生活や仕事に欠かせないアイテムであるパソコンやスマートフォン。利便性が増すのと比例して、サイバー攻撃による被害も増加しています。不正アクセスにより機密情報が漏洩し、倒産に追い込まれる企業も少なくありません。年々巧妙化する不正アクセスの手口から、企業の重要情報を守るには、どうすればよいのでしょうか。
この記事では、不正アクセスの手口や対策のほか、万が一被害に遭ってしまった場合の対処方法を紹介します。
不正アクセスのよくある手口
近年、リモートワークなどのニューノーマルな働き方を取り入れる企業が増えていますが、不正アクセスの標的になりやすく注意が必要です。不正アクセスを防ぐために、まずはどのような手口があるのかを知っておくことが大事です。
1.脆弱性を悪用した不正アクセス
ソフトウェアの不具合や、セキュリティ設定の不備などによる脆弱性をついた手口です。攻撃者は、システム内のセキュリティの弱い箇所を見つけ、機密情報を外部に流したり、システム自体を不正に操作したりします。
特に企業では、経営にかかわる重大情報や、多数の個人情報を扱っているため、システムの脆弱性を放置しておくことは非常に危険です。機密情報が流出してしまうと、会社自体の信用を失う恐れもあります。そのような事態を招かないためにも、ソフトウェアやセキュリティが最新版で正常に稼働しているかどうかこまめなチェックを徹底しましょう。攻撃者から不正アクセスされないように対策を習慣化させることも大切です。
2.ウイルスを利用した不正アクセス
企業や個人にウイルスを送りつけて感染させる手口です。URLや添付ファイルをメールなどで送り付け、リンクやファイルを開かせることで、自動的にウイルスに感染させる方法は有名です。ウイルスに感染したパソコンを使用し続けると、知らない間にハッキングされ、情報を盗まれるなどの重大アクシデントにつながります。
最近では、社員のUSBメモリなどを盗み、ウイルスを仕込んだ状態で元に戻して感染させる物理的手段をとる攻撃者もいます。会社や自宅以外の環境で仕事をすることがある場合は、こうしたリスクに晒される危険性が高まるので注意が必要です。
3.なりすましによる不正アクセス
セキュリティレベルが高くないサイトに攻撃を仕掛けてユーザーのログインIDやパスワードを抜き取り、そのユーザーのふりをする手口です。抜き取られた情報が、リスト化され販売されているケースもあります。
重要なシステムにログインするための情報が盗まれてしまった場合、社員になりすましてサーバーにアクセスされ顧客情報が流出するといった重大アクシデントにつながる可能性が高まります。
4.フィッシングを使った不正アクセス
知名度の高い企業やブランドなどの偽サイトにユーザーを誘導し、個人情報を入力させ盗む手口です。最近では、本物のサイトと見分けるのが難しいほど巧妙に作られた偽サイトも多いため、気づかずに重要な情報を入力してしまうユーザーも少なくありません。業務上、よく利用するWebサイトがある場合、本物をブックマークし、そこからしかアクセスしないようにするなどの対策が必要です。
DNS(Domain Name System)キャッシュを不正に書き換え、不正なWebサイトに誘導する「ファーミング」という手口もあります。日々進化する手口に引っかからないようにするためには、業務上必要のないWebサイトは利用しないなどの意識も大切です。
5.パスワードの推測や総当たりによる不正アクセス
英文字や数字の可能な組み合わせをすべて試してログインID・パスワードを割り出す手法「ブルートフォースアタック(総当たり攻撃)」や、何らかの方法で入手したログインID・パスワードで、さまざまなWebサイトにログインを試みる「パスワードリスト攻撃」などによる手口です。
いずれも一見、手間がかかる攻撃に感じられるかもしれませんが、多くの攻撃者はプログラムで自動化しています。生年月日などの推測しやすいパスワードを設定している場合、割り出される可能性が高まります。
企業が不正アクセス防止のためにしておきたい10の対策例
不正アクセスを受けると、さまざまな被害に遭うことが想定されます。企業だけでなく、顧客にまで甚大な被害を与えることにつながり、会社の社会的信用を失う恐れもあります。自社や顧客を守るためにも、次に挙げる対策例を参考に、自社で行える方法を検討し、不正アクセス防止に努めましょう。
1.サーバーで利用するサービスを管理する
