クラウド活用のための情報セキュリティサイト
情報セキュリティ対策トップ > コラム > 不正アクセスによる被害と対策とは?事例も含めて解説

不正アクセスによる被害と対策とは?事例も含めて解説

昨今、不正アクセスによる被害が急増しています。今回は、不正アクセスによる被害にはどのようなものがあるのか、対策や事例の紹介も含めて解説します。

オンライン・クラウドストレージ「DirectCloud」へ
クラウドストレージ導入で
不正アクセスを未然に防ぐ。
  • 強固なセキュリティを提供する法人向けクラウドストレージ「DirectCloud」。ファイアウォールや侵入検知システムなどを備え、不正アクセスなどのリスクから大切なデータ資産を守ります。

増え続ける不正アクセスとは

不正アクセスとは、本来であれば権限を持っていない第三者が、企業の持つ機密情報やサーバーに勝手にアクセスし、情報を盗み出したり、操作したりすることを意味しています。企業活動に大きな悪影響を及ぼす可能性がある行為であり、厳重な対策が必要です。

不正アクセスは年々増え続けており、こうした行為を違法であるとして取り締まることができるように2000年には「不正アクセス行為の禁止等に関する法律」(略称:不正アクセス禁止法)が施行されています。

不正アクセスの具体例

不正アクセスの具体例としては、以下のようなものが挙げられます。

ホームページやファイルが改ざんされる

ホームページの内容や、サーバーに設置してあったファイルが改ざんされる被害が多く見られています。ホームページは企業の顔に当たるものであるため、不正に改ざんされると顧客の信用に大きく悪影響を及ぼす可能性があります。また、ファイルの改ざんなどでホームページが正常に機能しなくなると、ウェブ関連のサービス提供がストップするなど多大な被害につながるリスクも考えられます。

機密情報を漏洩されてしまう

会社の顧客情報やID/パスワード情報などの機密情報を漏洩されてしまい、不正に利用されたり、情報が拡散されたりする危険性があります。このような被害に遭うと、顧客や取引先企業への信頼を大きく損なう可能性があり、最悪の場合は賠償問題などにも発展しかねません。

知らない間に攻撃者にされてしまう

昨今の不正アクセスは、不正を行っている大元が特定されないように行われるため、他のサーバーやパソコンへの攻撃、迷惑メールの送信元などの中継地点として利用され、知らない間に攻撃者にされてしまうリスクもあります。

不正アクセスされないための対策

不正アクセスされないために実施すべき情報セキュリティ対策としては、以下のようなものが挙げられます。

ファイアウォール(FW)やIPS / IDSなどを導入する

ファイアウォールとは、不正アクセスにつながる可能性のある通信を拒否できる仕組みです。IPS/IDSとは、不正侵入検知・防御サービスのことです。これらを導入することで、情報セキュリティを確保し、不正アクセスを防ぐことができます。

SQLインジェクション対策をしておく

データベース言語であるSQLを悪用する「SQLインジェクション」と呼ばれる手法が、データベースへの不正アクセス手段として利用されるため、この対策を実施することが重要です。先にお伝えしたFW、IPS / IDSによる対策や、WAF(Web Application Firewall)などを実装することで、このSQLインジェクションによる不正アクセスを防ぐことができます。

サーバー上の不要なサービスを停止しておく

同一サーバー上で動作しているサービスが多数あると、それだけ不正アクセスを受ける可能性も高まってしまいます。サーバー上で動作している各種サービスを確認し、利用していないものなどについては停止しておき、無効化しておくことをおすすめします。

サーバー上のソフトウェアを常に最新版に更新しておく

サーバー上で使用しているソフトウェアの脆弱性を悪用して不正アクセスされるケースもあるため、セキュリティパッチと呼ばれる対策ソフトウェアが配布されている場合には必ず更新して、最新版の情報セキュリティ対策が行き届いている状態にしましょう。

不正アクセスされた場合の対策

万が一、不正アクセスされた場合の情報セキュリティ対策は以下の通りです。

サーバーを遮断してパスワード変更を行う

まずは、不正アクセスを受けたサーバーを早急にネットワーク上から遮断する必要があります。そのため、サーバーを隔離し、不正アクセスによって漏洩した可能性のあるID・パスワードを変更しましょう。他のサービスで同一のID・パスワードを利用している場合には、そちらのパスワードも同様に変更する必要があります。

情報流出の内容や規模を速やかに把握する

個人情報を取り扱う企業では、情報セキュリティ対策専門の部署や委員会を設置しているはずです。そのような部署や委員会と連携し、情報流出の内容や規模、被害の状況などを速やかに把握しましょう。

また、顧客や取引先の個人情報などが流出した場合には、関係各所に情報流出の旨を早急に連絡し、クレジットカード・銀行などに利用停止を求める、ログイン情報のパスワード変更を行う、といった具体的な対策方法を周知してください。

システムの復旧作業を早急に実施する

不正アクセスの被害規模を把握し、対策を決定したあとは、早急にシステム復旧作業に入る必要があります。どこで情報セキュリティ対策を突破されたのかを把握する調査と並行して、復旧作業を進められればなお良いでしょう。

速やかに復旧できるように、普段からクラウドストレージサービスを利用したり、外付けハードディスクにバックアップを取ったりしておくことが肝心です。

不正アクセスの原因を調査して再発防止対策を立てる

IDやパスワードを第三者に知られてしまう状況がなかったかを確認する、ウイルススキャンを実施して何らかのウイルスに感染していないかチェックする、よく利用するウェブサービスやアクセスするサイトなどに不正アクセス被害が出ていなかったかを確認するなど、不正アクセスの原因を調査し、情報セキュリティ専門の部署や委員会などで再発防止対策を立てましょう。

実施した対策の内容や復旧作業の方法などは適時ドキュメント化してまとめておき、その後の再発防止に役立てることができるように整理しておきましょう。

証拠を保存し、必要があれば警察へ連絡する

不正アクセスによって発生した被害内容の証拠・ログは必ず保存しておき、必要があれば警察へ連絡して被害届を出しましょう。最寄りの警察署や、都道府県警察が設置しているサイバー犯罪相談窓口に証拠・ログを持参して相談してください。

不正アクセスへの対策は企業の常識

さまざまな情報を取り扱う現代において、不正アクセスへの対策は企業の常識になりつつあると言えます。担当者の皆様は、万が一の不正アクセスに備えて、情報セキュリティ対策を実施しておくことを肝に銘じておいてください。

オンライン・クラウドストレージ「DirectCloud」へ
クラウドストレージ導入で
不正アクセスを未然に防ぐ。
  • 強固なセキュリティを提供する法人向けクラウドストレージ「DirectCloud」。ファイアウォールや侵入検知システムなどを備え、不正アクセスなどのリスクから大切なデータ資産を守ります。