不正ログインによる被害や手口、対策として情報共有すべきポイントについて

INDEX

    不正ログインは企業や組織の公式のWebサイト、オンラインサービス、SNSアカウントなど、インターネットに繋がるすべてのIT資産に影響を与え得るサイバー攻撃です。今回は不正ログインによる被害や手口、対策として社内や組織内で共有すべき情報についてご説明します。


    不正ログインとは何か

    不正ログインとはIDとパスワードの組み合わせが何らかの形で漏れてしまい、オンライン上のサービスやアカウント、パソコンやサーバーに第三者が不正にログインしてしまうことを意味します。
    日本では不正アクセス禁止法によって不正ログインすることは法律で罰せられるのが現実です。しかし、悪意のある第三者は法律を無視して、自らの利益や愉悦のために不正ログインを試みます。

    不正ログインによる被害

    悪意のある第三者によって不正ログインされた場合、本来の持ち主と同じ機能や操作が可能となり、情報の改竄や漏洩、なりすましによる情報発信、マルウェアに感染させられることによって盗聴されることなども考えられます。同時に、企業や組織内のネットワークを介して他のパソコンやサーバーを不正操作するためにマルウェアをばらまくこともあり、場合によっては取引先や顧客にも被害を与えてしまう恐れがあります。

    不正ログインの手口と対策

    1.添付ファイルやダウンロードしたファイル
    2.フィッシングサイト/メールによる情報の搾取
    3.ID/パスワードの生成や管理の不備による漏洩
    4.OSやセキュリティソフトの未更新による抜け穴
    5.コンプライアンスや内部不正対策の不足

    上記は不正ログインの原因や手口となる項目です。それぞれについて対策も含めながら説明します。

    1.添付ファイルやダウンロードしたファイル

    不正ログインするためにはIDとパスワードが必要です。そのため悪意のある第三者はIDやパスワードを盗み見るためにマルウェアに感染させようと必死になります。

    例え知り合いや取引先から送られてきたメールに添付されたファイル、またはダウンロードリングであったとしても、安易に開いてはいけないということです。

    対策としてはウイルス対策ソフト、または送付してきた相手に別の連絡方法にて確認、その他には情報システム部やセキュリティ担当に報告して対処方法を聞く体制を整えておくことが求められます。

    2.フィッシングサイト/メールによる情報の搾取

    フィッシングと呼ばれる方法では、何らかのオンラインサービスに偽装したURLをメールやメッセージに記載して、アクセスして本人に本物のIDとパスワードを入力させて盗み出します。

    昨今ではワンタイムパスワードと呼ばれるSMS認証も突破されているケースもあり、IDと通常のパスワードに加えてワンタイムパスワードさえも入力させられてしまうという事態も発生しています。

    対策としてはIDやパスワードを求められたタイミング、理由に関わらず一度情報システム部やセキュリティ担当に報告、相談する体制にしておくことです。「自分は騙されない」などという思い込みをせず、騙されてしまう前提であることをまず理解してもらい、1人で判断させないようにしましょう。

    3.ID/パスワードの生成や管理の不備による漏洩

    サイバー攻撃の中にはツールを用いて機械的にIDやパスワードを割り出そうとしたり、外部から得られる情報を元に推測や類推によって不正ログインを試みようとするものもあります。昨今のシステムでは最低でも英数字の組み合わせが求められるはずですが、まだまだ完全に浸透しておらず、わかりやすく覚えやすいパスワードを設定してしまうことも少なくありません。

    対策としては、パスワードは覚えるものではない、ということを周知徹底しましょう。複雑なパスワードを生成するツールを利用したり、定期的なパスワード変更、退職者や移動となった人材のIDやパスワードの削除なども含めて管理することが大切です。もし、パスワードの管理が煩雑になってしまうのであれば、物理キーの認証による管理の導入も検討すべきです。

    4.OSやセキュリティソフトの未更新による抜け穴

    パソコンのOSやセキュリティソフトを最新の状態にする。簡単なように聞こえますが、コスト的に最新バージョンのOSを導入できていない、またはセキュリティソフトが未購入というパターンもあります。

    最低でも最新のOS、またはセキュリティソフトを導入し、未更新による抜け穴を防ぐようにしましょう。人為的な不注意による不正ログインが狙われているのは、システム的に入り込むのが難しい場合が増えたからです。

    セキュリティソフトが動いていると重い、またはOSを最新のバージョンにすると不具合が起きそう、などと言わず、組織的、または社内的にも古いOSやソフトウェアを使わないよう設備投資する必要があります。

    5.コンプライアンスや内部不正対策の不足

    OSやセキュリティソフトも最新、パスワード管理や個々のセキュリティ意識も高まっている状態で次に狙われるのは、ソーシャルハッキングを含めたコンプライアンス違反、内部不正による不正ログインです。

