内部不正による情報漏えい-組織全体で再確認を!-

Share

国内の個人情報漏えい件数は年々増加傾向にあります。情報漏えい事故の原因の一つとして挙げられるのが、企業・組織内での内部不正行為によるものです。内部不正の脅威は、未然に防ぐことが難しく、インシデントが起こってしまうと、事業の根幹を揺るがすような事態にまで陥ってしまうことにあります。本記事では、内部不正の脅威と手口、そして発生を防ぐための対策方法について解説します。

内部不正と人的要因

2024年1月にIPA(情報処理推進機構)から発表された「情報セキュリティ10大脅威2024」において、「内部不正による情報漏えいなどの被害」という項目が、昨年度4位から順位を上げて3位となりました。また、昨年12月に発表されたその年のセキュリティに関する重要トピックスを取り上げるJNSA(日本ネットワークセキュリティ協会)による「JNSA 2023 セキュリティ十大ニュース」においては「元派遣社員の顧客情報持ち出し10年間、ずさんな内部不正対策」というニュースが2位となりました。このように、セキュリティにおける内部不正の問題は、着実にその重要度を増しています。

内部不正行為とは何か?

内部不正行為とは、組織の従業員や元従業員、あるいは業務委託先といった関係者が、重要情報や情報システムといった情報資産の窃取、持ち出し、漏えい、消去・破壊を行うことを指します。「不正」という言葉からの連想で、悪意ある行動を結びつけてしまいがちですが、悪意がなくとも、組織における情報管理規則に反して情報を持ち出したことによって、紛失や漏えいにつながってしまったというケースも、内部不正に含まれるため注意が必要です。

情報漏えいと人的要因

数多くの情報漏えいインシデントが報告されていますが、その要因に目を向けると、企業・組織内の従業員・元従業員、そして関連先や委託先企業の担当者による情報資産の持ち出し、紛失など、人的要因の多さが浮かび上がってきます。

東京商工リサーチ「2023年「上場企業の個人情報漏えい・紛失事故」によると、情報の不正利用や持ち出しにより情報漏えいした件数は、前年の5件から約5倍に増加したといいます。実際、従業員が個人情報を不正に流出させたことによって刑事事件にまで発展したり、大手電力会社がグループの子会社を通じて顧客情報を不正に閲覧していたことが発覚したりと、様々な事故が起こりました。

また、JIPDEC(日本情報経済社会推進協会)「2022年度 個人情報の取扱いにおける事故報告 集計結果」によれば、「誤配達・誤交付」が43.0%、「誤送信」が24.7%、「紛失・減失・き損」が11.2%となり、ここでもやはり人的要因の多さが目立ちます。

なぜ人的要因が脅威になるのか

人的要因による情報漏えいは、組織の技術情報や顧客情報などが持ち出されて、不特定多数に公開、あるいは競合他社に提供など、内部以外の人の目に触れることで被害が発生します。企業・組織においては、このような重要情報の管理責任が問われ、技術情報が漏えいしたことで競争力が著しく低下するなどの影響が考えられます。悪意のあるなしに関わらず、漏えいした情報の重要性や規模によっては、事業の根幹を揺るがす事態になりかねません。特に悪意がある内部の人間による不正では、被害が容易に大きくなることや、悪意のない不正によるものは未然に防ぐことは難しいといったことも脅威に繋がります。加えて、重要情報を持ち込まれた側の企業・組織においても、不正に取得された情報であることを知りながらも第三者に公開・提供した場合は、刑事罰を受ける可能性があることも覚えておく必要があります。

内部不正はなぜ起きるのか

内部不正の中で、特に人が故意に不正を行う要因についての理論の1つに、「不正のトライアングル」というものがあります。

不正のトライアングル

例として、「Aさんが顧客情報を、同業他社の転職先に持ち込んでしまった」という行為をしたとします。ここに、「機会」「動機」「正当化」という3つの要素を当てはめてみます。

