不正アクセスがなくならない理由~原因と対策~

企業や官公庁への不正アクセスのニュースはたびたび耳にします。個人情報の漏えい、Webサイトの閉鎖、なりすましによる詐欺、仮想通貨取引所からの数百億相当の流出など、枚挙にいとまがありません。セキュリティ対策の重要性が叫ばれているなかで、なぜこれほどにも多くの不正アクセスが続いているのでしょう。

今回は不正アクセスがなくならない理由とその原因と対策を考えてみます。

 

不正アクセスの認知件数

総務省(参照元:総務省の「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、不正アクセスが認知された件数は以下のとおりとなっています。

  • 平成25年:2951件
  • 平成26年:3545件
  • 平成27年:2051件
  • 平成28年:1841件
  • 平成29年:1202件

件数としては減少傾向にありますが、不正アクセス禁止法違反で検挙された人数は、平成25年の144人から平成29年の242人と、右肩上がりで増えています。

 

不正アクセスに関しては様々なものがありますが、インターネットバンキングでの不正送金等が一番多く、次いで、仮想通貨交換業者等での不正送信、メールの盗み見、インターネットショッピングでの不正購入、なりすましによる情報発信、オンラインゲームやコミュニティサイトでの不正操作、インターネットオークションでの不正操作、Webサイトの改ざんとなっています。

 

リアルの犯罪の場合、盗難のように金銭欲がベースにあって罪を犯すケースが多いのですが、不正アクセス(サイバー犯罪)の場合、メールの盗み見、なりすまし、Webサイトの改ざんなど、自分の不正アクセス技術をまわりに誇示する目的で罪を犯すケースが少なくないことが特徴です。

 

 

不正アクセスをする理由

 

不正アクセスをする理由はいくつか考えられます。

一つ目は、インターネットバンキング、ネットショップ、オンラインゲーム、インターネットオークションなどへの不正アクセスに関しては、お金が欲しかったり、物品をタダで購入したかったり、金銭欲が背景にあります。

二つ目は、前述しましたが、自分の不正アクセス技術をまわりに誇示する目的で不正アクセスを行うケースです。仮想通貨交換業者での数百億円相当の流出事件やソーシャルメディアからの数千万人の個人情報漏えい事件では、世界的なニュースとして大々的に報道されるため、犯人としては自己顕示欲が満たされるのでしょう。

 

上記のように、金銭欲や自己顕示欲を満たすことが不正アクセスをする理由として考えられますが、それ以前に、インターネットでの犯罪は、リアルの犯罪より罪の意識が低いことにあるのではないでしょうか。人を傷つけたりする犯罪とは違い、ほとんどのサイバー犯罪は、特定の人物と対峙するものではないため、犯罪としての意識が低くなりがちです。

 

また、反対に被害にあう側の意識が低いことも不正にアクセスされる原因のひとつだと考えられます。物理的な被害がでるケースよりも、個人情報などのデータ流出のケースが圧倒的に多いため、被害の実感が沸きづらい性質の犯罪です。その結果、セキュリティ対策などの整備が遅れ、不正アクセスの対象となってしまうのです。

 

 

主な不正アクセスの手口

 

インターネットバンキングでの不正送金

インターネットバンキングでの不正送金で多いのが、金融機関のWebサイトでのログイン後に、ポップアップによる顧客情報の再入力などを促す手口です。これはユーザーのPCに何らかのマルウェアが動作している可能性が高く、そのマルウェアによって情報が流出し、不正送金などが行われます。

これらの被害は、ゆうちょ銀行や大手銀行も被害にあっていて、厳重なセキュリティ対策をしているはずの都市銀行などでも安心できないという現状となっています。

 

仮想通貨交換業者への不正アクセス

仮想通貨交換業者への不正アクセスと言えば、コインチェックの580億円相当の仮想通貨が流出した事件は記憶に新しいと思います。この手口は、SNSなどを使い、犯人が複数の社員と偽名でやり取りをして信用させ、管理者権限を持つ社員を割り出し、その後、社員のパソコンにウィルスを仕込んだメールを送り管理者権限を奪うというものでした。この手法は「ソーシャル・エンジニアリング」といって、人の心理的な隙などにつけこんで、機密情報などを盗むもので、ソーシャル・ハッキングなどと呼ばれることもあります。

 

ネットショップでの不正購入

ネットショップでの不正購入も良く耳にします。手口は、偽サイトに誘導してカード情報を盗み出す「フィッシング詐欺」、コンビニや店舗などのスキャナーでカードのデータを読み取って、そのデータを別の偽造カードにコピーする「スキミング」、第三者がユーザー本人になりすましてクレジットカードを利用する「なりすまし」など、数多くあります。これらの手口はネットショップでの不正購入だけではなく、インターネットオークションサイトやオンラインゲームサイトなどでも使われています。