ネットワークを介してサーバーを遠隔操作できるリモート接続サービスと、パソコン間でのファイルの転送に利用されるFTP(File Transfer Protocol)は、ホームページの改ざんや不正アクセスに利用されやすいものです。管理しているサーバーをチェックし、これらのサービスが不要であれば停止します。どうしても必要な場合は、アカウントを厳重管理するか、SSH(Secure Shell)、SFTP(SSH File Transfer Protocol)などの通信路を暗号化できるサービスを利用するようにしましょう。
2.ソフトウェアの更新を行う
使用しているソフトウェアの開発元やシステム機器メーカーから、脆弱性の修正に関する更新が発表された際は、自分が管理するシステムについての影響を検討し、緊急性が高い場合、速やかに適用する必要があります。特に、外部に広く公開されているWebサーバーなどに深刻な脆弱性が見つかった場合、不正アクセスの被害に遭う可能性が高まります。可能な限り迅速にソフトウェアの更新を行うようにしましょう。
3.パーミッションを正しく設定する
収集した情報を保存しているファイルに、外部から接続する利用者がアクセスできないよう、パーミッション(ファイルごとに定義された、読み出し・書き込みなどのアクセスに対する許可情報)を正しく設定することも大切です。設定を怠ると、誰でもファイルにアクセスすることができてしまい、重要な情報が漏洩するリスクが高まります。
4.社用のIT機器を適切に管理する
リモートワークにより、外へ持ち出すことが増えた社用のノートパソコンやタブレット、スマートフォンなどのIT機器は、万が一の紛失や盗難に備える必要があります。社員一人ひとりが紛失・盗難に十分気を付けることはもちろんですが、ログインIDやパスワードを記憶させない、紛失した場合は迅速にユーザー認証情報の変更を行うなど、扱う端末の徹底的な管理が重要です。
5.推測しづらいパスワードを設定する
生年月日や12345などの簡単なパスワードを設定している場合は、できるだけ早く変更する必要があります。情報処理推進機構(IPA)では、強固なパスワードの基準として、8文字以上かつ英字(大文字、小文字)や数字・記号を組み合わせて、意味のない文字列にすることを推奨しています。「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせて本人認証を行う多要素認証を取り入れるのも、不正アクセスを防ぐのに効果的といえます。
6.ネットワークセキュリティ製品を導入する
不正アクセスなど外部からの侵入を防ぐために、ネットワークセキュリティ製品を導入することも検討しましょう。ファイアウォールやIPS(Intrusion Prevention System)を組み合わせるなどして、多層防御を構築し、あらゆる攻撃に備えることが大切です。セキュリティシステムを導入した後は、こまめにログや警告をチェックすることも徹底させましょう。
7.社内パソコンにインストール制限をかける
社員の個人的な判断で、社内では許可されていないソフトウェアをインストールできないよう、パソコンに制限をかけることも大切です。「普段使いなれているソフトウェアのほうが使いやすい」などの声が上がるかもしれませんが、使用ソフトウェアが増えるほど、社内での管理も難しくなってしまいます。万が一脆弱性のあるソフトウェアが混じっていた場合、不正アクセスの原因となりかねません。少しでもリスクを減らすためにも、インストールしてもよいソフトウェアは決めておきましょう。
8.無線LAN環境での暗号化方式に注意する
社内無線LANルーターを使用する場合、第三者から不正アクセスや通信傍受をされるリスクを軽減するために、WPAやWPA2など、新しい通信の暗号化方式を選ぶことを徹底させましょう。パスフレーズの解読がしやすいとされる「暗号化なし」や、古い認証方式である「WEP」での無線LAN環境を使用しないことも、不正アクセスなどのリスク回避につながります。
9.セキュリティに強いパソコンを導入する
年々巧妙化する不正アクセスに対抗するには、セキュリティに強いパソコンを導入するのも効果的です。認証センサーによるログイン機能があるパソコンなら、不正アクセスの危険性を減らすことができます。パスワード以外でのログインができる端末なら、盗難に遭った場合や紛失した際も安心です。