  • 「機会」:Aさんは、顧客データをいつでも大量に持ち出せる状況にありました。
  • 「動機」:Aさんは、同業他社に転職するので情報を転職先にもっていき、転職先での業務を有利に進めたいと考えました。
  • 「正当化」:以前、先輩が情報を持ち出したという噂があり、自分も同様に黙認されるはず、と考えました。

このように、「機会」「動機」「正当化」という3つの要素が相互に作用することで、不正が発生しやすくなるというのが「不正のトライアングル」の考え方です。

内部不正の手口

ここからは、代表的な内部不正の手口についてみていきましょう。

付与されているアクセス権限の悪用

担当業務よりも不用意に高い権限が付与されていて、それを悪用するという手口です。先のAさんの例でいえば、業務上必要な最低限の顧客情報にのみアクセスできる設定であることが適切であったのにもかかわらず、業務では不必要な情報までアクセスできる権限が付与されており、その結果、大量の顧客情報にアクセスできてしまった、というようなことが当てはまります。アクセス権は必要最小限のユーザにのみ付与し、業務に応じて適切な操作だけを可能にする管理が必要です。また、アクセス権限についての定期的な棚卸をして、現状に照らして適切な設定となっているか確認をすることも重要です。

在職中に割り当てられたアカウントの悪用

こちらは在職中に割り当てられたアカウントが退職後も削除されていなかったことを悪用し、そのアカウントで社内システムに不正にアクセスし、情報を入手してしまうというような手口です。営業秘密の漏えいについては、中途退職者によるものが多くを占めていることがわかっています。また、契約満了後または退職した契約社員による漏えいも発生しています。こうしたことから、在職中に使用していたアカウントが退職後も削除されていないと、内部不正の原因となることがわかります。

組織で利用を認めていないクラウドや外部記憶媒体等による不正な情報持ち出し

これはUSBメモリやHDD、SSDといった外部記憶媒体での持ち出しや、メールやクラウドストレージへの送信・アップロードによる持ち出し、スマホカメラでの撮影や、紙媒体にコピーしての持ち出し、といったものが含まれます。メールやクラウドについては、手軽に利用しやすいこともあり、私物のPCやスマホなどにメール送信したり、個人で契約しているクラウドサービスにアップロードしたりなど、悪意なく機密情報を持ち出すようなことが起こりえます。

これらの手口が実行に移されるのは、付与されている権限やアカウントが必要ではないタイミングでも有効になっている状況や、外部に情報を持ち出すことができる状況の場合です。この状況は不正のトライアングルにおける「機会」にあたります。

一方、「動機」や「正当化」については、当事者の内面が強くかかわってくるため、組織として対応するのは難しいところとなります。しかし、「機会」に関しては、従業員のセキュリティ意識向上はもちろんですが、情報の持ち出しができないよう、組織側でクラウドや外部記憶媒体の利用に制限を設けることができるため、対策が可能となります。

内部不正に関連する法律

もし内部不正行為によって技術情報や顧客情報を漏えいされた場合、漏えいした情報によっては個人情報保護法などによる法的なペナルティが科される可能性があります。組織として内部不正に意識を向け、内部不正行為をすると組織および行為者がどのような影響を受けるのかも含めて周知することが推奨されます。

個人情報氏名、生年月日、住所、顔写真などにより生存する特定の個人を識別できる情報(他の情報と容易に照合でき、それにより特定の個人を識別できるものも含む)、「個人識別符号」が含まれる情報、要配慮個人情報、個人情報データベース 等個人情報保護法の対象
安全保障貿易管理に関する重要技術情報武器、原子力、化学兵器、生物兵器、ミサイル、先端素材、材料加工、エレクトロニクス、電子計算機、通信、センサ、航法装置、海洋関連、推進装置、機微品目 等
例)暗号技術、炭素繊維、半導体、情報セキュリティ技術、量子コンピュータ 等
外為法により規制の対象
営業秘密/限定提供データ秘密管理性、有用性、非公知性を満たし、秘密として管理されている情報
例)製造方法、設計図、事業戦略 等
限定提供性、電磁的管理性、相当蓄積性を満たし、秘密として管理されていない情報
例)市場調査データ、ソフトウェア 等
不正競争防止法の保護対象

