インターネットを利用していて、決して他人事ではないのが「不正アクセス」です。不正アクセスとは、ハッカーなどの悪意ある第三者が個人・企業のパソコンやサービスへ不正に侵入する行為をいいます。
日本年金機構の情報漏えい事件などをニュースで見かけた方も多いでしょう。不正アクセスにはさまざまな手口があり、巧妙化してきているため被害件数も年々増加しています。
私たちに無関係ではない例として、FacebookやTwitter、LINEなどのSNSアカウントが乗っ取られるなどの被害も不正アクセスの一種です。そこで、対策方法や事例について解説していきます。
誰でもあり得る!不正アクセスの危険性
そもそも不正アクセスは多くの場合、私たちがネット上のサービスで使用するID・パスワードから被害が発生します。これらは本来、本人しか知り得ない情報。しかし、ハッカーなどの攻撃者はあらゆる方法を使ってID・パスワードを入手し、悪用します。
不正アクセス件数は年々増加の傾向
年々増えているという、不正アクセスの件数はどの程度なのでしょうか?
以下が、総務省の発表した調査データになります。
最新データである平成26年は認知件数の合計が3545件。
意外と少ない? と思われるかもしれません。しかし、これはあくまで「認知件数」。警察に通報されただけの件数であり、実際の数字とは大きく異なることでしょう。
発覚していない・通報していないケースは未知数のため、この数字がすべてではありませんが、4年前の平成22年と比較すると、その数字は2倍近くに達しています。
不正アクセスに遭うとどうなる?
第三者にID・パスワードがバレて不正アクセスを受けた場合、考えられるのがつぎのような被害です。
総務省のデータによれば、もっとも多いのが「インターネットバンキングの不正送金」。
これは、ネット銀行の利用者ID・パスワードを第三者が不正に入手してログインし、金銭を自分の口座に送り込むことです。
つぎに多い「他人へのなりすまし」は、オンラインショップで買い物をされる、メールを盗み見られるなどの行為をいいます。
ほかに、つぎのような被害も考えられます。
- 個人情報を盗まれ、売買される
- パソコンのデータを破壊される
- クレジットカードの情報を盗まれて買い物に使われる
- アカウントを乗っ取られ、他者への詐欺行為に使用される
- ほかのサイバー攻撃の攻撃元として踏み台にされる(加害者にされる)
不正アクセスの被害者であるにも関わらず、知らないうちに遠隔操作されて加害者となってしまいます。こうなると、過去にあった遠隔操作事件のように、誤認逮捕される可能性もあります。
不正アクセスの手口・方法
攻撃者が、不正にアクセスをおこなう際につかう手口をご紹介します。このなかで、とくによく使われるのが「総当たり攻撃」といわれています。
不正ログインでの攻撃方法
総当たり攻撃(ブルートフォースアタック)
不正なツールを使用して、ID・パスワードの組み合わせが当たるまで、ひたすらログインを試行する方法です。IDを固定した状態で、パスワードを「abc」「abc1」というように、ひとつずつ試します。
この攻撃に使われるツールは高性能で、6ケタ1秒という速さで全自動に解析できます。パスワードが英字だけ・数字だけや文字数が少ないと、すぐ見破られてしまうでしょう。
なお、反対にパスワードを固定してユーザー名やIDを当てはめる手法を、リバースブルートフォースアタックとも呼びます。
辞書攻撃
これも総当たり攻撃と似ています。辞書に登録されている単語、たとえば「cat」「dog」のような単語をすべて当てはめていき、ログインを試みる攻撃方法です。
IDやパスワードを覚えられない、といった理由で簡単な単語を設定している方を対象とした攻撃といえるでしょう。
パスワードリスト攻撃
一度不正ログインされたり、利用しているサイトで情報漏えいが起こったりすると、ID・パスワードの組み合わせが悪徳業者の「リスト」に載せられ、不正に売買されることがあります。
コンピューターウイルス
トロイの木馬など、情報を盗むウイルスを使った不正ログインもあります。この場合、上記のように「ログインを試みる攻撃」をおこなわず、「ID・パスワードが判明している状態」でログインを施行できます。
脆弱性を突いた不正アクセスの方法
会員制サービスのサイトがセキュリティ面で問題があると、攻撃者のサイバー攻撃により、いともたやすく会員や企業の機密情報を漏えいしてしまいます。その攻撃手法をいくつか紹介します。