    対策としては情報漏洩や不正ログイン、不正アクセスはリスクばかりでノーリターンだと理解させることです。そもそも、不正アクセスは法律で禁止されており罰則もあります。同時にファイルやディレクトリに対する権限やアクセス権の付与、責任区分を明確にすることも大切です。

    情報システム部やセキュリティ担当としてすべきこと

    不正ログイン対策はサイバー攻撃全般を対策するのと同義でもあります。全てのサイバー攻撃に対して周知徹底すること、情報共有するだけでは防ぎきれない場合があるのも事実です。

    セキュリティ意識を高めるだけでなく、システム面でのセキュリティ対策の底上げをすること、外側からも内側からもサイバー攻撃への対策を講じることが求められます。

    当社では総合IT資産管理ソフトの「AssetView」を提供しております。不正ログインや内部不正などのリスク対策に加えて、IT資産管理に役立つツールですので、セキュリティ対策の底上げにお悩みであれば、お気軽にお問い合わせください。


    まとめ:ヒューマンエラーの防止とシステムによる防御を

    不正ログインは人為的なミスやヒューマンエラーの予測や防止とともにシステム側による防御の両方が整っていないと対処しきれません。

    もちろん、完璧なシステムはありませんし、完璧な人間がいないのも事実です。だからこそ、IT資産をしっかりと管理する体制、最低限でなく限りなくセキュリティ性を高める具体的な施策が必要だということです。

    企業や組織の規模によっては、目の行き届かない部分、手の届かない場所なども増えてきます。パソコン1台とはいえ保存できる情報は膨大です。人為的に管理するだけでなく、ツールを用いて自動で一括管理することも視野に入れてみてください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      トレンド

    • 【活用編】AssetView活用セミナーすぐに実践できる! 活用事例からアプリケーション配布のポイントをご紹介(AssetView D)

      アーカイブ配信

      常時開催

      【活用編】AssetView活用セミナー
      すぐに実践できる! 活用事例からアプリケーション配布のポイントをご紹介(AssetView D)

      運用支援

    • 【活用編】AssetView活用セミナーまず知っておきたいアプリケーション配布機能の仕組み(AssetView D)

      アーカイブ配信

      常時開催

      【活用編】AssetView活用セミナー
      まず知っておきたいアプリケーション配布機能の仕組み(AssetView D)

      運用支援

    • 【活用編】AssetView活用セミナー~ Windows 11 アップグレード編(AssetView A/D/P)~

      アーカイブ配信

      常時開催

      【活用編】AssetView活用セミナー
      ~ Windows 11 アップグレード編(AssetView A/D/P)~

      運用支援

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      トレンド

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

      トレンド

    • 【活用編】AssetView活用セミナー~内部不正対策編(AssetView M/G/I/K)~

      アーカイブ配信

      常時開催

      【活用編】AssetView活用セミナー
      ~内部不正対策編(AssetView M/G/I/K)~

      運用支援

    • 【入門編】AssetView 活用セミナー~PC操作ログ管理編(AssetView M)~

      アーカイブ配信

      常時開催

      【入門編】AssetView 活用セミナー
      ~PC操作ログ管理編(AssetView M)~

      運用支援

    • 第6.0版 医療情報システムの安全管理に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      第6.0版 医療情報システムの安全管理に関するガイドライン解説セミナー

      トレンド

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

      トレンド

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      トレンド

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      トレンド

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      トレンド

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      トレンド

    • 【入門編】AssetView 活用セミナー~Windows更新管理編(P)~

      アーカイブ配信

      常時開催

      【入門編】AssetView 活用セミナー~Windows更新管理編(P)~

      運用支援

    • 【入門編】AssetView 活用セミナー~不正PC遮断編(S)~

      アーカイブ配信

      常時開催

      【入門編】AssetView 活用セミナー~不正PC遮断編(S)~

      運用支援

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

      トレンド

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      常時開催

      『IT資産管理の費用対効果』が説明できるようになるセミナー

      トレンド

    • 【初級編】AssetView 使い方レクチャー

      アーカイブ配信

      常時開催

      【初級編】AssetView 使い方レクチャー~AssetView運用開始編~

      運用支援

    • テレワーク運用における困りごと3つを解決!

      アーカイブ配信

      常時開催

      テレワーク運用における困りごと3つを解決!

      運用支援

    • 【初級編】活用セミナー~デバイス管理編(G)~

      アーカイブ配信

      常時開催

      【初級編】AssetView 活用セミナー~デバイス管理編(G)~

      運用支援

    • 【応用編】運用ワンポイント~AssetViewサーバー監視編~

      アーカイブ配信

      常時開催

      【応用編】運用ワンポイントセミナー~AssetViewサーバー監視編~

      運用支援

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら