不正アクセスとは?事例や対策を関連法と併せて解説 | Codebook|Security News
Codebook|Security News > Articles > 情報セキュリティ > 不正アクセスとは?事例や対策を関連法と併せて解説

情報セキュリティ

インシデント

インシデント事例

セキュリティ体制

不正アクセスとは?事例や対策を関連法と併せて解説

山口 Tacos

山口 Tacos

2023.10.18

不正アクセスとは、本来アクセス権限を持たないコンピューターやシステムなどへ不正な手段を用いてアクセスすることを言い、近年その被害は身近になりつつあります。不正アクセスを受けると、最悪の場合、機密性の高い情報を盗まれたり、ランサムウェアに感染させられたりする被害に発展する可能性があることから、企業にとっては強固な対策が必須と言えます。本記事では、不正アクセスの概要や具体例、対策を紹介し、併せて不正アクセス禁止法についても簡単に解説します。

不正アクセスとは?

不正アクセスとは、本来アクセス権限を持たない者が、コンピューターサーバーや情報システムの内部へ不正に侵入する行為のことです。こうしたシステムは普通、正しいIDやパスワードが入力されない限り使用を許可しないなどの手段によって権限のない者のアクセスを制限しています。しかし攻撃者は、何らかの手段(※)で入手した他人のIDやパスワードを無断で使用したり、コンピュータープログラム内に存在する脆弱性を突いたりすることによってこのアクセス制限を破る場合があるのです。

※フィッシング詐欺やマルウェア感染などの原因によって漏洩した情報が利用されるケースのほか、IDやパスワードが推測されてしまうケースも考えられます。IDやパスワードなどの認証情報が不正利用される原因について、詳しくはこちらの記事もご覧ください:不正ログインはなぜ起こる?原因と企業が行う対策を解説

不正アクセスがもたらす影響

不正アクセスによって企業のシステムに侵入した攻撃者は、重要な企業情報や個人情報を盗み出したり、ランサムウェアを展開したり、ホームページやファイルの改ざんに及んだりする場合があります。その結果以下のような影響がもたらされる恐れがあり、ひいては企業の信頼やブランドイメージの低下につながることも考えられます。

 

(A)情報漏洩

(B)ランサムウェア感染

(C)サーバーや情報システムの停止

(D)業務の停止や遅延

(E)他のシステムや外部の組織を狙う攻撃への発展

不正アクセスを伴う2023年のインシデント事例

不正アクセスが実際に上記A〜Eの結果へつながってしまった国内のインシデント事例を、以下の表にまとめました。なおこちらで紹介しているのは2023年に報道/発表があった不正アクセスインシデントのほんの一部に過ぎません。

報道/発表月概要結果
9月国内衣料品メーカーの海外子会社の社内ネットワークに第三者が不正アクセス。これにより業務システムに障害が発生し、製品の受発注や出荷に影響が出て、1週間以上にわたり業務の一部が停止した。C、D
9月ソフトウェア開発・販売企業の社員1名のメールアカウントが不正アクセスを受け、当該メールアドレスを悪用して502通の不審なメールが送信された。E
8月国内のアフィリエイト関連企業が海外事業で使用している外部クラウドサーバーへ第三者が不正アクセス。海外事業で使用されるメールアカウントを悪用してスパムメールが配信されたほか、クラウドサーバーの同社アカウントに対して、第三者が利用する外部サーバーのアカウントが不正に紐づけされていた。E
5月コンクリート製品の製造・販売会社のサーバーに、外部攻撃者がファイアウォール VPN機能の脆弱性を突いて不正アクセス。攻撃者はネットワークに侵入後、パスワード総当たり攻撃で管理者パスワードを取得して情報資産にログインし、順次ランサムウェアによる暗号化を行った。B
4月電子工作部品を販売するオンラインショップに不正アクセスがあり、同ショップの顧客のメールアドレスが流出した。A
2月化学原料メーカーのサーバーが外部からの不正アクセスを受け、被害拡大を防ぐためにサーバーの停止、ネットワークの遮断などの対応が行われた。調査の結果、同社の株主や採用試験応募者、取引関係者、元社員などの個人情報を含むデータの一部が盗取された形跡が確認された。A、C
1月〜3月ファッション関連会社が管理運用する一部の社内業務システムのサーバー等が外部の第三者による不正アクセスを受け、被害拡大を防ぐためにネットワークの遮断、社内業務システムの停止などの対応が実施された。これにより、カスタマーサービスへ問い合わせた顧客の情報や従業員情報、採用応募者情報などの情報が漏洩した可能性がある。A、C

