不正アクセスによる被害は、近年手法も多様化してきていることから、防ぎきれず機密情報が漏れてしまうといった例が増えております。
また、外部からの攻撃によるものだけではなく、悪意のある組織内部の人間により情報を盗まれてしまう事件も少なくありません。
情報資産は様々な手口で不正アクセスのターゲットにされておりますが、その手口を知れば有効な対策方法も取ることができます。
不正アクセスとは
コンピュータなどのIT機器や、コンピュータやネットワークに保存されている情報資産に対して、本来それにアクセスする権限を持たない人が不正な手段で利用できるようにする脅威全般を指します。
不正アクセスの目的は情報漏洩のみに限られず、以下のようなものがあります。
・マルウェアの感染
・システムの改ざんや破壊
・別のネットワークへの攻撃の踏み台
不正アクセスの手口
・不正ログイン
IDやパスワードを何らかの方法で盗み出し、ログインする方法です。
有名な手口として「パスワードリスト攻撃」というものがあります。
よく使用されるパスワードのリストが存在し、リストに登録されているパスワードを1つずつ試していくという手口です。
また、最近増えてきているのがフィッシングによるIDとパスワードの窃取です。
これは、標的の企業の従業員にフィッシングメールを送りつけ、そこに記載されているURLから社内システムなどのログイン画面に模したWebサイトに誘導し、IDとパスワードを入力されるというものです。
上記のような外部からの攻撃の他に、「ショルダーハッキング」という内部からの人間によるものもあります。
名前の通り、上司がログインする際にその肩越しにIDとパスワードを盗み見て、自分に権限のない情報にアクセスし、盗用するというものです。
脆弱性の悪用
社内システムやWebアプリケーションに存在する脆弱性を悪用する手口です。
代表的な手口として次の3つがあります。
a.SQLインジェクション
Webアプリケーションの入力フォームにデータベースにアクセスするSQL文を入力することで、データを窃取するという方法です。
b.クロスサイトスクリプティング
この脆弱性が存在する場合、Webサイトに細工し、不正なスクリプトを実行させて、Webサイトに入力された情報を窃取するというものです。
c.RAT(Remote Access Tool)
一般的に遠隔操作ウィルスと呼ばれるマルウェアで、これに感染したコンピュータは攻撃者によって遠隔操作され、情報を窃取されたり、他のネットワークへの攻撃の踏み台として悪用されたりします。
不正アクセス対策
不正アクセスに対する有効な事前対策方法として、順次ご紹介していきます。
| 複雑なパスワードの設定 | 一般的に推奨されるパスワード設定について ・文字数は最小でも8文字以上 ・大文字、小文字、数字、記号全てを含むもの ・名前、誕生日など個人情報から推察可能なものは使わない ・地名などの固有名詞も避ける |
| 二段階認証 | 一般的なパスワードを入力した後に、携帯端末等にSMSでランダムな4桁の数字を送り、二段階目の認証を行うという方法。 |
| ワンタイムパスワード | ワンタイムパスワードとは一度きり有効なパスワード。一定時間が経てば、新しいパスワードに変更され、マルウェアなどに感染しても不正アクセスされる可能性が低い。 |
| ログインの制限 | 最も一般的な制限方法はログインの失敗回数によるもので、通常は3回以上ログインに失敗するとログインできなくする場合が多い。これによりパスワードリストによる攻撃に対応できる。 |
| ログの記録 | 誰が、いつ、どの情報にアクセスしたかをユーザー単位と端末単位で把握しておけば、不正アクセスに気がつくタイミングが早くなり、すぐに対応することができる。 ショルダーハッキングに有効。 |
不正アクセスの目的は、アクセスすること自体ではなく、情報の窃取であることが多いです。
最近の企業に対する脅威として挙げられている標的型攻撃も不正にアクセスを行い、そこから何の痕跡も残さずに情報を奪い取ることが主な目的となっています。
企業が持っている機密情報、顧客情報、従業員の顧客情報などの情報資産は年々その価値を高めています。
攻撃者はその情報資産を窃取するために様々な手段を取ってきます。ID、パスワードは企業の情報資産への入り口にある最も基本的、かつ重要な情報です。
IDとパスワードを適正に管理し、それを流出させないことと、想定させないことは不正アクセスに対する有効な方法と言えるでしょう。
後は、不正アクセスには外部からのものだけでなく、内部からくる不正に注意を向ける必要があり、従業員のリテラシーやモラル向上のための定期的な教育やチェックも必要となります。