不正アクセスがなくならない理由～原因と対策～

企業や官公庁への不正アクセスのニュースはたびたび耳にします。個人情報の漏えい、Webサイトの閉鎖、なりすましによる詐欺、仮想通貨取引所からの数百億相当の流出など、枚挙にいとまがありません。セキュリティ対策の重要性が叫ばれているなかで、なぜこれほどにも多くの不正アクセスが続いているのでしょう。

今回は不正アクセスがなくならない理由とその原因と対策を考えてみます。

不正アクセスの認知件数

総務省（参照元：総務省の「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、不正アクセスが認知された件数は以下のとおりとなっています。

• 平成25年：2951件
• 平成26年：3545件
• 平成27年：2051件
• 平成28年：1841件
• 平成29年：1202件

件数としては減少傾向にありますが、不正アクセス禁止法違反で検挙された人数は、平成25年の144人から平成29年の242人と、右肩上がりで増えています。

不正アクセスに関しては様々なものがありますが、インターネットバンキングでの不正送金等が一番多く、次いで、仮想通貨交換業者等での不正送信、メールの盗み見、インターネットショッピングでの不正購入、なりすましによる情報発信、オンラインゲームやコミュニティサイトでの不正操作、インターネットオークションでの不正操作、Webサイトの改ざんとなっています。

リアルの犯罪の場合、盗難のように金銭欲がベースにあって罪を犯すケースが多いのですが、不正アクセス（サイバー犯罪）の場合、メールの盗み見、なりすまし、Webサイトの改ざんなど、自分の不正アクセス技術をまわりに誇示する目的で罪を犯すケースが少なくないことが特徴です。

不正アクセスをする理由

不正アクセスをする理由はいくつか考えられます。

一つ目は、インターネットバンキング、ネットショップ、オンラインゲーム、インターネットオークションなどへの不正アクセスに関しては、お金が欲しかったり、物品をタダで購入したかったり、金銭欲が背景にあります。

二つ目は、前述しましたが、自分の不正アクセス技術をまわりに誇示する目的で不正アクセスを行うケースです。仮想通貨交換業者での数百億円相当の流出事件やソーシャルメディアからの数千万人の個人情報漏えい事件では、世界的なニュースとして大々的に報道されるため、犯人としては自己顕示欲が満たされるのでしょう。

上記のように、金銭欲や自己顕示欲を満たすことが不正アクセスをする理由として考えられますが、それ以前に、インターネットでの犯罪は、リアルの犯罪より罪の意識が低いことにあるのではないでしょうか。人を傷つけたりする犯罪とは違い、ほとんどのサイバー犯罪は、特定の人物と対峙するものではないため、犯罪としての意識が低くなりがちです。

また、反対に被害にあう側の意識が低いことも不正にアクセスされる原因のひとつだと考えられます。物理的な被害がでるケースよりも、個人情報などのデータ流出のケースが圧倒的に多いため、被害の実感が沸きづらい性質の犯罪です。その結果、セキュリティ対策などの整備が遅れ、不正アクセスの対象となってしまうのです。

主な不正アクセスの手口

インターネットバンキングでの不正送金

インターネットバンキングでの不正送金で多いのが、金融機関のWebサイトでのログイン後に、ポップアップによる顧客情報の再入力などを促す手口です。これはユーザーのPCに何らかのマルウェアが動作している可能性が高く、そのマルウェアによって情報が流出し、不正送金などが行われます。

これらの被害は、ゆうちょ銀行や大手銀行も被害にあっていて、厳重なセキュリティ対策をしているはずの都市銀行などでも安心できないという現状となっています。

仮想通貨交換業者への不正アクセス

仮想通貨交換業者への不正アクセスと言えば、コインチェックの580億円相当の仮想通貨が流出した事件は記憶に新しいと思います。この手口は、SNSなどを使い、犯人が複数の社員と偽名でやり取りをして信用させ、管理者権限を持つ社員を割り出し、その後、社員のパソコンにウィルスを仕込んだメールを送り管理者権限を奪うというものでした。この手法は「ソーシャル・エンジニアリング」といって、人の心理的な隙などにつけこんで、機密情報などを盗むもので、ソーシャル・ハッキングなどと呼ばれることもあります。

ネットショップでの不正購入

ネットショップでの不正購入も良く耳にします。手口は、偽サイトに誘導してカード情報を盗み出す「フィッシング詐欺」、コンビニや店舗などのスキャナーでカードのデータを読み取って、そのデータを別の偽造カードにコピーする「スキミング」、第三者がユーザー本人になりすましてクレジットカードを利用する「なりすまし」など、数多くあります。これらの手口はネットショップでの不正購入だけではなく、インターネットオークションサイトやオンラインゲームサイトなどでも使われています。

Webサイトの改ざん

Webサイトの改ざんに関しては、内部や退職した社員の犯行によるもの以外では、マルウェアに感染して改ざんされるケースと、Webサイトの脆弱性を攻撃されて侵入・改ざんされるケースがほとんどです。セキュリティの重要性は認識しているものの、自分のところは大丈夫だろうという考えで、きちんとした対策を怠った結果、改ざんの被害にあっているといえます。

不正アクセスの対策として

不正アクセスを防ぐためにはいくつかの方法があります。

プログラムやネットワークのセキュリティ強化

まずは、セキュリティソフトを導入することです。ただ、セキュリティソフトを導入しただけではすべての不正アクセスを防ぐことはできません。OSやソフトウェアの更新プログラムを適宜適用すること、Webサイトの脆弱性なども診断しておくこと、Webサイトのリニューアルやシステムなどの入れ替え時には、セキュリティ対策を念頭においた設計を行うことなどが重要です。

また、サーバなどのプログラムだけでなく、社員が持ち出すパソコンに関してリモートワイプ（遠隔データ消去）などの対策も忘れないでください。

セキュリティに関する方針やルールの策定

PCやプログラムだけを対策しても十分ではなく、内部や退職した人からの不正アクセスも少なくありません。また、ちょっとした不注意でパソコンを紛失したり、盗難あったりして、不正アクセスされるケースもあります。会社としての情報セキュリティポリシーを策定して、その基本方針のもとで、細則を決めて、対象者や手続きを明確化することが必要です。

セキュリティに関する意識改革

技術的対策やセキュリティ方針の策定も重要ですが、社員全員のセキュリティに関する意識改革が一番重要です。不正アクセスはニュースの中だけの事件ではありません。いつどの会社に起こってもおかしくない事件だということを全員が認識する必要があります。

「ソーシャル・エンジニアリング」のように、マルウェアで不正アクセスするのではなく、人の心理的な隙をついて情報を入手するケースの場合は、人に対する教育や研修以外では対処できません。

まず、社員全員がセキュリティに対する意識を高めなければいけません。

まとめ

不正アクセスは減少傾向にあるものの、不正アクセスのニュースは後を絶ちません。対岸の火事ではなく、明日、自分にも降りかかってくるかもしれないということを常に認識して、日頃から対策をする必要があります。

繰り返しになりますが、技術的対応策と同時に、一人一人がセキュリティに関する意識を持って行動することで不正アクセスされる可能性は低くなります。まだ十分な対策ができていないと感じたら、明日からでも行動に移しましょう。