不正ログインは企業や組織の公式のWebサイト、オンラインサービス、SNSアカウントなど、インターネットに繋がるすべてのIT資産に影響を与え得るサイバー攻撃です。今回は不正ログインによる被害や手口、対策として社内や組織内で共有すべき情報についてご説明します。

不正ログインとは何か

不正ログインとはIDとパスワードの組み合わせが何らかの形で漏れてしまい、オンライン上のサービスやアカウント、パソコンやサーバーに第三者が不正にログインしてしまうことを意味します。
日本では不正アクセス禁止法によって不正ログインすることは法律で罰せられるのが現実です。しかし、悪意のある第三者は法律を無視して、自らの利益や愉悦のために不正ログインを試みます。

不正ログインによる被害

悪意のある第三者によって不正ログインされた場合、本来の持ち主と同じ機能や操作が可能となり、情報の改竄や漏洩、なりすましによる情報発信、マルウェアに感染させられることによって盗聴されることなども考えられます。同時に、企業や組織内のネットワークを介して他のパソコンやサーバーを不正操作するためにマルウェアをばらまくこともあり、場合によっては取引先や顧客にも被害を与えてしまう恐れがあります。

不正ログインの手口と対策

1.添付ファイルやダウンロードしたファイル
2.フィッシングサイト/メールによる情報の搾取
3.ID/パスワードの生成や管理の不備による漏洩
4.OSやセキュリティソフトの未更新による抜け穴
5.コンプライアンスや内部不正対策の不足

上記は不正ログインの原因や手口となる項目です。それぞれについて対策も含めながら説明します。

1.添付ファイルやダウンロードしたファイル

不正ログインするためにはIDとパスワードが必要です。そのため悪意のある第三者はIDやパスワードを盗み見るためにマルウェアに感染させようと必死になります。

例え知り合いや取引先から送られてきたメールに添付されたファイル、またはダウンロードリングであったとしても、安易に開いてはいけないということです。

対策としてはウイルス対策ソフト、または送付してきた相手に別の連絡方法にて確認、その他には情報システム部やセキュリティ担当に報告して対処方法を聞く体制を整えておくことが求められます。

2.フィッシングサイト/メールによる情報の搾取

フィッシングと呼ばれる方法では、何らかのオンラインサービスに偽装したURLをメールやメッセージに記載して、アクセスして本人に本物のIDとパスワードを入力させて盗み出します。

昨今ではワンタイムパスワードと呼ばれるSMS認証も突破されているケースもあり、IDと通常のパスワードに加えてワンタイムパスワードさえも入力させられてしまうという事態も発生しています。

対策としてはIDやパスワードを求められたタイミング、理由に関わらず一度情報システム部やセキュリティ担当に報告、相談する体制にしておくことです。「自分は騙されない」などという思い込みをせず、騙されてしまう前提であることをまず理解してもらい、1人で判断させないようにしましょう。

3.ID/パスワードの生成や管理の不備による漏洩

サイバー攻撃の中にはツールを用いて機械的にIDやパスワードを割り出そうとしたり、外部から得られる情報を元に推測や類推によって不正ログインを試みようとするものもあります。昨今のシステムでは最低でも英数字の組み合わせが求められるはずですが、まだまだ完全に浸透しておらず、わかりやすく覚えやすいパスワードを設定してしまうことも少なくありません。

4.OSやセキュリティソフトの未更新による抜け穴

パソコンのOSやセキュリティソフトを最新の状態にする。簡単なように聞こえますが、コスト的に最新バージョンのOSを導入できていない、またはセキュリティソフトが未購入というパターンもあります。

最低でも最新のOS、またはセキュリティソフトを導入し、未更新による抜け穴を防ぐようにしましょう。人為的な不注意による不正ログインが狙われているのは、システム的に入り込むのが難しい場合が増えたからです。

セキュリティソフトが動いていると重い、またはOSを最新のバージョンにすると不具合が起きそう、などと言わず、組織的、または社内的にも古いOSやソフトウェアを使わないよう設備投資する必要があります。

5.コンプライアンスや内部不正対策の不足

OSやセキュリティソフトも最新、パスワード管理や個々のセキュリティ意識も高まっている状態で次に狙われるのは、ソーシャルハッキングを含めたコンプライアンス違反、内部不正による不正ログインです。

対策としては情報漏洩や不正ログイン、不正アクセスはリスクばかりでノーリターンだと理解させることです。そもそも、不正アクセスは法律で禁止されており罰則もあります。同時にファイルやディレクトリに対する権限やアクセス権の付与、責任区分を明確にすることも大切です。

情報システム部やセキュリティ担当としてすべきこと

不正ログイン対策はサイバー攻撃全般を対策するのと同義でもあります。全てのサイバー攻撃に対して周知徹底すること、情報共有するだけでは防ぎきれない場合があるのも事実です。

セキュリティ意識を高めるだけでなく、システム面でのセキュリティ対策の底上げをすること、外側からも内側からもサイバー攻撃への対策を講じることが求められます。

当社では総合IT資産管理ソフトの「AssetView」を提供しております。不正ログインや内部不正などのリスク対策に加えて、IT資産管理に役立つツールですので、セキュリティ対策の底上げにお悩みであれば、お気軽にお問い合わせください。

まとめ：ヒューマンエラーの防止とシステムによる防御を

不正ログインは人為的なミスやヒューマンエラーの予測や防止とともにシステム側による防御の両方が整っていないと対処しきれません。

もちろん、完璧なシステムはありませんし、完璧な人間がいないのも事実です。だからこそ、IT資産をしっかりと管理する体制、最低限でなく限りなくセキュリティ性を高める具体的な施策が必要だということです。

企業や組織の規模によっては、目の行き届かない部分、手の届かない場所なども増えてきます。パソコン1台とはいえ保存できる情報は膨大です。人為的に管理するだけでなく、ツールを用いて自動で一括管理することも視野に入れてみてください。