Security NEWS TOPに戻る
バックナンバー TOPに戻る

不正ログインとは、第三者が正規の利用者になりすましてアカウントに侵入する行為です。もし「不正ログインされたら」、個人情報の流出や不正送金、SNSの乗っ取りなど深刻な被害につながる恐れがあります。対応を誤ったり遅れたりすると、被害が拡大し、信用の失墜や事業への影響を招く可能性もあります。本記事では、不正ログインの主な原因と手口を解説し、実際に不正ログインされた場合の初動対応と、再発防止のための具体的な対策を紹介します。

不正ログインとは？不正アクセスとの違い

不正ログインとは、正当な利用者のIDやパスワードを盗み取り、本人になりすましてシステムやサービスに侵入する行為です。これに対し「不正アクセス」は、アクセス権限を持たない状態でサーバやネットワークに侵入する広い概念を指します。つまり、不正ログインは不正アクセスの一種であり、特にアカウント情報が狙われる点が特徴です。

「不正アクセス」が厳密にどのような行為を指すのかは、1999年に公布（最新改正は2013年）された「不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）」で規定されています。同法では、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。

不正アクセス禁止法では、単に他人のIDやパスワード（「識別符号」と呼ばれる）を無許可で使用する行為だけでなく、他の情報を利用してWebサービスやサーバなどのシステム（「特定電子計算機」と定義されている）を操作する行為も「不正」と定義されています。この点には特に留意する必要があります。

昨今はSNSアカウントやクラウドサービス、ECサイト、業務システムなどが標的となり、被害は個人だけでなく企業にも広がっています。

不正ログインの主な原因と手口

不正ログインは偶発的に発生するのではなく、多くの場合、攻撃者が狙いを定めて計画的に仕掛けます。では、そもそも悪意を持った、攻撃者による不正ログインの手口にはどのようなものがあるのでしょうか。典型的なのは、「盗んだIDとパスワード、あるいは推測したパスワードを使って、システムに不正にログインする」というものです。ID・パスワードの組み合わせを総当り的に試してログインを図る「ブルートフォース攻撃」、辞書にある語句を利用する「辞書攻撃」、不正に入手したログイン情報を利用する「パスワードリスト攻撃」などが知られています。

中でも近年特に話題を集めているのは「パスワードリスト攻撃」です。背景には、数十万～数億件規模のID・パスワードがセットで売買されていたり、インターネット上に公開されていたりする事態があちこちで確認されており、攻撃者が不正アクセスのための情報を容易に手に入れやすくなっている状況があります。また、もし複数のシステムに対して同じID・パスワードが使いまわされている場合、1件の情報を入手することで複数のシステムへのログインが可能になるという点も、攻撃者を引き付けています。

2020年8月には、日本企業約40社において、VPN（Virtual Private Network）のID・パスワードが盗まれ、インターネットに公開されるという事件が発生しました。VPNは、本来、セキュリティを確保したうえで企業ネットワークへアクセスするために使われる「安全性の高い入口」です。そこにログインするためのID・パスワードが盗まれることが極めて大きな被害につながり得ること、裏を返せば、攻撃者にとって極めて大きな利得につながり得ることは、論をまたないでしょう。

もちろん、不正アクセスのための攻撃は、ID・パスワードを狙ったものだけではありません。ID・パスワードの入手につながる脆弱性も格好の標的になります。例えば、Webアプリケーションや公開Webサーバの脆弱性はその最たるものです。攻撃者はしばしばSQLインジェクションの脆弱性、クロスサイトスクリプティングの脆弱性などを悪用して個人情報を不正に入手し、ID・パスワードを特定してシステムへの侵入を試みます。

このように「不正ログインされたら」という状況は、ほとんどがこうした攻撃手法に起因しています。利用者側の意識やセキュリティ設定が不十分だと、攻撃者にとって格好の標的となってしまうのです。ID・パスワードの保護に加え、結果としてID・パスワードの特定につながる脆弱性を放置しないことが、不正ログインを防ぐためには最重要といえるでしょう。