また、内部不正を行った者は、組織の規定により解雇等の懲戒処分を受ける可能性があります。このほか、内部不正の内容によっては、例えば以下のような法律に抵触し、罰則や損害賠償を負う可能性があります。

  • マイナンバー法:特定個人情報を提供したり業務で知りえたマイナンバーを第三者に提供・盗用したりすることによる罰則
  • 刑法:窃盗罪、横領罪、背任罪 等
  • 労働契約法:労働契約違反による解雇・懲戒処分 等
  • 民法:契約上の債務不履行もしくは 不法行為に基づく損害賠償 等
  • 労働法:秘密保持義務違反、競業避止義務違反 等

内部不正防止の基本原則

内部不正対策を考えるには、先に紹介した「不正のトライアングル」の3要素が揃ってしまわないようにすることが重要となります。「機会」「動機」「正当化」の3要素を完成させないための考え方の一つに、IPAが提唱している「内部不正防止の基本原則」がありますので、下に紹介いたします。

このように、当該3要素をそれぞれ低減するという視点で、組織内で対策を検討する必要があります。特に「機会」の低減は検討すべき要素が多いため、重点を置くべき項目です。

内部不正の事例

「元従業員による経費精算システムへの不正アクセスの事例」を紹介します。

2023年、元勤務先(A社)に不正アクセスして取得した情報をもとに、A社の取引先(B社)に対して誹謗中傷を流布していた男性が逮捕されたとの報道がありました。その元従業員の男性は、A社に個人的な恨みを持っていて、在籍中に使用したテスト用のアカウントでA社の経費精算システムに不正アクセスして、経費精算状況などをダウンロードした後、発信元を匿名化して通信できるTorを利用して、A社を誹謗中傷するメールをB社に送ったとのことです。その後、誹謗中傷メールを受信したB社が、A社に連絡したため犯行が発覚したようです。事件発生の原因は、テスト用のアカウントが削除されずに残っていたことです。このため、ID/パスワードを記憶していた元従業員に不正アクセスを許してしまいました。不正のトライアングルでいうところの『動機』を持っていた人物に対して、『機会』を与えてしまったということになります。

そのほかの内部不正事例

時期概要
2022年2月自治体職員が住民基本台帳を不正に検索して得た個人情報を漏えいさせたことが判明し、同年11月5日、住民基本台帳法違反容疑により逮捕*1
2022年9月飲食チェーンA社から飲食チェーンB社へ転職して、社長に就任した人物が転職の前後に元勤務先であるA社のデータを持ち出し、転職先のB社で両社の原価を比較する資料を作成させ、不正競争防止法違反容疑により逮捕*2
2023年10月国内大手通信関連会社から、元派遣社員によって約900万件の顧客情報が流出したため、不正競争防止法違反容疑で逮捕。*3
2023年12月国内大手部品メーカーの元社員が不正競争防止法違反の容疑で警視庁により逮捕*4

内部不正の発生を防ぐための対策

前提として、内部不正対策には経営層の積極的な関与が必要となります。サイバーセキュリティと同様に内部不正は経営課題の一つであり、内部不正対策の責任は経営者にあります。内部不正から組織を守るためには、組織全体で横断的な管理体制を構築する必要があるため、経営層の関与が不可欠です。また、従業員側はこれを理解し、内部不正の組織および個人に与える影響を理解して、行動する必要があります。悪意をもって内部不正に走るのはもってのほかですが、悪意はなくとも、規約に反して安易に情報を持ち出すような行動は厳に慎まなければなりません。