(複数情報源を参考に作成、情報源一覧はページ下部に記載)

不正アクセスへの対策

不正アクセスを防ぐためには、例えば以下のような対策を行うのが有効だと考えられます。

現在自社で運用されているルールを踏まえ対策を検討ください。

 

・IDやパスワードなどを適切に管理する

・容易に推測できるパスワードの使用を禁じる

・パスワードの使い回しを禁じる

・多要素認証を導入する

・OSやソフトウェアを最新の状態に保つ

・ファイアウォールを設置する

・不正アクセスを検知するためのシステム(IDSやIPS等)を導入する

・不要なITサービスを停止しておく

・通信を暗号化する

・社員向けにフィッシング対策トレーニングを実施する

・脆弱性診断やペネトレーションテストなど(※)を実施し、不正アクセスに利用され得る脆弱性や弱点を特定する

※脆弱性診断やペネトレーションテストについては、以下の記事もご覧ください:

脆弱性診断とは?やり方や診断内容、ツールの比較ポイントまで解説!

ペネトレーションテストとは?やり方や目的、脆弱性診断との違いについてわかりやすく解説!

不正アクセス禁止法とは?

ここまで見てきた通り、不正アクセスは重大なインシデントに発展し得る有害な行為です。日本では、こうした不正アクセス行為は「不正アクセス禁止法」という法律のもとで禁じられており、違反者には懲役刑や罰金刑などの罰則が科される場合があります。ここでは参考までに、法律の概要を簡単に紹介します。

不正アクセス禁止法の概要

不正アクセス禁止法とは、正式には「不正アクセス行為の禁止等に関する法律」と言い、その名の通り不正アクセス行為等を禁ずる内容の法律です。1999年8月13日に公布され、現在までに5回にわたって改正されており、2022年6月17日に施行されたものが最新版となっています。この法律では、不正アクセス行為そのものだけではなく、不正アクセス行為につながる識別符号(IDやパスワードなど)の不正取得・保管行為や、第三者に他人のアクセス情報を無断で提供するなどして不正アクセス行為を助長する行為等も、同様に禁止されています。

「不正アクセス行為」の定義

不正アクセス禁止法のもとでは、大きく分けて以下の2通りの不正アクセス行為が禁止されています。

 

・他人のIDやパスワードを悪用したなりすまし行為

・コンピュータープログラムの不備を突くセキュリティホール攻撃

他人のIDやパスワードを悪用したなりすまし行為(第2条第4項第一号)

以下の図のように、IDとパスワードを要求することで権限を持たない者の利用を制限しているコンピューターに、電気通信回線(インターネットや社内ネットワークなど)を通じ他人のID・パスワードを入力してアクセスし、当該PCを利用するという行為が禁じられています。

他人のIDやパスワードを悪用したなりすまし行為

コンピュータープログラムの不備を突くセキュリティホール攻撃(第2条第4項第二、三号)

以下の図のように、プログラムの脆弱性など、コンピューターの安全対策上の不備(セキュリティホール)を攻撃することでアクセス制御機能を回避して、本来権限を持たないはずのコンピューターを利用できる状態にする行為が禁じられています。

コンピュータープログラムの不備を突くセキュリティホール攻撃

不正アクセス行為を助長する行為(第5条)

不正アクセス禁止法では、不正アクセス行為自体だけでなく、「不正アクセス行為を助長する行為」も禁止されています。これには、以下に挙げるような、他人のIDやパスワード等の識別符号を無断で第三者に提供する行為が該当します。

 

・他人のIDやパスワード等を電子掲示板などで販売(※)したり、共有したりする行為

・他人のIDやパスワード等を、口頭や書面、または電子的な手段などで第三者に伝える行為

※特に、ダークウェブ上の電子掲示板(ハッキングフォーラムやマーケットプレイスなど)では、IDやパスワードなどの情報が日常的に販売/共有されています。ダークウェブについて詳しくは、こちらの記事もご覧ください:ダークウェブとは?何が行われている?仕組みから最新動向まで

不正アクセス禁止法が適用された事例

実際に不正アクセス禁止法違反の疑いにより逮捕者が出たり、捜査が行われたりしている今年発生した事件には、以下のようなものがあります。

元勤務先の名刺管理システムのログイン情報を転職先企業の社員に提供(2023年9月)

