不正にアクセスすることです。

たとえば、情報を悪用しない場合でも、他人のID・パスワードを盗み見てログインすることは、不正アクセスに該当します。

2024年3月14日に発表された総務省の統計では、不正アクセス行為の認知件数は2022年で2,200件、2023年で6,312件であることが公表されました。企業は、より一層不正アクセスのリスク防止に注力することが求められます。

参考：不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

不正アクセスされたら、一般的に以下のようなリスクがあります。

企業の不正アクセス被害は、上記に加えて企業の社会的信頼を失うこともあるので、被害に遭わないよう努めていくことが重要です。

以降では、上記に挙げたリスクについて詳しく解説していきます。

情報の漏洩・消失は、不正アクセスによるリスクのひとつです。アカウントやサーバなどが他人に不正ログインされた場合、アカウントに紐づくメールアドレスや電話番号、データベースの情報が漏洩することが懸念されます。

2024年3月14日に総務省が公表した2023年の統計では、不正アクセス後の行為で「メールの盗み見等の情報の不正入手」は2番目に多いことは注目すべきポイントです。たとえば、顧客や取引先の連絡先や契約内容が入手された場合は、悪用される恐れがあるので注意しましょう。

また、不正アクセスによって設置されたマルウェアが稼働し、データが消失したり、改ざんされたりしてしまうなどの被害にも注意が必要です。

参考：不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

情報の漏洩や消失は、企業の信頼を失うリスクがあります。情報漏洩が発覚した後に、株価が下落することも珍しくありません。また、顧客や取引先の情報が漏洩し、損害賠償を支払った事例もあります。

不正アクセスの被害にあうまでに企業が実施してきた対策や、不正アクセスが発覚した後にとるべき対処法を実施したのかなども、社会的な評価の対象です。対策や対処法については後述で記載する内容を参考にしてください。

2024年3月14日に発表された総務省の統計では、不正アクセス後の被害のうち、「インターネットバンキングでの不正送金等」が最も多く認知され、この他にも「インターネットショッピングでの不正購入」も見受けられます。

過去の事例では、元従業員による不正アクセスによってもたらされる被害もあるため、権限の管理やログイン情報の運用の見直しなども必要です。

参考：不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

不正アクセスされたら、その被害者になるだけではなく加害者になるリスクがあることも覚えておきましょう。

過去の事例では、第三者が乗っ取ったアカウントなどを利用して、取引先へ迷惑メールが一斉送信されたものもあります。

このような手口は「踏み台攻撃」と呼ばれ、犯行を実行した本人を特定しにくいことが特徴です。アカウントの持ち主が加害者になることがあるので、不正アクセスされないよう対策することが重要です。

本項目では、過去に起こった不正アクセスの事例を解説します。

2023年8月、複数のSNSアカウントで他人のパスワードを推測し、不正アクセスした会社員男性が検挙されました。男性は不正アクセス後、アカウント所有者になりすまし、危害を加える内容のメッセージを送信したとのことです。

SNSやオンラインゲーム等の「乗っ取り」は不正ログインの被害のひとつで、第三者によってアカウントを不正に操作する行為です。第三者によってパスワード変更などされた場合は、本来の持ち主によるログインができなくなります。

SNSが乗っ取られた場合は、乗っ取ったアカウントを使い、有害なサイトへの誘導を知り合いへ送信したり、ギフトカードの購入を不正に促したりなどの被害も考えられるので注意しましょう。オンラインゲームなどでは、特殊なアイテムなどを売却されることや、ゲームに紐づくクレジットカード情報などが盗まれる可能性があります。

2023年11月27日、LINEヤフー株式会社ではマルウェア感染をきっかけとした不正アクセスによって、大規模な情報漏洩が発生しました。ユーザーや従業員、取引先の情報が漏洩し、ユーザー情報については25万件以上が漏洩しています。このの事例では、セキュリティ管理面で総務省による行政指導が実施されています。

情報漏洩の事例は、大手企業だけではありません。

2020年4月、元勤務先のメールサーバーに不正アクセスし、メールの内容を取引先の企業に転送したとして会社員男性が検挙されました。男性は、元勤務先の同僚のログイン情報を利用し、不正アクセスを実施して情報を漏洩させたとのことです。

類似のものでは、2021年6月、元勤務先の名刺管理システムのログイン情報を、転職先の同僚に提供し、不正アクセスを実施した事例もあります。元従業員が悪用の意図なく、企業の情報を持ち出す事例は少なくありません。パスワードや権限の変更などの対策を運用ルールに含めておくと被害を防げます。