【経営層】

  • 内部不正対策の体制と仕組みの構築
  • 事業リスクを理解した的確な意思決定

【従業員】

  • 内部不正の定義とその影響を理解
  • 内部不正を起こさない行動の実践

内部不正が起こってしまったら

しかしながら、内部不正は絶対に発生しないと言い切ることができないのもまた事実です。このため、万が一、発生してしまった場合の対応について、知っておく必要があります。内部不正の被害を最小限に抑え、再発を防止するためには、「適切な報告/連絡/相談」「インシデント対応体制」「内部不正者に対する適切な処罰」を実現することが重要です。

具体的に従業員ができることとしては、内部不正に気付いたら躊躇なく適切なエスカレーション先に報告/連絡/相談すること、インシデント対応チームによるヒアリングの実施や情報提供の要請があれば、きちんと対応することが大切です。経営層は、こうしたセキュリティ対応がスムーズに行える社内のセキュリティ文化の醸成といったことも視野に入れる必要があります。また、これは従業員や経営層共に言えることですが、内部不正者に対して、法律や社内規程で定められた処罰でない、個人的な謝罪を強制するような対応は慎みましょう。

インシデント対応体制

内部不正を含めた、インシデントが発生してしまったら、迅速にインシデント対応を行う必要があります。インシデント対応の目的は、インシデント発生による被害とその影響範囲を最小限に抑え、速やかに事業継続できるようにすることです。ただし、その達成に向けてのアプローチは企業ごとに異なります。

BBSecのインシデント対応準備支援サービスは、これまで多数のお客様のインシデント対応体制構築をご支援してきた経験とノウハウに基づき、ITやセキュリティ専任者が不在の企業におけるインシデント体制構築から、CSIRTが設置されている企業やCSIRTの組成・運営を目指す企業まで、お客様のニーズやフェーズにあわせた最適なサービスを選択できるように豊富なインシデント対応準備支援メニューをご用意しています。
インシデント初動対応準備支援はこちら

内部不正による情報漏えいは、組織にとって重大なリスクとなります。しかし、適切な対策を講じることで、そのリスクを大幅に低減することが可能です。従業員一人一人がセキュリティ意識を持ち、組織全体で内部不正防止に取り組むことが求められます。

BBSecでは

サイバーインシデント緊急対応
突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2024年8月21日(水)14:00~15:00
    セキュリティ担当者必聴!ペネトレーションテストと脆弱性診断 – 違いと効果、使い分けを解説
  • 最新情報はこちら

    Youtube動画公開のご案内

    ウェビナー過去動画、アナリストによるセキュリティトピックス解説動画およびサービス案内動画を更新しております。

    SQATチャンネルはこちら

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    事例から学ぶサプライチェーン攻撃
    -サプライチェーン攻撃の脅威と対策2-

    Share

    サプライチェーン攻撃は、セキュリティ対策が手薄な関連企業や取引先企業を経由して、標的とする企業へ不正侵入をするサイバー攻撃です。被害に遭ってしまった場合、情報の窃盗、マルウェアの拡散、さらには全体のサプライチェーンに影響を及ぼす可能性があります。この記事では、サプライチェーン攻撃の手口とリスク、そしてサプライチェーンマネジメントの重要性ついて解説します。

    サプライチェーン攻撃とは?

    サプライチェーン攻撃とは、ターゲット企業に直接攻撃を仕掛けるのではなく、その企業のサプライチェーン(業務委託先やグループ会社・関連企業など)に含まれるセキュリティの弱点を利用して侵入を試みるサイバー攻撃のことです。攻撃者は企業間の信頼関係を利用し、よりセキュリティが手薄な一部のパートナー企業やサプライヤーを狙い、そこを踏み台にして間接的に本来のターゲット企業へ侵入を試みます。

    企業がサプライチェーン攻撃を受けた場合、その影響は様々あります。最初に侵入された企業から機密情報・顧客データなどの重要情報が漏えいする可能性があります。さらに、攻撃者によってマルウェアやランサムウェアが仕込まれた製品やソフトウェアがユーザに配布されることで、エンドユーザのシステムも危険に晒されます。これにより、企業の顧客やパートナーに対する信頼が損なわれ、ブランドの評判に深刻な影響を及ぼすことになります。