不正ログインされたらすぐに取るべき対応

不正ログインされたら、被害の拡大を防ぐために迅速な対応が不可欠です。焦って誤った判断をしないよう、次の手順を順番に実行しましょう。

• パスワードを即時変更する
  まずはログインが可能なうちにパスワードを強力なものへ変更します。推測されやすい単語や誕生日ではなく、英数字・記号を組み合わせた長いパスワードを設定することが重要です。
• ログイン履歴・アクセス状況を確認する
  サービスによっては、過去のログイン日時やアクセス元IPを確認できます。不審な履歴があれば、被害範囲を把握する手がかりになります。
• 関連するサービスのパスワードも見直す
  パスワードを使い回していた場合は、同じID・パスワードで利用している他のサービスも狙われている可能性があります。連携しているメール、クラウド、SNSなども必ず変更しましょう。
• 二段階認証を設定する
  ログイン自体はできても、二段階認証を有効化しておけば不正利用を防げるケースがあります。まだ導入していない場合は、このタイミングで必ず設定してください。
• サービス提供元に連絡する
  金融機関やECサイトなどで不正利用が疑われる場合は、サポート窓口に連絡し、アカウントの一時停止や不正取引の補償について確認しましょう。

インシデントを防ぐための運用体制の構築

過去記事「情報漏えいの原因と予防するための対策」では、「情報漏えい事故の報告書と収束までの流れ」として、事故発生時の報告書作成の注意点について解説しました。今回は、不正アクセスされた直後の対応や、真相究明を行う社内の組織体制構築でのポイントをご紹介します。

不正アクセス事故対応のチーム作り

セキュリティ事故対応を行う専門部署であるCSIRTが社内にない場合は、事故対応チームを速やかに組織しなければなりません。どのような編成を想定すべきか、参考として、モデル的な図解を下記に示します。

https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf より当社作成

もちろん、セキュリティ専門企業でない限り、ほとんどの組織にとってはここまでの編成をとることは合理的とはいえません。既存の組織・人員の状況に応じて、下記のような事項をポイントにチームを編成し、自組織の業種業態、慣習、人材、文化等を踏まえながら継続的にチームの発展・強化に取り組むことをお勧めします。

• CSIRTがインシデント発生時における最終判断（システム停止も含む）までを担う場合は、責任を担う経営陣を参画させる。
• 現体制におけるキーマンを特定し、そのキーマンを必ずメンバーに加える。
• 現体制で実施できている役割がないか確認する（「実施できている役割は踏襲する」という判断も重要）。
• 技術的な知識、経験、人材を持たない場合は、最低限CSIRTに必要な機能（=有事の報告、伝達を的確に行い、意思決定者へ早期伝達すること）を有する、「コーディネーション機能に重点を置いたCSIRT」を目指す。

取引先、関係者、個人情報保護委員会への連絡

あなたの会社のステークホルダーに対して、現時点で判明している事故の事実関係を連絡します。規制業種の場合は所轄官庁への報告義務があります。なお、個人情報保護法では、個人情報漏えい等の場合、本人通知や監督官庁への報告を努力義務としていますが、2022年に施行予定の改正個人情報保護法では一定範囲においてこれが義務化されるため注意が必要です。

不正アクセスの原因究明

続いて取り組むべきは、原因究明です。不正アクセスを受けた場合、侵入経路の特定や証拠保全などは自社でどこまで可能なのでしょう。監視やSOC（セキュリティオペレーションセンター）サービスの契約などによって保存してあるログを解析可能な場合、「不正アクセスの発端と展開過程がわかるから、自経路の解析や被害範囲の特定もできる」と考えてしまうかもしれません。しかし、火事場のように混乱する事故発生直後は、日頃から備えをしていた企業ですら、一刻を争う状況下で解析すべき情報の膨大さに圧倒されるものです。また、刑事事件として告発を行う場合や損害賠償請求を行う場合には証拠保全が必要となりますが、混乱し、慣れない状況下で証拠保全を念頭に調査や対応を行うのは大きな負荷となります。