参考：不正アクセスによる、情報漏えいに関するお知らせとお詫び（2024/2/14更新）

2022年4月、他人のキャッシュレス決済サービスのアカウントに不正アクセスし、商品を購入した無職男性が検挙されました。アカウント所有者になりすまして、購入した罪で不正アクセス禁止法違反のほかに詐欺罪を課せられています。

上記は面識のない他人の事例ですが、不正アクセスが必ずしもオンライン上だけで実施されるわけではありません。

ほかの事例では、顧客の携帯電話を操作して不正にログインし、ネットショッピングでギフト券を購入するなど、物理的に端末を操作するものもあります。

パソコンやスマホの紛失なども、不正アクセスされる恐れがあるので注意しましょう。

2020年9月、インターネット証券会社の顧客の証券口座が不正アクセスされ、偽の銀行口座に送金されたことが発表されました。

不正アクセスが判明した経緯は、顧客から不明な取引が有るとの報告を受けたことでした。不正アクセスは他のサービスで利用していたIDとパスワードが、そのまま利用されている口座で起こった可能性があるとのことです。

2023年12月25日の警察庁・金融庁の報告では、2023年のネットバンキングでの不正送金の件数や被害額は過去最多と言われています。

手口としては、フィッシング行為によってインターネットバンキング利用者のログイン情報を盗み、不正アクセスする事例が多発しているとのこと。

知らないアドレスからのメールを不用意に開かないなど、企業での注意喚起が重要です。

参考：フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害が急増しています。

2021年1月、ガス会社のゲームサイトへ不正アクセスされ、サイト内に海外サイトへ誘導するリンクが設置されている事例がありました。本事例では、その後の被害状況は確認できていませんが、誘導先がフィッシングサイトであった場合は二次被害に繋がります。

企業が犯罪行為に加担するリスクとしては「サプライチェーン攻撃」への注意が必要です。

サプライチェーン攻撃とは、企業を狙ったサイバー攻撃のひとつです。一連のサプライチェーンの流れの中には複数の企業が関わっており、すべての企業のセキュリティ対策は一定の水準で保たれているわけではありません。

たとえば、セキュリティ対策が疎かになりがちな中小企業に不正アクセスし、踏み台にすることで、取引先である大手企業を攻撃する例などがあります。不正アクセスされたら、このように意図なく犯罪行為に加担してしまうことがあるため、不正アクセスされないよう対策を取っておくことが重要です。

もし、不正アクセスされてしまった時は被害の拡大を防ぐため、迅速にとるべき対処法を講じることが重要です。

上記の対策のうち、どれかひとつを講じるのではなく複数の対策を組み合わせて実施しましょう。

サーバやパソコンへ不正アクセスされたら、とるべき対処法はネットワークを物理的に切断することです。具体的にはLANケーブルを抜いたり、Wi-Fi接続を切ったりして、外部からアクセスできないようにしましょう。

一度不正アクセスされたら、マルウェア感染や不正なプログラムによって侵入経路を確保されている可能性があります。被害の拡大を防ぐためにも、迅速にネットワークを切断しましょう。

ただし、ネットワークを切断することによって、企業の活動に影響を及ぼすリスクがあります。不正アクセスが起こる前に、あらかじめ影響範囲を調べ、ネットワークを切断する際の運用手順をまとめておくことも重要です。

不正アクセスされたら迅速にパスワードを変更することも、とるべき対処法のひとつです。

アカウントにログインされた場合、攻撃者がパスワードを把握している可能性があります。再びアカウントに不正アクセスさせないよう、不正アクセスに気がついた時点でパスワードを変更しましょう。

また、同じパスワードを別のアカウントでも使いまわしている場合は、該当のアカウントも不正アクセスされる可能性が高くなります。同じパスワードを使用しているアカウントも、漏れなく変更しておきましょう。

不正アクセスされたら、インターネットサービスの提供会社と企業のセキュリティ対策委員会に連絡しましょう。インターネットサービスの提供会社とは、契約しているプロバイダや回線を提供している会社のことです。

警察へ相談するときに提出するログイン履歴などを入手するため、連絡・相談します。インターネットサービスの提供会社へした相談内容は警察に提出することがあるので、保存しておきましょう。

企業のセキュリティ対策委員会へ報告することも、再発防止のためには重要です。セキュリティ対策委員会とは、企業の情報セキュリティを管理するために設置されている組織のこと。セキュリティ対策委員会で再び不正アクセスが起こらないよう、とるべき対処法を審議する必要があります。