    経済的損失もまたサプライチェーン攻撃の影響の一つです。企業が被害を受けてからのシステム復旧までの対応には、莫大な費用がかかります。さらに、法的責任と法令遵守に関する問題も発生します。多くの地域で、データ保護規制が厳しくなっており、機密情報の漏えいは法的な罰則につながる可能性があります。これにより、企業は訴訟リスクに直面し、さらに罰金や制裁の対象となる可能性があります。

    サプライチェーン攻撃の手口

    サプライチェーン攻撃の手口にはいくつか種類があります。関連組織を起点として攻撃するタイプではなく、そのソフトウェアの開発元を侵害することによってユーザ全体に影響を与えるタイプの攻撃にソフトウェアサプライチェーン攻撃があります。

    ソフトウェアサプライチェーン攻撃

    ソフトウェアサプライチェーンとは、「ソフトウェア開発のライフサイクルに関与する全てのモノ(ライブラリ、各種ツール等)や人の繋がり」(独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2024」解説書より)を指します。ソフトウェアを開発・配布・アップデートする際の一連の流れをソフトウェアサプライチェーンと呼び、このソフトウェアサプライチェーンを悪用した攻撃がソフトウェアサプライチェーン攻撃です。

    攻撃者は主にソフトウェア開発元やMSP等提供事業者などを狙い、本来のターゲット企業を攻撃するための足掛かりにします。製品自体だけではなく、開発元や提供元が侵害された事例などもあります。

    サプライチェーン攻撃のなかでセキュリティが脆弱な企業が狙われるのは他のサプライチェーン攻撃のパターンと同じですが、ソフトウェアサプライチェーン攻撃により、攻撃者に踏み台にされた企業は、被害者であると同時に、ウイルスが仕込まれたソフトウェアを配布するかたちになり、気づかないうちに攻撃に加担した加害者の一部となってしまう恐れがあります。

    サプライチェーンリスクとは?企業が直面するリスク

    サプライチェーンに関わる企業は様々なリスクに直面しており、これには自然災害やパンデミック(感染流行)といった環境リスク、テロや政治的不安定といった地政学的リスク、経済危機や原材料の価格変動による経済リスク、そしてサイバー攻撃や技術的障害などの技術リスクなどが含まれます。このような予測不可能な事象が起こり、サプライチェーンの流れが中断されてしまった場合、生産の遅延、在庫不足、最終的には収益損失を引き起こす可能性があります。さらに、リスクの重要度は社会経済状況によっても左右されるため、企業は柔軟な対応が求められます。

    サプライチェーン攻撃のリスク

    サプライチェーン攻撃によるリスクは、企業や組織にとって深刻です。主なリスクには、機密情報の漏えい、データの改ざん、システム障害や業務の停止があります。さらに、ランサムウェアによる身代金要求やブランド価値の低下といった被害も考えられます。これらの影響は芋づる式に広がり、サプライチェーン全体が脅威にさらされることになります。また、サプライチェーンには委託元が委託先(もしくは再委託先)で開発状況を監視できていないという問題もあるため、脅威に晒されています。

    サプライチェーン攻撃の事例

    事例1:国内大手自動車メーカーの例

    サプライチェーン攻撃の代表的な事例としては、国内大手自動車メーカーの例が挙げられます。2022年3月、国内大手自動車メーカーが部品を仕入れている取引先で、マルウェア感染被害によるシステム障害を受けたため、国内の全14工場の稼働を停止する事態に追い込まれました。

    日本の会社の約9割は中小企業が占めており、大企業の関連会社、取引先企業の中には中小企業が多数あります。中小企業では大企業ほどセキュリティ対策にコストや人を費やすことができず、どうしてもセキュリティは手薄になりがちです。このため、サプライチェーン攻撃は大きな問題となっています。国内大手自動車メーカーの事例は、サプライチェーン攻撃の深刻な影響を示す典型的な例となり、中小企業でもサイバーセキュリティ対策の重要性が高まっています。