さらに、「サイバー攻撃を行う5つの主体と5つの目的」で解説した「APT攻撃」が行われるケースも想定しておく必要があります。APTでは、侵入の痕跡を消されることが少なくなく、そのような場合、侵入経路の特定や証拠保存は難しくなります。しかし、日々ログの収集を行っていたとしたら、その痕跡からデジタルフォレンジックを実施することが可能です。

不正ログインを防ぐためのセキュリティ強化策

不正ログインの被害を防ぐには、日頃からの予防策とシステム設定の強化が重要です。以下の方法を実践することで、アカウントの安全性を高められます。

• 多要素認証（MFA）の導入
  パスワードだけでなく、SMSや認証アプリ、ハードウェアトークンなど複数の認証手段を組み合わせることで、不正ログインを大幅に防ぐことができます。
• 強力なパスワードと管理ツールの活用
  推測されにくい長く複雑なパスワードを設定し、使い回しを避けることが基本です。パスワード管理ツールを活用すると、安全にパスワードを管理できます。
• ログイン通知の有効化
  不審なログインがあった場合に通知される機能を有効にしておくと、早期に被害を発見できます。メールやアプリ通知で異常を検知したら、速やかに対応しましょう。例えば、サーバに対するアクセスログを収集・保存し、同一IPからの複数回ログインに対するアラートをルール化する等の設定をしておくことで、誰かが不正ログインを行っていることを早期に知り、ブロックするなどの対処を行えるようになります。
• OS・アプリケーションの定期アップデート
  セキュリティ脆弱性を放置すると、マルウェア感染や不正ログインのリスクが高まります。常に最新バージョンを適用する習慣をつけましょう。
• 不要アカウントやアクセス権限の整理
  使っていないサービスや不要な権限は削除・無効化し、アクセスできる範囲を最小化することで、攻撃対象を減らせます。

これらの施策を組み合わせることで、不正ログインのリスクを大幅に低減し、万一の場合でも早期対応が可能になります。

インシデント発生時に役立つ「かかりつけ」のセキュリティ企業を持つ重要性

不正アクセス事故に備えるためには、日常的なアクセスログの収集や分析、SOCサービスの契約、さらにはCSIRT組織の設置など、日頃からの備えが重要です。不正アクセスを未然に防ぐと同時に、万一発生した場合の対応力を高める役割を果たします。

そして、もう一つ有効な取り組みは、信頼できるセキュリティ企業との関係構築です。「かかりつけ医」のセキュリティ企業を持つことは、事故発生時に迅速かつ効果的に対応できる可能性があります。それまで取引が一度もなかったセキュリティ企業に、事故が発生した際に初めて調査や対応を依頼したとしたらどうでしょう。社内のネットワーク構成、稼働するサービス、重要情報がどこにどれだけあるのか、関係会社や取引先の情報などを一から説明する必要が生じ、対応に時間がかかってしまいます。わずかな時間も惜しまれるインシデント対応の現場では大きなリスクとなります。

脆弱性診断やインシデント対応などのセキュリティサービスを提供する企業に依頼をする際には、その企業が単に技術力があるかどうかだけでなく、信頼できる企業かどうか、いざというときにサポートしてくれるかどうかを慎重に考慮して選ぶことが重要です。提供サービス体制も幅広く調べたうえで、長期的な観点から利用を検討することをおすすめします。

サイバーインシデント緊急対応

まとめ

• 不正ログインは不正アクセスの一種であり、正当な利用者のIDやパスワードを盗み取り、本人になりすましてシステムやサービスに侵入する行為です。これに対し不正アクセスは、アクセス権限を持たない状態でサーバやネットワークに侵入する広い概念を指します
• ID・パスワードの管理だけでなく、Webアプリケーションやサーバの脆弱性管理も欠かせません。セキュリティ対策は多層的に行うことが安全性向上につながります
• 不正ログインをされたら、迅速に対応チームを組織し、ステークホルダーへの連絡、原因究明、被害の拡大防止を行います。
• インシデントが起きたときの対応力を高めるには、日頃からのアクセスログ収集や分析、SOCサービスの契約、CSIRT組織の設置、「かかりつけ」セキュリティ企業との関係構築などが有効です

Security NEWS TOPに戻る
バックナンバー TOPに戻る