不正侵入（アクセス）とは？基本や禁止行為、対策と事例も紹介

不正侵入とは

不正侵入とは、不正アクセス禁止法で禁止されている行為のひとつです。本来ならアクセスが許されていないシステムに、不正な手段を用いて侵入することを表します。

不正アクセス禁止法の主な禁止行為として、以下が挙げられます。

■侵入行為

コンピュータのOSやハードウェア、ソフトウェアに存在する脆弱性を悪用し、ID・パスワードなどによる承認を回避してシステム内に入り込む行為

■なりすまし行為

他者のIDやパスワードを勝手に使用し、本人になりすましてシステムにアクセスする行為

■なりすましの助長行為

持ち主の許可を得ることなく、第三者にID・パスワードを提供する行為

参考:不正アクセス行為の禁止等に関する法律

上記のような不正アクセスの被害を受けた場合、サーバーや情報システムが停止してしまう・重要な情報が漏洩してしまうなど、企業や組織のイメージ低下につながる危険性があります。

不正侵入の事例

不正侵入による被害には、セキュリティホールを攻撃され、ホームページのコンテンツを改ざんされる事例が挙げられます。ほかにも不正侵入によりウイルスをばらまかれ、機密情報や個人情報が漏えいするなどの事例も発生しています。

社会的信用の失墜につながる可能性もあるため、不正侵入対策が必須です。ここでは、企業が実際に受けた不正侵入の事例を３つ紹介します。

・オンラインショップへの不正侵入

オンラインショップを運用している委託先の企業が不正侵入の被害を受け、同サイトでカード決済したユーザーのクレジットカード情報、会員・購入者情報が流出した可能性があると発表。

・旅行会社

米国などに展開している海外グループ子会社に対するサイバー攻撃が発生し、観光客の情報が流出した可能性があると発表。

・物流センター

物流センターのサーバー群にサイバー攻撃が発生し、サーバー内にある配送先の氏名や住所、電話番号などの個人情報が流出した可能性があると発表。

なお、ネットワーク/サーバへの不正アクセスを検知・防御するシステムに、「IDS・IPS」があります。こちらの記事では、IDS・IPS製品について詳しく解説しているのであわせてご覧ください。

関連記事

watch_later 2023.04.10

【2023年版】おすすめしたいIDS・IPS製品６選！選び方や違いも紹介

続きを読む ≫

不正侵入（アクセス）への対策

不正アクセスによる不法侵入を防ぐための対策を紹介します。対策方法は以下の３つが挙げられます。

• ・OSやソフトウェアのアップデート
• ・不必要なサービスの停止
• ・ITツールの導入

それぞれの対策について、詳しく解説します。

OSやソフトウェアのアップデート

不正侵入は、OSやソフトウェアなどの脆弱性を悪用して行われます。したがって、脆弱性をできる限り排除するのが現実的な対策です。

OSやソフトウェアのアップデートでは、発見された脆弱性を修正するプログラムが配布されます。速やかに適用し、最新の状態にしておくことが大切です。特に、Webアプリケーションのように外部からのアクセスを許しやすいシステムに脆弱性が見つかった場合は、早急にアップデートしましょう。

不必要なサービスの停止

稼働しているサービスが多いほど、侵入ルートは増えます。攻撃者にとって不正アクセスしやすい状態といえます。したがって、サーバ上で稼働しているサービスのうち、現在利用していないものは積極的に停止しましょう。

特に、Telnetのような遠隔操作サービスや、ファイル転送サービスのFTPなどは悪用されやすい傾向にあります。稼働サービスの確認と取捨選択を行い、今後も利用するのであれば厳重に管理しましょう。

ITツールの導入

不正アクセスを防止するためのITツールが存在します。代表的なのがIDSとIPS、ファイアウォールです。

■IDS（不正侵入検知システム）

不正侵入を検知し、管理者に知らせる機能を搭載。

■IPS（不正侵入防止システム）

不正侵入の検知だけでなくブロックまで可能。

■ファイアウォール

インターネットからの不要な通信を遮断。IPアドレスやポート番号を元にアクセスを制限。ただし、OS/Webサーバーの脆弱性を突いた攻撃には対応できない可能性あり。

■WAF

Webアプリケーションへの不正な攻撃から防御。Webアプリケーション層でのセキュリティ対策。

IDSやIPSの導入により、不正アクセスの検知・防御が可能です。また、ファイアウォールも、インターネットからの不正アクセスを遮断し、内部ネットワークを守ります。専用の機器を設置する以外に、ルータやネットワーク機器に実装されているケースもあります。

SQLインジェクションへの対策には、WAFの導入が適しているでしょう。

※SQLインジェクション……データベースに接続されたWebアプリケーションに、データベースを操作する命令文を注入し、情報を窃盗する攻撃

こちらの記事では、IDS・IPSについてより詳しく解説しているのであわせてご覧ください。

関連記事

watch_later 2023.08.10

IDS・IPSとは？違いや検知・監視方法をわかりやすく解説

続きを読む ≫

不正侵入（アクセス）対策の注意点

不正アクセスはシステム面の対策のみでは防ぎきれません。なぜなら、不正アクセスの大半が人的要因に起因するからです。

例えば、ログイン状態のスマートフォンの置き忘れや、誤操作によるログイン情報の流出などがあります。人的原因で第三者がログインに成功した場合、システム面での対策の効果は意味をなさないでしょう。システムを扱う一人ひとりの従業員に、適切な管理・利用を呼びかけるしかありません。

セキュリティポリシーの策定や周知・セキュリティ教育・点検の実施など、人的要因にもとづく不正アクセスの減少につながる対策を講じましょう。また、時間の経過とともにセキュリティ意識が薄れていくため、継続的な実施が必要です。

不正侵入対策を、ハード・ソフトの両面から実施しよう！

不正侵入とは不正アクセス行為のひとつで、コンピュータの脆弱性を悪用した侵入行為のことです。OSやソフトウェアのアップデート・不必要なサービスの停止・ITツール導入などの対策を講じましょう。

また、不正侵入を含む不正アクセスの割合を占めるのは人的要因です。セキュリティ教育や定期的な点検を実施し、従業員の意識を高めることが大切です。以上を踏まえ、不正侵入対策を実施しましょう。