SQLインジェクション
データ管理システムでは、「SQL」と呼ばれる言語でデータの操作や定義をおこないます。しかし、サイトに脆弱性があると、その部分を狙った攻撃者が悪意あるSQLの命令文を注入(インジェクション)することで、データベースが不正操作できてしまいます。
OSコマンドインジェクション
上記と似ていますが、脆弱性のあるサイトのOSに対し、悪意ある命令文(コマンド)を注入することで、不正なシステム操作やファイル改ざんといった被害を引き起こす攻撃手法です。
クロスサイトスクリプティング
Webアプリケーションの脆弱性を悪用した攻撃です。悪意ある第三者が「クリックすることで不正な攻撃をおこなうURL」のワナを設置し、サイト利用者に踏ませ、意図しない不正な動作をさせます。
バッファオーバーフロー
プログラムに対し、想定されるデータ量を超える不正な大量のデータを送信することで、処理が追いつかなくなり不正な操作をされてしまうという攻撃です。
セッションハイジャック
なりすましの一種です。セッション(利用者の通信内容)を乗っ取り、通信内容を傍受したり、パスワード変更など不正な操作をしてしまいます。
とくにオンラインショップなどが攻撃されると、カード情報の詐取や、ポイントの不正利用がおこなわれるリスクがあるでしょう。個人情報を扱う企業は、これらの攻撃への対策は必須といえます。
不正アクセスの有無を確認する方法は?
不正アクセスはひそかにおこなわれるものなので、実害がないと気づくのはむずかしいかもしれません。しかし、サイトによっては確認することも可能です。
ログイン履歴を確認する
サイトによっては、過去のログイン履歴を確認することができます。ここでは多くの場合、「ログインした場所」(例:東京都○○区など)や「IPアドレス」「ネット回線事業者名」といったものが表示されます。
つぎのような部分を確認してください。
表示の確認事項
◆ログインした場所
場所は多少ズレるので、市区町村名が少し違っても問題ありません。しかし、行った覚えのない違う都道府県や海外からの履歴があれば、高確率で不正アクセスされているといえるでしょう。
◆IPアドレス
日によって変動することがありますが、まるごと変わることは頻繁にはありません。あまりにも違うIPからや、それぞれ違うIPで何度かログインされた形跡があったら疑ってください。
◆ネット回線
これは、回線を変更しない限り変わるものではありません。たとえば、NTTで契約しているのにリストで「KDDI」と表示されたら、不正ログインされている可能性が高いです。
ログインアラートを設定する
これもサイトによってですが、ログインアラートという機能を設定できる場合があります。これは、自分のアカウントにアクセスがあったときに「アクセスがあった」と通知するものです。
この機能は楽天やLINEなどで実装されていて、LINEはいつも使う端末以外からログインがあると通知がくるようになっています。
何も操作していないのにこの通知が来たら、不正アクセスされている可能性が高いです。通知がくれば即座に対処することができるので、便利な機能といえます。
ポイントを確認する
サイト内でポイントサービスがある場合に有効な手段です。利用した覚えがないのに、所持しているポイントが大幅に減少しているなどあれば、期限失効か不正利用された可能性があります。
不正アクセスを受けたときの対処方法は?
不正アクセスには「ログインされて乗っ取られる」パターンと、「ウイルス感染されて情報を抜かれ、ログインされたパターン」があります。それぞれの対処法をご紹介します。
早急にパスワードを変更する
不正ログインされたことに気づいたら、すぐにパスワード変更をしてください。パスワードも簡単なものでなく、英数字を混ぜた8文字以上の長いものを設定しましょう。また、強制ログアウトなどの機能があれば、覚えのない端末からのログインを切断してください。
早急にクレジットカードを利用停止する
不正ログインされたサイトにクレジットカード情報を登録していたら、カードも不正利用される可能性があります。カード会社に利用停止の連絡をしましょう。
被害があればサービス運営者に問い合わせ
ネットバンキングで金銭を引き出されているとか、ポイントサイトのポイントが使われる、など実害を見つけたら、運営者に報告してください。可能であれば、被害分が補填される可能性があります。
ウイルスが疑わしいならスキャンを!
