開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/09/11

「勝手にスマホ覗き見」は犯罪?身近過ぎる「不正アクセス」の闇

連載:サイバーセキュリティ最前線

皆さんは「不正アクセス」という言葉を聞くと、何をイメージするでしょうか。世界中で暗躍するサイバー犯罪組織が大企業や政府関係機関を狙ってシステムに侵入し、機密情報を根こそぎ奪っていく……。そんなハリウッド映画さながらのような光景を思い浮かべるかもしれません。しかし、現実の不正アクセスはもっと身近なところに存在します。そして、いつあなた自身が巻き込まれても不思議はないのです。今回は、そんな不正アクセスの闇をご紹介します。

S&J コンサルティング事業部 粟田 磨弥

S&J コンサルティング事業部 粟田 磨弥

短大卒業後、日系金融機関にて金融実務業務を学んだ後、米国留学を経て、コントラクターとして日系・外資系の金融機関を中心にシステム統合プロジェクト、J-SOX導入支援プロジェクト、日系企業の海外拠点における情報セキュリティ体制構築支援プロジェクトなどに参画する。さまざまなプロジェクトを通じて情報セキュリティの重要性を知り、以降は、国内外における情報セキュリティ体制の構築運用支援、BCP策定支援、危機管理対策支援、ISMS、ITSMS、Pマークの導入運用支援、従業員向け情報セキュリティ対策教育などを手がける。企業価値の向上を目標に、日々、情報セキュリティの普及活動に力を注いでいる。

S&J
サイバー攻撃対策システムの開発及び運用、サイバー攻撃監視やセキュリティ診断、コンサルティング、インシデント対応など、お客さまのニーズに応えることができる"最適なセキュリティサービス"を提供している。
https://www.sandj.co.jp/

photo
コロナ禍の今、不正アクセスは今まで以上に身近な犯罪となった
(Photo/Getty Images)

すぐ近くにある恐ろしい脅威、それが「不正アクセス」

 皆さんは、次のような行為をどう思うでしょうか。

  1. パスワードロックをこっそり解除して友人のパソコンやスマートフォン、SNSの中身を許可なく閲覧する。
  2. 不在中の上司に送られたメールが必要となり、上司と偽ってヘルプデスクからパスワードを聞き出す。
  3. 家族のネットバンク口座に興味本位で勝手にログインする。

  特に珍しくもない、割と身近にある話だと思われたら、今回の内容は耳の痛いお話になってしまうかもしれません。

 まず、1~3の行為は、すべて不正アクセスとして違法行為になる可能性があります。

 不正アクセスは決して特殊な犯罪行為ではありません。パソコンやスマートフォン、SNSなどを利用していれば、誰もが遭遇する可能性のある脅威なのです。たとえば、特定の人物に送信したプライベートなメールの内容を、なぜか会社の同僚が知っていたらどうでしょう。仲のいい友人から「あなたからこんな失礼なメッセージを受け取った」と言われ、身に覚えのない悪意あるメッセージを見せられたらどうでしょうか。不正アクセスの被害は、思わぬ形で明らかになります。

 ところが、不正アクセスの話をすると、「狙われるのは大企業でしょう」とか「人の不安をあおらないでほしい」などという人がいます。

 本当にあなたの会社には狙われる要素が何もないでしょうか。お客さま情報や開発中の新製品のデータ、従業員の個人情報はどうですか。このような情報を持っていたとしても、不正アクセスの対象になることなどありえないと言いきれるでしょうか。

 不正アクセスは、たとえていうなら大きな河川の堤防に小さな穴をあけるような行為です。堤防を調べ、弱点を探し出し、そこに対して小さな穴を空けます。その穴をきっかけに、社内外から情報漏えいやサイバー攻撃、マルウェア感染などを引き起こしていくのです。

 また、不正アクセスは企業規模の大小および法人個人とは関係なく発生します。特に最近の傾向として、大企業の関連会社が被害に遭われている様子が見受けられます。大企業の系列に属していながら、大企業と同等のセキュリティ対策を行っていないため、攻撃者が大企業への攻撃を仕掛ける足掛かりとして関連会社に狙いを定める傾向が高まっているためです。

 不正アクセスが原因で、あなたの会社や親会社の機密情報漏えいや、あなた自身の個人情報漏えい、マルウェアへの感染などを引き起こしてしまった場合、これまで皆さんが築き上げてきたビジネスの業績や長年培ってきたお客さまからの信頼を一瞬で失墜させてしまうこともありえるのです。

 想像してみてください。あなたは自分の財産や個人情報をセキュリティ対策がずさんな組織に預けたいと思いますか。大切な情報資産を適切に取り扱ってくれない企業と取引を行いたいと思いますか。

画像
サイバー犯罪者が狙っているのは大企業だけはなく、今や中小企業、個人にまで高度な攻撃が及ぶ
(Photo/Getty Images)

不正アクセスのよくある3つの事例

 ここからは、実際に発生した不正アクセスの中から、よくある事例を紹介します。

事例1:顧客からの通報で判明したケース
 アプリを用いた決済サービスを提供する企業のもとに、利用者から身に覚えのない取引があるとの連絡が寄せられたのは、同社が利用者にサービス提供を開始した翌日のことでした。社内調査を実施したところ不正利用が発覚し、サービスの利用を停止しなければならない事態になりました。

 その後の調査で、この会社のサービスには、「2段階認証」が導入されていなかったことが判明しました。攻撃者はその不備を突き、パスワード再設定用のリンクをアカウント利用者本人に送るのではなく、攻撃者のメールアドレスに送らせるように仕向けました。その結果、攻撃者がパスワードを再設定し、堂々とアカウントを乗っ取ることができたのです。

 さらに驚いたことに、パスワード再設定の依頼は、本人の誕生日やメールアドレスなど、ネット上で簡単に見つけることのできる情報を使えば簡単に可能だったことも分かりました。しかも、その誕生日でさえ省略できる仕様だったため、いとも簡単に不正アクセスが成功してしまったのです。

事例2:脆弱性を突かれたケース
 ある日、ECサイトを運用する企業のもとに、カード決済代行会社からクレジットカード情報流出の懸念ありとの連絡が寄せられました。そこで調査したところ、ECサイトのシステムの一部に存在していた脆弱性が悪用され、第三者から不正アクセスを受けたことが判明しました。

 不正アクセスで流出した情報は1万件以上にも及び、クレジットカードの名義人、カード番号、有効期限、セキュリティコードなどの重要な情報が流出してしまいました。

 その結果、システムのセキュリティ対策と監視体制の強化、カード再発行にかかる手数料の肩代わり、情報漏えい対策用フリーダイヤルの開設、運営、監督官庁への届出など、多くの労力と多額の出費を強いられることになりました。

事例3:マルウェア感染によるケース
 重要な個人情報を取り扱っている官公庁の職員のもとに不審なメールが届きました。フリーメールアドレスから送られたそのメールには、「意見書等」といった官公庁でよく見られるもっともらしい名前が付けられていたため、職員はメールを開封し、添付ファイルもダウンロードした結果、端末がマルウェアに感染してしまいました。

 その後も不審メールは何回も送りつけられ、結果として100万件以上の重要な情報が抜き取られてしまいました。

 その後の調査で、この官公庁は「やむを得ず個人情報をサーバ内に保管する場合はパスワードを設定する」という組織内のルールを無視して、個人情報を保管していたことが判明しました。さらに、この状況を官公庁ぐるみで黙認するという、極めてずさんな情報管理体制を取っていたことも分かり、大きな問題となりました。

【次ページ】利便性やスピードを優先し、セキュリティ対策を軽視するリスク

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!