埼玉県の男性が、元勤務先の使用する名刺管理システム用のログイン情報を転職先企業の社員に提供し、システム内の名刺情報を閲覧できるようにしたことにより、個人情報保護法違反(個人情報に該当する名刺情報の持ち出し・提供)と不正アクセス禁止法違反(第三者へのログイン情報提供)の疑いで逮捕されました。

名古屋港へのランサムウェア攻撃(2023年7月)

名古屋港がランサムウェアによる攻撃を受け、全ターミナルの作業が停止するなどの影響が出るインシデントが発生し、不正アクセス禁止法違反の疑いがあるとして愛知県警により捜査されています。ランサムウェア感染の正確な原因はまだ不明ですが、名古屋港が使用する電子機器の脆弱性を悪用した不正アクセスが行われた可能性があるとされています。

関連記事:ランサムウェアに感染したら?被害を抑える対策とは?

不正アクセス禁止法違反時の罰則(懲役刑と罰金刑)

不正アクセス禁止法に違反すると、違反した条項に応じて以下の表に示す懲役刑か罰金刑が科される場合があります。

違反内容刑罰
不正アクセス行為の実施(3条への違反)3年以下の懲役または100万円以下の罰金
他人の識別符号を不正に取得する行為の実施(4条への違反)
1年以下の懲役または50万円以下の罰金
5条へ違反し、相手方に不正アクセス行為の意図があることを知った上で、その人物に他人の識別符号を提供する行為の実施
他人の識別符号を不正に保管する行為の実施(6条への違反)
識別符号の入力を不正に要求する行為(フィッシング)の実施(7条への違反)
5条へ違反し、相手方に不正アクセス行為の意図があることを知らずにその人物へ他人の識別符号を提供する行為の実施30万円以下の罰金

最後に

不正アクセスは情報漏洩などの重大な事故につながり得る危険な行為であり、不正アクセス禁止法という個別の法律によって禁じられています。ニュースなどでも「不正アクセス」という言葉を耳にする機会が増えている昨今、規模を問わずあらゆる企業が不正アクセス被害に遭う可能性があることから、これを防ぐためのセキュリティ対策の実施は欠かせません。

そうは言ってもどこから対策を始めればいいのかわからない、自社がどんなセキュリティリスクを抱えているのかわからない、セキュリティに詳しい社員がいない、などのお悩みがある場合は、外部のセキュリティコンサルティングサービスの利用を検討してみるのもお勧めです。

 

弊社マキナレコードでも、ゼロからのセキュリティ体制構築支援から顧問サービス、ISMSなどの認証取得支援、また脆弱性診断やペネトレーションテストサービスまで、幅広い支援サービスを提供しています。詳しくは、弊社ホームページをご覧ください。

セキュリティ体制構築支援資料ダウンロードリンク

情報源

[1] https://xtech.nikkei.com/atcl/nxt/news/18/15999/#:~:text=%E3%83%AF%E3%82%B3%E3%83%BC%E3%83%AB%E3%83%9B%E3%83%BC%E3%83%AB%E3%83%87%E3%82%A3%E3%83%B3%E3%82%B0%E3%82%B9%EF%BC%88HD%EF%BC%89%E3%81%AF2023,%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E7%8A%B6%E6%85%8B%E3%81%A0%E3%80%82

[2] https://scan.netsecurity.ne.jp/article/2023/10/04/50026.html

[3] https://www.ndsoft.jp/wp/wp-content/uploads/2023/09/341a95850626dc2382a61f7d044d6559-1.pdf

[4] https://scan.netsecurity.ne.jp/article/2023/09/04/49901.html

[5] https://www.ncic.co.jp/wp/wp-content/uploads/2023/07/230707.pdf

[6] https://www.sengoku.co.jp/apology_leak.html

[7] https://www.nikkei.com/nkd/disclosure/tdnr/20230228519481/

[8] https://www.adastria.co.jp/news/notice/entry-15787/

[9] https://www.asahi.com/articles/ASR9H46XGR9HUTIL00K.html

[10] https://cybersecurity-jp.com/news/85089

[11] https://japan.zdnet.com/article/35207127/#:~:text=%E6%84%9B%E7%9F%A5%E7%9C%8C%E8%AD%A6%E3%82%84%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E4%BF%9D%E5%AE%88,%E8%AA%BF%E6%9F%BB%E4%B8%AD%E3%81%A7%E3%81%82%E3%82%8B%E3%81%97%E3%81%9F%E3%80%82

Writer

山口Tacosライター/翻訳者

著者

2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