不正アクセスされていて、かつパソコンが勝手に動くなどの不自然な動作が見られたら、ウイルス感染している可能性もあります。セキュリティソフトが入っていればスキャン・駆除をおこない、ないようなら導入して実施しましょう。
体験版があるセキュリティ対策ソフト
- ノートン セキュリティ
- ウイルスバスター クラウド
- カスペルスキー インターネットセキュリティ
- マカフィー トータルプロテクション
今すぐカンタンにできる!不正アクセス対策は?
パソコンやスマホは注意して利用しないと、たやすく不正アクセスを受けてしまいます。そこで、カンタンにできる不正アクセス対策法をご紹介します。すぐ実施することをおすすめします。
【パソコン版】不正アクセス対策
パソコンで不正アクセスを受けないための対策をご紹介します。
不要なときはパソコンの電源を切る
パソコンを利用しないときは、電源を切る習慣をつけましょう。不正アクセスはインターネット回線を通じ、あなたのパソコンに侵入します。長時間利用しない時等は、電源を切る習慣をつけましょう。
パソコン内部のファイルの共有は最小限に
共有設定を有効にしているだけで、外部からの侵入を受けるリスクは高くなります。ファイル共有は最低限にしておきましょう。
OSやブラウザー、メールソフトは常に最新の状態に
各種ソフトは、セキュリティに問題のある部分が発見されると、新バージョンをリリースします。
問題のある古いバージョンを使用していると、当然セキュリティに穴があるので、不正アクセスを受けやすい状態になってしまいます。
ID・パスワードのセキュリティ対策
パスワードは「複雑化」「使い回さない」が鉄則です。ほとんどの不正アクセスは「なりすましログイン」が多く、パスワードの工夫も対策の一つといえるでしょう。
また、カード番号やID・パスワードなどの重要な情報はハードディスクに保存しない、また書き留めないようにしましょう。
◆パスワードの設定例
(1) 大文字・小文字・数字・記号を組み合わせる。
記号(! # %等)、数字、英字など
(2) 長いパスワードにする。
最低 8 文字以上は設定する
(3) 推測しづらく自分が忘れないパスワードにする。
無作為で意味を持たない文字列であること
強度の高いパスワードのつくり方については、以下の記事でくわしく解説しています。
WEBカメラなどのネットワーク機器も確認
一時、ニュースでも取り上げられましたが、ウイルス感染するとウェブカメラへの不正アクセスが簡単にできてしまいます。
すると、カメラを通じてあなたの部屋が全国ネットへ配信される可能性があるのです。そこで、つぎのような対策がおすすめです。
- マイクの接続を切っておく
- カメラ部分をシールなどで覆う
【スマホ版】不正アクセス対策
iPhoneやAndroidでの不正アクセス対策も、基本的にはパソコンと同様になります。
公式ショップ以外のアプリをダウンロードしない
Android端末はGoogle play以外のサイトでもアプリを入手できますが、公式ショップのものではない、配信者が不明のあやしいアプリはウイルスが混入している可能性もあります。信頼できるアプリ以外はダウンロードしないようにしましょう。
iPhoneは脱獄しないようにする
iPhoneの各種制限を解除する行為を脱獄(ジェイルブレイク)といいますが、脱獄すると一気にウイルス感染のリスクが高まります。脱獄はしない、もししているならウイルス感染の対策を十分におこなってください。
スマホを人に貸さない、置き忘れない
スマホを人に貸すと、場合によって不正アクセスやハッキングをおこなわれる可能性があります。
信頼している人でも、いつ裏切られるかわかりません。基本的に肌身離さず持ち歩くようにし、ロックをかけておくとより安心です。
カギなしWi-Fiの利用を控える
公共の場所でスマホやノートパソコンを利用するとき、Wi-Fiを利用している方は結構いらっしゃるのではないでしょうか。しかし、Wi-Fi回線のリストで「カギ」のマークがついていない回線はセキュリティが甘く、通信が傍受されやすいといわれます。
利用する場合はカギつきのものを利用するようにし、どうしてもカギなし回線しか利用できない状態のときは、個人情報を送信する通信などをおこなわないようにしましょう。