 

Webサイトの改ざん

Webサイトの改ざんに関しては、内部や退職した社員の犯行によるもの以外では、マルウェアに感染して改ざんされるケースと、Webサイトの脆弱性を攻撃されて侵入・改ざんされるケースがほとんどです。セキュリティの重要性は認識しているものの、自分のところは大丈夫だろうという考えで、きちんとした対策を怠った結果、改ざんの被害にあっているといえます。

 

 

不正アクセスの対策として

 

不正アクセスを防ぐためにはいくつかの方法があります。

 

プログラムやネットワークのセキュリティ強化

まずは、セキュリティソフトを導入することです。ただ、セキュリティソフトを導入しただけではすべての不正アクセスを防ぐことはできません。OSやソフトウェアの更新プログラムを適宜適用すること、Webサイトの脆弱性なども診断しておくこと、Webサイトのリニューアルやシステムなどの入れ替え時には、セキュリティ対策を念頭においた設計を行うことなどが重要です。

また、サーバなどのプログラムだけでなく、社員が持ち出すパソコンに関してリモートワイプ(遠隔データ消去)などの対策も忘れないでください。

 

セキュリティに関する方針やルールの策定

PCやプログラムだけを対策しても十分ではなく、内部や退職した人からの不正アクセスも少なくありません。また、ちょっとした不注意でパソコンを紛失したり、盗難あったりして、不正アクセスされるケースもあります。会社としての情報セキュリティポリシーを策定して、その基本方針のもとで、細則を決めて、対象者や手続きを明確化することが必要です。

 

セキュリティに関する意識改革

技術的対策やセキュリティ方針の策定も重要ですが、社員全員のセキュリティに関する意識改革が一番重要です。不正アクセスはニュースの中だけの事件ではありません。いつどの会社に起こってもおかしくない事件だということを全員が認識する必要があります。

「ソーシャル・エンジニアリング」のように、マルウェアで不正アクセスするのではなく、人の心理的な隙をついて情報を入手するケースの場合は、人に対する教育や研修以外では対処できません。

まず、社員全員がセキュリティに対する意識を高めなければいけません。

 

 

まとめ

不正アクセスは減少傾向にあるものの、不正アクセスのニュースは後を絶ちません。対岸の火事ではなく、明日、自分にも降りかかってくるかもしれないということを常に認識して、日頃から対策をする必要があります。

繰り返しになりますが、技術的対応策と同時に、一人一人がセキュリティに関する意識を持って行動することで不正アクセスされる可能性は低くなります。まだ十分な対策ができていないと感じたら、明日からでも行動に移しましょう。

あわせて読みたい

お見積・無料お試し








製品・コラム





遠隔データ消去ソフト TRUST DELETE Biz
SMS Push遠隔消去ソフト TRUST DELETE Bizパナソニック版
VAIO PC向け遠隔消去情報漏えい対策ソリューション
管理サーバーデバイス監視ソシューション TRUST DELETE OP
モバイルデバイス監視ソフト OneBe UNO
外部指紋認証モジュール OneBe TID
ホイールパッドユーティリティ WheelPad Touch
指紋認証連携 不正利用防止ソリューション UNO Touch

エンドポイントの
情報漏えい対策を考えるコラム

2019.04.11
情報漏えい対策~教育の重要性~
これまでにも、情報漏えい対策の考え方や手法などについて、何度も取り上げていますが、今回は、「社員に対する教育」について考えてみましょう。   情報漏えい対策の2つの対処法~予防と事後対応~ ......
2019.03.31
ワーキングマザーの“悩み”から考える「働きやすい職場」とは
  少子高齢化により、今後生産年齢人口が大幅に減少していくことが予測される日本。 その対策の一環で近年、政府は子育て中の女性や高齢者の社会進出を促すべく、女性活躍推進法や働き方改革などを推進......
2019.03.22
情報セキュリティへの投資の考え方と実施方法~準備編~
情報セキュリティ”と一言で表現することが多いのですが、実際には、 企業や個人が守るべきデータは何か? 対象とする機器(パソコン、スマホなど)は何か? ユースケース(どんな状況で活用するのか)は? など......
2019.02.23
2020TDM推進プロジェクトとは~2020東京オリンピック・パラリンピックと情報セキュリティの関係~
2020TDM推進プロジェクトとは 2020 東京オリンピック・パラリンピック開催まで1年半を切りました。 開催費用の問題、新国立競技場やその他開催施設などの建設や誘致の問題など、心配な報道も多くあり......
2019.01.28
情報漏洩事件の罪と罰
情報漏洩に関する事件は後を絶ちません。 当コラムでも「情報漏えいの原因はヒューマンエラー⁉~その原因と防止策を徹底解説~」で、原因と防止策を紹介しています。 情報漏えいの原因の8割がヒューマンエラーと......