10.セキュリティのリテラシーを高める
どんな万全な対策を行っても、社員のリテラシーが低ければ意味がありません。不審な添付ファイルは開かない、送信者やドメインの確認を徹底するなどのルールとともに、なぜセキュリティ対策が必要なのかを、社内研修などで共有することが大切です。全員が意識的にセキュリティを高める行動をとることが、さまざまなサイバー攻撃から身を守ることにつながります。
不正アクセスが発生した際の対処法
攻撃の手口は日々進化しているため、どれだけ万全の対策を行っていたとしても、不正アクセスの被害に遭う可能性はあります。万が一、不正アクセスされてしまった場合、次の手順で対処することで、被害の拡大を防げる可能性が高まります。
STEP1.関係するシステムをネットワークから隔離する
不正アクセスが発覚したら、ほかのデバイスに被害が及ぶことを防ぐために、すぐに被害に遭ったと考えられる端末をネットワークから切り離しましょう。LANを使用している場合、すぐにLANケーブルを抜きます。Wi-Fiを使っている場合は、ワイヤレススイッチを切り、デバイスをオフライン状態にします。自己判断でデバイスを再起動するようなことは避け、IT関連部門などの指示に従うようにしましょう。企業で緊急時対応計画(コンティ・ジェンシープラン)を作成している場合には、これに沿って対応します。
STEP2.パスワードを変更する
自社のSNSやホームページなどに身に覚えのない投稿がある場合は、すでに情報が盗まれている危険性があります。慌てずしかるべき部署や専門家に報告するとともに、さらに被害を拡大させないためにも、各サービスのログインIDとパスワードを変更します。
特に目立った被害がない場合でも、IDやパスワードは設定しなおすことをおすすめします。被害の拡大や二次被害を防ぐためにも、必ずほかの端末から再設定を行いましょう。もし、不正アクセスに気づかず、攻撃者によってパスワードを書き換えられてしまった場合は、不正送金などを防ぐために、アカウントの停止処理も行う必要があります。
STEP3.ログやファイルを保存する
可能な限り多くの証拠(ログやファイル)を保存します。証拠は、被害に遭った端末だけでなく、ファイアウォールや、関係するコンピュータにも残っている場合があります。自己判断でデバイスを再起動したりせず、現状を保存しておくことが重要です。
侵入の痕跡、アクセス履歴などの手がかりを残しておくためにも、早急に通信ログ・認証ログ・イベントログなど、できる限り多くのログを保存しておきましょう。コンピュータなどをシャットダウンしてしまうと、証拠が書き換わってしまう恐れがあるので注意が必要です。
STEP4.復旧作業を行う
迅速に現状確認と復旧作業を行います。IT部門や専門家チームによる調査を実施し、ウイルス感染の有無や、不正アクセスの経路、不正アクセスによる被害などを把握します。自社で対応が難しい場合は、ログ情報などを解析・調査する専門業者に依頼する方法もあります。
調査をしても原因がわからない場合は、OSの再インストールや最新版へのアップデートなどを行い、攻撃者を完全にシャットアウトする手段をとりましょう。甚大な被害が出た場合などは、都道府県警察サイバー犯罪相談窓口などに相談します。都道府県公安委員会では、不正アクセス禁止法に基づいて、再発防止のための援助を行っています。
万全の対策で不正アクセスから情報を守ろう
ICT技術はこの先もますます進化していくと思われます。同時に不正アクセスの手口もさらに巧妙化することが考えられます。攻撃そのものを根絶するのは簡単ではありません。だからといって、ネットワークを使用せずにアナログ業務を徹底するというのも現実的ではないでしょう。企業にできることは、できるだけ不正アクセスなどの攻撃に遭わないように、日頃から対策を実行することです。
この記事で挙げた対策方法はもちろん現時点では有効ですが、上述したように不正アクセスの手口は日々巧妙化・進化しています。それに伴い、対策もアップデートしていく必要があるでしょう。常に最新の情報を入手し、その時々に合った対策をとることが大切です。
不正アクセス防止のための対策方法に関するQ&A
PR TIMESのご利用を希望される方は、以下より企業登録申請をお願いいたします。登録申請方法と料金プランをあわせてご確認ください。
PR TIMESの企業登録申請をするPR TIMESをご利用希望の方はこちら企業登録申請をする