Wi-Fiを悪用したスマホのハッキング手口は、以下の記事でくわしく解説しています。
【企業向け】不正アクセス対策
企業が不正アクセス対策をおこなうのであれば、まず前述の【パソコン版】【スマホ版】不正アクセス対策を参考にしてください。そのうえで、つぎのような対策を実施しましょう。
SSL認証を導入する
SSL認証とは通信を暗号化するシステムです。導入したサイトはURLが「https://~」になります。これを設定することで、情報の盗聴やなりすましといった不正アクセスをある程度防ぐことが可能です。
ただしSSLには有効期限があります。古くなると効果がなくなるので、定期的なチェックが必要になります。くわしくは以下の記事で解説しています。
社内パソコンを社外に持ち出さない
会社のパソコンには、機密情報や顧客情報などが少なからず入っていることでしょう。このパソコンがウイルス感染やハッキングを受ければ、経営上の大打撃になりかねません。
基本的に社外へ持って行かないようにし、どうしても持ち出す用がある場合は、事前にセキュリティソフトを入れる、カギなしWi-Fiに接続しないなどの対策をしてください。
社内パソコンに社外のUSBをささない
USBから感染するウイルスもあります。知らないうちにウイルス感染していた自宅のUSBを社内パソコンにさせば、感染してしまいます。
また、とくに危険なのが中古のUSBです。中古品買い取り業者がデータを消去しているとは思いますが、ウイルス駆除まではできていない場合も考えられます。
中古品はあまり使わないようにしましょう。
標的型攻撃メールに注意する
企業をターゲットにした不正アクセスの手口で、とくに多いのが「標的型攻撃」というものです。これは、取引先や顧客などを装ったメールにウイルスファイルやウイルス感染するURLを添付し、ウイルス感染させる手法です。
標的型攻撃メールの手口・対策については、以下の記事でくわしく解説しています。
セキュリティ診断を受ける
不正アクセス対策でもっとも手っ取り早く、コストが安く済むのは、自社サイトの脆弱性を知り、その部分をピンポイントで対策することです。
その点、セキュリティ診断は「自社サイトがセキュリティ面で問題ないか」「問題があった場合はどの部分か」を調べられるので、対策に最適なサービスといえるでしょう。ためしに一度、受けてみてもよいかもしれません。
社内教育を徹底する
上記のような不正アクセス対策は、社内全員で実施しないと意味がありません。社内でセキュリティに関するルールを設定し、情報共有するようにしましょう。
ターゲットはパソコン・スマホだけではない
ここ最近では、子供やペットが今何しているのかを確認するWEBカメラが販売されています。しかし、このカメラも不正アクセスを受ける危険性があるのです。
また電子レンジや冷蔵庫など、インターネットに接続する機器が今以上に増えていきます。どんな機器でも、インターネットに接続する前に「セキュリティ設定はどうなっているか?」を確認して、利用するようにしましょう。
不正アクセス行為の禁止等に関する法律とは?
平成12年2月から「不正アクセス行為の禁止等に関する法律(略称:不正アクセス禁止法)」が施行(平成24年5月に改正)されました。
この法律では、不正アクセス行為に対する禁止・処罰を規定しているだけでなく、システムの管理者に不正アクセス行為を防御するための、適切な対策を講じる努力義務を課している点が大きな特徴です。
不正アクセス行為の禁止
不正アクセスをおこなうことは法律違反です。つぎの行為が発覚すると、3年以下の懲役もしくは100万円以下の罰金に処せられます。
1. 他人のID・パスワードなどの識別符号を無断で利用する行為
2. セキュリティホールを攻撃し、ID・パスワードなどを入力しないでコンピュータに侵入する行為罰則:3年以下の懲役又は100万円以下の罰金
不正アクセスの準備行為も禁止
不正アクセス自体をおこなうのではなく、準備行為も法律違反になります。
1. 他人のID・パスワードなどの識別符号を不正に取得する行為
2. 不正アクセス行為を助長する行為
3. 他人のID・パスワードなどの識別符号を不正に保管する行為
4. フィッシング行為罰則:1年以下の懲役または50万円以下の罰金
不正アクセス禁止法の時効とは?