    事例2:国外ソフトウェア開発会社の例

    2020年12月、SolarWinds社のOrion Platformに端を発した史上最大規模のサプライチェーン攻撃*5がありました。悪意あるアップデートを介して行われ、多数の政府機関や企業を含めた組織に影響を与えました。

    事例3:大手フリマアプリ運営会社の例

    2021年4月、コードのカバレッジを測定するツール「Codecov」*2への不正アクセスにより、同ツールのサプライチェーンで多数の組織・企業に被害が出ました。その1つが国内大手フリマアプリ運営会社で、GitHub(社内のコードリポジトリ)に保存された同社のソースコードが取得され、一部の個人情報が外部流出する被害が出ました。

    事例4:国内大手保険会社の例

    2023年1月、国内大手生命保険社において、顧客情報が漏えいしました。この事件は業務委託先業者が管理するサーバが不正アクセスを受けたことが原因です。漏えいした顧客データには、姓(漢字・カナ)、年齢、性別、証券・保険番号などの情報が含まれていましたが、幸い、これらの情報だけでは個人を特定するのは困難とされ、悪用される可能性は低いと説明されています*3

    事例5:メッセージアプリ提供会社の例

    2023年11月27日、インターネット広告、イーコマースなどを展開するメッセージアプリ提供会社は、自社のサーバが不正アクセスを受け、運営するメッセージアプリに関するユーザ情報、取引先情報、従業者情報等の情報漏えいが発生したことを公表しました*4。これはメッセージアプリ提供会社と関係会社共通の委託先業者の従業員のPCがマルウェアに感染したことが発端だといいます。同社と関係会社の従業者情報を扱う共通の認証基盤で管理されているシステムへ、ネットワーク接続を許可していたことから、関係会社のシステムを経由し、同社のシステムに不正アクセスが行われたとのことです。

    事例6:国内通信会社の提供先企業に不正アクセス、顧客情報が漏えい

    2023年11月22日、国内通信会社は、米国Plume Design社とその提携先が提供するメッシュWi-Fiサービスに関連して、サプライチェーン攻撃による顧客情報の漏えいを発表しました*5。この事件は、Plume Design社のモバイルアプリのアクセスサーバが外部から不正アクセスされたことによるもので、国内通信会社の顧客データと関連事業者の保有する個人情報(氏名、メールアドレス)が漏えいしました。

    産業用制御システムのセキュリティ

    サプライチェーン攻撃の影響が経済的損失や社会的信用の失墜につながることを述べましたが、攻撃者がサプライチェーン攻撃を仕掛けるときに狙うものの一つに産業用制御システムが挙げられます。産業用制御システムは、電気・ガス・水道や空港設備といったインフラ施設、石油化学プラントなどにおいて用いられ、サプライチェーン攻撃などのサイバー攻撃を受けてしまった場合、社会的な影響や事業継続上の影響が大きいため、サプライチェーンに関わる企業全体でセキュリティ対策へ取り組むことが重要となります。

    2022年5月、ドイツ連邦政府情報セキュリティ庁(BSI)が公開した産業用制御システムにおける危険度の高い10種類の脅威とその対策を、独立行政法人情報処理推進機構(IPA)が日本語に翻訳し、同年12月に公開しました。

    産業用制御システムのセキュリティ 10大脅威(2022年)

    ・リムーバブルメディアやモバイルシステム経由のマルウェア感染
    ・インターネットやイントラネット経由のマルウェア感染
    ・ヒューマンエラーと妨害行為
    ・外部ネットワークやクラウドコンポーネントへの攻撃
    ・ソーシャルエンジニアリングとフィッシング
    ・DoS/DDoS 攻撃
    ・インターネットに接続された制御コンポーネント
    ・リモートメンテナンスアクセスからの侵入
    ・技術的な不具合と不可抗力
    ・サプライチェーンにおけるソフトウェアおよびハードウェアの脆弱性
    参考:https://www.ipa.go.jp/security/controlsystem/bsi2022.html