ウイルススキャンは、不正アクセスを受けたサーバやパソコンに対して、必ずとるべき対処法です。

不正アクセスを受けたサーバやパソコンは、悪意のあるプログラムが設置されている可能性があります。ウイルススキャンしないまま放置した場合、ネットワークを介して感染する可能性も考慮しなければなりません。

ウイルススキャンするときは、ウイルス対策ソフトのプログラムを最新のものにアップデートしておくことが重要です。最新の状態にしておくことで、新たに発見されたマルウェアも検知できます。ウイルスが見つかった場合は駆除を実施し、同一ネットワーク上にある機器についてもウイルススキャンしましょう。

不正アクセスによる情報漏洩の可能性がある場合は、流出元へ連絡します。漏洩しているのは自分のログイン情報だけではないこともあるため、対処法を講じなければならない可能性があるからです。たとえば、インターネットバンキングのアカウントが不正ログインされた場合は、該当の銀行に報告します。社内システムの場合は、システムの運用管理者などです。

システム自体がマルウェア感染の被害に遭っている場合は、大規模な情報漏洩が起こる可能性があります。できるだけ早く連絡して、被害の拡大を防ぎましょう。また、「個人情報保護法」では個人情報が漏洩し、個人の権利利益を害する恐れがあるときは、以下へ連絡することが義務づけられています。

本人への連絡が困難な場合は、プレスリリースで間接的に呼びかけるなど、本人への連絡に代わる措置を取る必要があります。

不正アクセスは対処法を講じるだけではなく、他に被害がないか確認することが重要です。情報漏洩している場合は、漏洩している取引先や顧客の情報の規模や、どのような被害があるのか確認し、報告することが求められます。

たとえば、ログイン情報に連携するクレジットカード情報や口座番号などが流出した場合は、不正購入やネットバンキングの不正送金されてしまうこともあります。

被害状況が把握されず、適切に報告されなかった場合は、企業としての信頼が失墜してしまうので、必ず確認しておきましょう。

不正アクセスされたときの証拠を保存しておきましょう。セキュリティ対策委員会や警察にログイン履歴などの情報を提出することがあります。

不正アクセスされた証拠として求められるのは、たとえば以下の資料です。

上記のほかにも、追加で資料の提出を求められた場合に、対応できるようファイルのバックアップやスクリーンショットを残しておきましょう。

不正アクセスが起こる前に、どのファイルを残しておくべきか見当をつけておくことも重要です。

不正アクセスされたら、不正アクセスが起こった原因を調査し、システムの復旧作業を実施します。原因の調査は再発防止のために実施することはもちろん、企業の説明責任を果たすために重要です。

不正にログインされた場合、どこからログイン情報が漏れたのかやネットワークの脆弱性を狙われたものなのかなど確認します。原因の調査が完了した後は、調査結果を踏まえた対策を講じてシステムを復旧します。

不正アクセスやサイバー攻撃は犯罪であるため、必ず通報しましょう。警察へ相談するときは、事前に電話で以下のことを伝えておくとスムーズです。

相談する日時までに、不正アクセスの証拠資料を揃えておきましょう。

不正アクセスの被害に遭う前に対策しておくことは重要です。不正アクセスを防ぐには以下の対策が有効です。

上記の対策のなかには、内閣サイバーセキュリティセンターが公表している「サイバーセキュリティ対策9ヵ条」の内容も含まれます。「サイバーセキュリティ対策9ヵ条」は誰もが最低限実施すべき対策として挙げられている項目です。

対策を講じず、不正アクセスによって企業の情報が漏洩した場合は、取引先やお客様など社会的な信頼を失う可能性があります。

本項目で詳しく説明するので、漏れなく実施しましょう。

参考：「サイバーセキュリティ意識・行動強化プログラム」の見直しについて

多要素認証や二段階認証を設定すると、不正アクセスの被害を防止しやすくなります。二段階認証よりも多要素認証を設定したほうが安全です。

二段階認証は「記憶情報」に2回、回答して認証する方法のこと。たとえば、IDやパスワード情報の他に、あらかじめ設定した「秘密の質問」などを回答して認証する方法を指します。

一方、多要素認証は記憶情報のほかに、携帯電話やICカードの情報などを示す「所持情報」、指紋や顔などの「生体情報」を組み合わせて認証する方法です。たとえば、ID・パスワードを入力後、SMSに送信されたワンタイムパスワードを入力することは、記憶情報と所持情報を組み合わせているので多要素認証に該当します。

