昨今の企業活動では、個人情報を含めた大量のデータを扱うことが珍しくなくなり、ユーザーや従業員がオンラインでやりとりする機会も増えています。そのような状況下でよく懸念されるのが、悪意ある第三者による「不正アクセス」です。
情報漏洩やデータ改ざんなどによる影響の度合いは図り知れず、不正アクセスの被害によって企業の業務が成立しなくなると、顧客からの信頼を失ってしまうことも考えられます。不正アクセスに対応するには、日ごろのセキュリティ対策を万全にすることが大切です。
本記事では、企業に対する不正アクセスの概要やその被害の実例、対策方法について解説します。
不正アクセスとは、アクセス権限のない第三者が端末やサーバーに不正に接続しようとする行為です。それによって情報システム内部へ侵入し、さまざまな被害をもたらします。
不正アクセスされた場合、「機密データや個人情報の漏洩」「重要なデータ・ファイルの消去・改ざん」「データの暗号化と身代金要求(ランサムウェア攻撃)」といった被害を受けるリスクがあります。
不正アクセスは大別すると2種類に分けられます。1つはシステムの脆弱性を突いた「侵入」、もう1つは「なりすまし」です。
「侵入」は、セキュリティの脆弱性を突いてコンピューターやシステムに侵入する手口です。これを防ぐためには、システムの脆弱性を改善する必要があり、そのためには定期的なシステムのアップデートが必要です。
「なりすまし」は、第三者のIDやパスワードを不正に得てログインすることをいいます。使用されるIDは、企業データへの不正アクセスなどで入手されます。
なりすましによる被害を防ぐには、生体認証や二段階認証などの多要素認証方法の強化策が必要です。
不正アクセスの被害例は数多く存在し、外部攻撃者による企業サイトの改ざんや、企業が保管している個人情報の漏洩被害など、手口もさまざまです。ここでは、不正アクセスによる被害例を解説します。
不正アクセスによってWebサイトを改ざんされるケースです。結果として、 WebサイトにアクセスしたPCがウイルス感染する、Webサイトにフィッシングサイトへのリンクが貼られるといった被害が想定されます。
不正アクセスによって個人情報が抜き取られることも考えられます。クレジットカードやキャッシュカードの情報が漏洩した場合は、顧客に金銭被害が発生します。ほかにも、顧客や社員の個人名・顔写真・住所・電話番号などが、新たな犯罪や詐欺に利用されるケースがあります。
「なりすまし」によってSNSアカウントを乗っ取られてしまうケースです。個人、法人の両方がなりすましの対象になります。法人の場合は、企業公式アカウントのユーザー名やアイコンが流用され、その企業アカウントになりすまされる被害が想定されます。
乗っ取られた企業アカウントから発信された情報を、顧客が企業の公式情報だと信じてリンクをクリックしてしまうと、その先のシステムによって個人情報を抜き取られてしまいます。そうなれば、企業に対する信頼性も低下してしまうでしょう。
不正な遠隔操作アプリを使って、PCを遠隔操作されることもあります。この場合は、不正アクセス時に遠隔操作アプリをインストールされ、知らぬ間に送金されたり情報を送信されたりする被害が考えられます。
企業側の知らない間に顧客情報や機密情報が抜き取られるリスクがあるだけではなく、重要データが消去されるといった、事業継続に大きな影響をおよぼす被害も起こりえるでしょう。
不正アクセスによる被害の実例を確認しましょう。なかには、国家のインフラに対する被害も含まれており、大企業も中小企業も、セキュリティ対策を万全にしなければ被害を受ける可能性があることを物語っています。
以下、不正アクセスの被害事例を解説します。自社のセキュリティ対策を見直す際の参考にしてみてください。
ある菓子メーカーでは、不正アクセスによって製造に関するシステムが一時停止し、生産に影響が出ました。また、顧客164万人超の個人情報が流出した可能性があると発表されています。侵入経路はインターネット回線用に設置していたネットワーク機器であり、その脆弱性を突かれました。
国内のある映像制作会社では、不正アクセスによって社内システムが停止しました。当時製作していたアニメの放送スケジュールを変更せざるをえなくなり、作品に連動して販売するはずだった関連グッズの販売スケジュールにも影響が出ました。
アメリカのパイプライン企業に対し、犯罪組織がランサムウェアを使ったサイバー攻撃を実施しました。このランサムウェア攻撃によって、パイプライン企業は身代金440万ドル(約4億8,000万円)を支払うことになりました。
不正アクセスによる被害を防ぐには、認証を複雑にすることやパスワードの定期的な変更、セキュリティのアップデートの定期的な実施など、日々の地道な対策が大切です。
以下、不正アクセスによる被害を防ぐための方法について解説します。
認証の回数や要素を増やし、システムのセキュリティ性を高めて不正アクセスのリスクを減らすことが可能です。
例えば、指紋や声紋認証と、ID・パスワードを使う認証とを組み合わせるなど、2種類以上の別々の要素を使った認証をすることでセキュリティ性を向上できます。
IDとパスワードは他者に知られてしまえば、管理者以外でも情報にアクセスできてしまいますが、指紋や声紋といったその人固有の要素であれば第三者による認証がされにくくなります。
多要素認証について詳しくは、以下の記事をご参照ください。
関連記事
推測が難しい「強力なパスワード」を設定する、パスワードを定期的に変更するなどは、不正アクセス対策として効果的です。
強力なパスワードにするためには、「できる限り長い文字数を使う」「大文字、小文字、数字、記号を組み合わせる」などが大切です。
ウイルス対策ソフトの導入は必須です。すでに知られているマルウェアだけでなく、未知のマルウェアにも対応ができるように、高性能なアンチウイルスソフトを導入しましょう。
OSやソフトウェア、アプリケーションのセキュリティアップデートは定期的に実行しましょう。システムの脆弱性をなくすことで、不正アクセスのリスクを低下させられます。常に最新のバージョンに更新して、セキュリティ対策を万全にしておきます。
社員へのセキュリティ教育も大切です。情報の管理ミスや紛失などによって情報が漏洩するケースは多く、そうしたヒューマンエラーを防ぐために実施しましょう。
不正アクセスによる被害は、顧客への悪影響や企業の信頼性の低下などのさまざまな問題へとつながります。
不正アクセスによる被害発生リスクを低下させるには、外部にIDやパスワードなどのデータが流出する可能性を減らすことが大切です。そのためには、テレワークが普及した現在、機密ファイルやデータの入った端末を社外で使用しようとする場合にはセキュリティリスクが伴います。
「CACHATTO」はデータを端末に残さない・外部に持ち出さないセキュリティを実現できるリモートアクセスツールです。データレスクライアントやリモートデスクトップ、セキュアブラウザなど、用途に合わせてさまざまな製品があります。セキュリティ性を損なうおそれのあるシステム変更をせずに、強固な認証や外向きのHTTPS通信を利用してリモートアクセスを実現できます。
また、このほかにも不正アクセスに関連するおすすめの記事があります。ぜひご覧ください。
おすすめ記事
