2024.10.04
「不正アクセス」と「踏み台」
目次
サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。
今回のテーマは、「不正アクセス」と「踏み台」です。
不正アクセスとは
総務省の「国民のためのサイバーセキュリティサイト」では、不正アクセスについて「本来はアクセス権限を持たないものが、サーバや情報システムの内部へ侵入する行為」と説明しています。
簡単に言えば、本来アクセスを許可されていない者が、他人のIDやパスワードを盗んで不正にログインし、サーバや情報システムの内部へ侵入してシステムを勝手に操作することです。
不正アクセスに使う他人のIDやパスワードは、「フィッシングとSNS乗っ取り」【3分でわかる用語解説#7】で解説したフィッシング行為や、知り得たIDに対する総あたり攻撃などで悪意を持った第三者に盗まれています。
不正アクセスにより、機密情報・個人情報・重要ファイルの盗み出しや消去、不正なプログラムのインストール、システムの乗っ取りなどが行われ、近年多くの企業が、不正アクセスによる深刻な被害を受けています。 企業の機密情報が流出したり、サーバやシステムの停止・ホームページの改ざんなどです。
他にも発生する被害として、次のようなものも考えられます。
- 盗まれた個人情報による銀行口座、クレジットカードの不正利用による金銭的被害
- 取引先や機密情報の漏えいおよびシステム停止等による機会損失、信用失墜
- 自社サーバなどから他社攻撃が行われることによる、攻撃された企業からの復旧対応要求や損害賠償請求、取引停止等
不正アクセス禁止法とその影響
不正アクセスは単なる悪意ある行為に留まらず、法律としても厳しく禁止されています。
それが「不正アクセス禁止法」(不正アクセス行為の禁止等に関する法律)です。
不正アクセス禁止法では、不正アクセスそのものだけでなく、不正アクセスに関与するための他人のIDやパスワードの取得、提供、保管も違法としています。違反者には最大で3年以下の懲役または100万円以下の罰金が科される可能性があります。
この法律は企業に対するサイバー攻撃に限らず、個人のSNSアカウントへの不正ログインなども対象となります。「あいつのIDとパスワードがわかったから、ちょっと覗いてやろう」「ネットにさらしておこう」も犯罪となります。
参考記事:不正アクセス禁止法をわかりやすく解説[組織が取るべき対策を紹介](Securify Web サイト)
踏み台攻撃とは
踏み台攻撃とは、攻撃者が最初に、標的とは別の不正アクセスで侵入したサーバ等を乗っ取って、最終標的への攻撃に利用する手法です。この攻撃に使われたサーバ等を「踏み台」と呼びます。
踏み台を使うことで、攻撃者は自身の正体を隠しつつ、攻撃を行うことができます。また、恐ろしいことに、乗っ取られたサーバやコンピュータは、攻撃者に利用され攻撃に加担することになるため、不正アクセスを受けた被害者から加害者になってしまうのです。
この踏み台を使って大規模な攻撃が行われることがあります。DDoS(Distributed Deny of Service)攻撃と標的型攻撃です。
DDoS攻撃は、攻撃者が複数のサーバ等を乗っ取ることから始まります。攻撃者は乗っ取ったサーバ等を使って、攻撃対象のサイトに一斉に大量のデータを送り、過負荷にして、対象サイトをシステムダウンさせます。最近では、家庭用のネットワーク機器(ルータなど)が乗っ取られて、攻撃に利用されたという事例もあります。
標的型攻撃は、攻撃者が乗っ取ったサーバやPC等から関連のある企業(サプライチェーン上の企業など)にマルウェア付きのメールを送り、乗っ取りを図るものです。一見、「知人」からの「それらしいメール」となっているため、非常に防ぎにくい攻撃となっています。
中小企業における対策の重要性
攻撃者が最終的な標的とする大手企業のシステムへ侵入する踏み台として、中小企業が狙われることが多くあります。理由は、大手企業に比べセキュリティ対策が十分でないと考えられているからです。
そのような攻撃者から自社を守るため、中小企業も積極的に対策を講じる必要があります。不正アクセスへの対策は、これまでのセキュリティ対策と同じです。強固なパスワードを設定し、多重認証の導入が基本の対策になります。
また、最新のセキュリティ機器やソフトウェアを導入し、定期的なシステム更新とパッチ適用を行うこと(OSやソフトウェアの脆弱性を修正するために、ベンダーが配布する修正プログラムを適用すること)も重要です。
この時、特に注意すべきは、ネットワーク機器などにも強固なパスワードを設定し、適宜パッチを適用することです。
常日頃の地道な基本的なセキュリティ対策が肝要です。このような取り組みが、企業の信頼性を高めることにつながります。
参考文献
- 不正アクセスとは? | 国民のためのサイバーセキュリティサイト (soumu.go.jp)
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/risk/07/ - 不正アクセス行為の禁止等に関する法律 | e-Gov法令検索
https://elaws.e-gov.go.jp/document?lawid=411AC0000000128
最後に
東京都では、セキュリティ機器(UTM)の3か月程度の無償体験や、企業のセキュリティ環境を調査し、今後の対策に向けて指導・助言する情報セキュリティマネジメント指導支援を行っています。
それぞれ定員がございますので、詳しくはこちらをご覧の上、お早めにお申し込みください。
https://kihontaisaku.metro.tokyo.lg.jp