    この10大脅威は、日本国内でも共通の事項が多く、事業者にとってセキュリティ対策への取り組み方を体系的に理解することに役立つとのことです。

    まとめ

    サプライチェーン攻撃は、企業のサプライチェーンに含まれるセキュリティの弱点を狙ったサイバー攻撃です。この攻撃は、セキュリティ対策が薄い業務委託先や関連企業を通じて、間接的にターゲット企業に侵入します。被害に遭った場合、機密情報や個人情報が漏えいし、企業の信頼とブランド評判が損なわれます。特にソフトウェアサプライチェーン攻撃では、ソフトウェアの開発元が侵害されることで、利用者も危険に晒されます。また、サプライチェーンは自然災害や政治的不安定、技術的障害などにより事業中断を迫られる恐れもあります。

    サプライチェーン攻撃によるリスクは企業にとって深刻で、機密情報の漏えい、データの改ざん、システム障害が主な脅威です。そのため、サイバーセキュリティ対策の重要性が増しており、企業はサプライチェーン全体のセキュリティ強化に努める必要があります。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    もし不正アクセスされたら?すぐにとるべき対処法

    Share

    不正アクセスとは、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。あなたの会社で不正アクセスが生じた場合、その対応を誤ったり、対処が遅れたりすることで、事業への損害、評判の低下といった重大な事態につながる恐れがあります。本稿では、不正アクセスの主な手口を紹介し、被害を防ぐための対策、実際に被害にあってしまった場合の対処方法を解説します。

    「不正アクセス」とは

    「不正アクセス」と聞くと、本来その権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為をイメージしますが、厳密にどのような行為を指すのかは、1999年に公布(最新改正は2013年)された「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」で規定されています。同法では、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。

    不正アクセス禁止法では、単に他人のIDやパスワード(「識別符号」と呼ばれる)を無許可で使用する行為だけでなく、他の情報を利用してWebサービスやサーバなどのシステム(「特定電子計算機」と定義されている)を操作する行為も「不正」と定義されています。この点には特に留意する必要があります。

    また、不正アクセスを助長する行為としてID・パスワードの不正取得が禁じられているほか、
    ID・パスワードの不正な保管行為も同法に抵触します。違反した場合は、3年以下の懲役又は100万円以下の罰金が処せられます。

    「不正アクセス禁止法」の定義とリスク

    なお、不正アクセス禁止法の定義に関しては、アクセスが事前の「承諾」を得ていなければ、
    その行為は不正とみなされる点にも注意が必要です。例えば、システムのセキュリティ診断において、株式会社ブロードバンドセキュリティが運営するSQAT.jpは、Webアプリケーションや社内ネットワークの脆弱性診断やペネトレーションテストを行う際、システムを管理する企業からアクセスに対する承諾をいただいたうえで実施しています。

    脆弱性診断やペネトレーションテストを行うツールは多数存在しており、だれでも無料で利用すること可能です。しかし、これらのツールの使用には慎重になる必要があります。もしもセキュリティ診断ツールを事前承諾なしに他社のシステムに使用した場合、たとえそれが善意に基づくものであったとしても、不正アクセス禁止法に抵触する可能性があり、刑事罰の対象となることがあります。

    万が一あなたの会社の技術者が、運用管理や保守、攻撃耐性の確認等の目的で他社のシステムを対象に、セキュリティ診断ツールを使用している場合には、適切な手続きを踏む必要があることを理解することが重要です。

    不正アクセスの手口と被害例

    では、そもそも悪意を持った、攻撃者による不正アクセスの手口にはどのようなものがあるのでしょう。典型的なのは、「盗んだIDとパスワード、あるいは推測したパスワードを使って、システムに不正にログインする」というものです。ID・パスワードの組み合わせを総当り的に試してログインを図る「ブルートフォース攻撃」、辞書にある語句を利用する「辞書攻撃」、不正に入手したログイン情報を利用する「パスワードリスト攻撃」などが知られています。