公訴時効は損害および加害者を把握してから3年です。告発自体に時効はなく、損害や犯人が特定されていないのであれば、時効は未完成となります。
ただ、あまり時間が経っていると不正アクセスされたログ(記録)が残っていない可能性があるので、そうなると捜査が非常に困難です。
不正アクセスを受けた際の通報・相談先
不正アクセスで被害を受けたら、まず利用しているサービスの運営側に報告する必要があります。そのうえで、被害が大きい場合はつぎのような相談窓口へ通報するとよいでしょう。
不正アクセスを受けた際の通報窓口
IPA(独立行政法人 情報処理推進機構)にて『情報セキュリティ安心相談窓口』
http://www.ipa.go.jp/security/anshin/
都道府県警察本部のサイバー犯罪相談窓口一覧
https://www.npa.go.jp/cyber/soudan.htm
最近発生した不正アクセス事例【New!】
これまで数多の企業が不正アクセス被害を受け、ニュースなどでも取り上げられました。そこで、とくに最近発生した事例をいくつかご紹介します。
2016年11月
ローソン会員向けサイト
2016年9月末ごろから、パスワードリスト攻撃とみられる不正ログインが多発。検知し次第遮断するなど対策していたものの、「ローソンフレッシュサイト」で「Pontaポイント」が不正使用される被害が3件発生しました。被害額は18万4414円分に上ります。
東北電力会員向けサイト
会員サイト「よりそうeねっと」でパスワードリスト攻撃とみられる不正ログインが発生。これにより、およそ500件のアカウントでポイントの不正利用が発覚しました。
2016年9月
東急ハンズ通販サイト
東急ハンズ運営の手づくり作品通販サイト「ハンズ・ギャラリー マーケット」で、サイトのシステム脆弱性を突いたサイバー攻撃が発生しました。
これにより2016年1月4日~9月9日に当該サイトで商品を購入したユーザー861件の個人情報が漏えい。うち529人はクレジットカード情報が含まれていました。
Dropbox
オンラインストレージサービスとして有名な「Dropbox」において、利用者およそ6800万人のアカウント情報が外部流出していたことが判明。漏えいしたのは2012年で、同社はパスワード使い回しやフィッシング詐欺への注意を呼びかけました。
2016年8月
駐車場シェアサービス
2015年5月~2016年7月にかけ、駐車場シェアリングサービス「軒先パーキング」が不正アクセスを受けていたことが分かりました。
この影響による個人情報の漏えいはおよそ11万1959件、うち3万8201件はクレジットカード情報が漏えいした可能性があるとのことです。
2016年5月
Ameba
2016年5月、サイバーエージェントの運営するAmeba(アメーバ)サイトで不正ログインが発生。パスワードリスト攻撃と見られ、5月7日17時半過ぎの時点で試行回数は223万6076回、うち5万905件が不正ログインされました。
同サービスは2014年6月にも大規模なパスワードリスト攻撃を受けており、4万件弱のアカウントが不正ログインされたことが判明しています。
2016年4月
日本テレビ公式サイト
日本テレビの公式サイトが4月20日13字ごろから不正アクセスを受けていたことを発表しました。同サイトにOSコマンドインジェクションを実行可能な脆弱性が見つかり、最大43万件の個人情報が流出した可能性があるとのことです。
このほか2013年~2016年の事例は、以下の記事でまとめて紹介しています。
不正アクセスというと大企業が狙われるイメージがあるかもしれませんが、それは有名企業の被害だけ報道されているためです。実際はセキュリティ意識の低い、中小企業のほうがターゲットになっています。
攻撃者はツールを使ってセキュリティに穴のあるサイトを自動で検出、無差別に攻撃します。中小企業にお勤めの方も「自分は関係ない」と思うことなく、しっかりセキュリティ対策することが重要です。
まとめ
不正アクセス被害の概要と対策、万が一の通報先をご紹介しました。不正アクセスは誰にでも起きる可能性がありながら、被害が大きなものになってしまいがちです。しかし、日ごろから心がければ被害を未然に防いだり、最小限に食い止めたりすることができます。
ソフトのアップデートを欠かさなかったり、複雑なパスワードを設定したりといった対策をおこなって、不正アクセスを受けないように気をつけてください。
