不正アクセス
読み方:フセイアクセス
不正アクセスとは
不正アクセスとは本来アクセス権を持たない者が、不正な手段によって権限を取得し、インターネットを通じてサーバやシステムを利用することを指します。
不正取得したIDまたはパスワードを用いて他人になりすましSNSにログインすることや、フィッシングサイトで不正にパスワードなどを入力させること、およびマルウェアに感染させることも不正アクセスとなります。
これらは、1999年に制定され、2012年に取締強化された不正アクセス禁止法によって、罰則対象となります。
不正アクセスの対策
対策としては、簡単に予測され得るパスワードを使わないことや、不審なメールを開かないこと、および脆弱性対策をすることが挙げられます。
アカウント情報窃の代表的な行為
- 不正ログイン
原因はユーザのパスワード設定や管理の甘さが最も多く、次点で他人からの不正な入手と2019年の国家公安委員会の調査で公表されています。手口としてはIDとパスワードの可能な組み合せをすべて試す脆弱性を狙ったブルートフォースアタック(総当たり攻撃)と、不正入手したID・パスワードでさまざまなWebサイトにログインを試みるパスワードリスト攻撃に大別されます。
- フィッシングサイト
フィッシングサイトは、実在する金融機関やECサイトになりすました偽造サイトの総称です。ユーザをそのサイトに誘導し、IDやパスワード、銀行の暗証番号を入力させることで攻撃者がアカウント情報を窃取します。窃取したアカウント情報で不正アクセスし、個人情報の窃取や本人になりすまして悪事を働き本人の信用を損なわせるなどの攻撃を仕掛けます。
- ソーシャルエンジニアリング
身内や同僚などの身近な人物になりすまして電話をかけるといった、情報を不正に入手するために心の隙を付け狙う撃です。
- マルウェア付き添付ファイル
標準型攻撃で扱われることが多く、標的になじみ深い内容の偽造メールにマルウェアを添付して、開封させることでウィルス感染を引き起こす手口です。
不正アクセスの事例
- クラウド型メールサービスのアカウントへの不正アクセス
フィッシングサイトで被害者のアカウントのIDやパスワードが不正取得されてしまいました。その結果、過去に送受信していたメールの内容が盗聴され、顧客や取引先のアドレスが流出しました。フィッシングメールの送信先に利用され、この被害者の名を騙り、1000件以上ものフィッシングメールが大量に送信されました。
- Emotet(エモテット)によるウィルス感染
ソーシャルエンジニアリングの類による攻撃で送られたメールの添付Wordファイルを、従業員が開封したことにより使用中のPCが感染する事態となりました。その後、組織内の複数台のパソコンだけでなく取引先まで被害が拡大し、個人名やメールアドレスが流出してしまいました。