認証方法を選択できるときは、より堅牢性の高い認証方法を利用するとよいでしょう。

第三者に推測されにくい複雑なパスワードを設定すると、不正アクセスを防ぎやすくなります。

パスワードを推測する手口には、文字の組み合わせをすべて試行する「総当たり攻撃」やよく使われる文字列を試行する「辞書攻撃」などがあります。これらの攻撃を避けるためには、文字の組み合わせを複雑にすることが有効です。

総務省では英大文字小文字や数字、記号を1つ以上含めることや、10桁以上の長い文字数を設定するなどを推奨しています。

既に設定しているパスワードは、他のアカウントで利用しないようにしましょう。

一度不正アクセスに成功したパスワードは、辞書攻撃などで再利用されることがあります。また、パスワードの文字のうち、規則性のある文字を一部だけ変更して使っている場合も同様です。アカウントごとに複雑なパスワードを設定しておくと、不正アクセスを受けにくくなります。

不正アクセスの被害を抑えるための手段として、セキュリティ対策ソフトの導入しましょう。ウイルスにはID・パスワードを盗み出すものも存在します。このようなウイルスを検知し、駆除するためにセキュリティ対策ソフトを導入しましょう。

企業ではパソコンやサーバへのウイルス感染の予防や駆除するため、セキュリティ対策ソフトを導入するのが一般的です。セキュリティ対策ソフトを導入せずに、問題が起きた場合は企業の信用問題にかかわる点は覚えておきましょう。

セキュリティ対策ソフト導入後は、最新のウイルスを検知できるよう、OSなどと同様にアップデートをこまめにすることも重要です。

OSやソフトウェアのバージョンは常に最新の状態に更新しましょう。前回のバージョンのときには発生していなかった、最新のマルウェアなどからの攻撃についても対策されていることがあるためです。

複数台のパソコンを管理している場合は、漏れなく実施するようルールを設けたり、アップデートしたことを検知できる仕組みを導入したりして対策する必要があります。

パソコンやサーバだけでなく、ルーターに搭載されているファームウェアの更新も忘れずに実施してください。

重要な情報はパソコンやサーバ内に保管せず、セキュリティ性の高いオンラインストレージなどに保管しましょう。重要な情報とは、IDとパスワードの覚え書きやネットワーク図など外部に漏れたら、悪用される可能性のある情報のことです。

不正アクセスされた場合、アクセス先に重要な情報が保存してあると盗まれやすくなります。また、ブラウザにログイン情報を保存すると、スマホやパソコンにログインされた場合、保存してある情報で不正アクセスされてしまうので注意しましょう。

通信内容を盗聴させないためにも、無線LANの通信を暗号化しましょう。無線LANは有線と異なり、無線通信の内容が盗聴されるリスクが高い通信方式です。盗聴されると、ログイン情報やクレジットカード番号などが第三者に知られてしまいます。

通信を暗号化することで、通信の内容を解読できないように保護します。ただし、無線LANを安全に利用するためには、暗号化だけではなくセキュリティポリシーを整備し、社員にルールを順守させるよう指導しなければなりません。

不正アクセスを防ぐには、オンラインストレージサービスもセキュリティ性の高いものを利用しましょう。データセンターに設置されているなどの物理的にセキュリティ性が高いものや、アクセス制限や多要素認証など攻撃を受けにくく対策しているものもあります。

オンラインストレージのセキュリティは、サービスの品質によるため、充分に検討して選びましょう。

不正アクセスされたら適切な対処法を実施し、とるべき対策を講じましょう。

ただし、不正アクセスによって被害が出た場合、情報漏洩や金銭的な被害によって企業の社会的信頼を失ってしまいます。

不正アクセスで重要なのは、不正アクセスされないよう適切に対策することです。セキュリティソフトを導入したり、認証方法をより堅牢性の高いものを選択したりすることでリスクを回避できます。

また、身に覚えのないファイルを開かないなど、社員ひとりひとりの意識づけも必要です。

被害にあう前に、不正アクセスされないように対策しましょう。

コンサルティングに関しては、専門性を持ったコンサルタントが、徹底して伴走支援するクオンツ・コンサルティングにご相談ください。

①大手コンサルティングファーム出身のトップコンサルタントが多数在籍
②独立系ファームならではのリーズナブルなサービス提供
③『事業会社』発だからできる当事者意識を土台にした、実益主義のコンサルティングサービス

クオンツ・コンサルティングは『設立から3年9ヶ月で上場を成し遂げた事業会社』発の総合コンサルティングファームです、
無料で相談可能ですので、まずはお気軽にご相談ください。

>>無料でのお問い合わせはこちら