    中でも近年特に話題を集めているのは「パスワードリスト攻撃」です。背景には、数十万~数億件規模のID・パスワードがセットで売買されていたり、インターネット上に公開されていたりする事態があちこちで確認されており、攻撃者が不正アクセスのための情報を容易に手に入れやすくなっている状況があります。また、もし複数のシステムに対して同じID・パスワードが使いまわされている場合、1件の情報を入手することで複数のシステムへのログインが可能になるという点も、攻撃者を引き付けています。

    この2020年8月には、日本企業約40社において、VPN(Virtual Private Network)のID・パスワードが盗まれ、インターネットに公開されるという事件が発生しました。VPNは、本来、セキュリティを確保したうえで企業ネットワークへアクセスするために使われる「安全性の高い入口」です。そこにログインするためのID・パスワードが盗まれることが極めて大きな被害につながり得ること、裏を返せば、攻撃者にとって極めて大きな利得につながり得ることは、論をまたないでしょう。

    もちろん、不正アクセスのための攻撃は、ID・パスワードを狙ったものだけではありません。ID・パスワードの入手につながる脆弱性も格好の標的になります。例えば、Webアプリケーションや公開Webサーバの脆弱性はその最たるものです。攻撃者はしばしばSQLインジェクションの脆弱性クロスサイトスクリプティングの脆弱性などを悪用して個人情報を不正に入手し、ID・パスワードを特定してシステムへの侵入を試みます。

    ID・パスワードの保護に加え、結果としてID・パスワードの特定につながる脆弱性を放置しないことが、不正アクセスを防ぐためには最重要といえるでしょう。

    不正アクセスされたかどうか調べる方法 警告とサイン

    「あなたの会社が不正アクセスされています」などの警告は、突然きます。

    実際に不正アクセスが行われた場合でも、自社内では気づくことは少なく、外部からの警告によって初めて認識する場合が多いです。例えば、クレジットカード情報が盗まれた場合、カード会社から直接情報漏えいや不正利用の兆候がある等の連絡がきます。また、サイバー犯罪の捜査過程で、あなたの会社に不正アクセスが行われていることが発覚した場合、さらには、それが他の会社での被害につながっていることが発覚した場合には、警察やセキュリティ事故発生時の調整を行う機関など(一般社団法人 JPCERT コーディネーションセンター等)から連絡がくることもあります。

    なお、サイバー攻撃が起こることを想定した組織体制がない場合、やってきた連絡が正当なものであるかの判断自体がつかない場合もあるかもしれません。実在する機関を装い、虚偽の不正アクセス事案を連絡する犯罪が発生する可能性も想定し、連絡の真偽は必ず確認するようにしましょう。

    不正アクセスされたらすぐにとるべき対応

    以前の記事「情報漏えいの原因と予防するための対策」では、「情報漏えい事故の報告書と収束までの流れ」として、事故発生時の報告書作成の注意点について解説しました。今回は、不正アクセスされた直後の対応や、真相究明を行う社内の組織体制構築でのポイントをご紹介します。

    不正アクセス事故対応のチーム作り

    セキュリティ事故対応を行う専門部署であるCSIRTが社内にない場合は、事故対応チームを速やかに組織しなければなりません。どのような編成を想定すべきか、参考として、モデル的な図解を下記に示します。

    https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf より当社作成

    もちろん、セキュリティ専門企業でない限り、ほとんどの組織にとってはここまでの編成をとることは合理的とはいえません。既存の組織・人員の状況に応じて、下記のような事項をポイントにチームを編成し、自組織の業種業態、慣習、人材、文化等を踏まえながら継続的にチームの発展・強化に取り組むことをお勧めします。

    • CSIRTがインシデント発生時における最終判断(システム停止も含む)までを担う場合は、責任を担う経営陣を参画させる。
    • 現体制におけるキーマンを特定し、そのキーマンを必ずメンバーに加える。
    • 現体制で実施できている役割がないか確認する(「実施できている役割は踏襲する」という判断も重要)。
    • 技術的な知識、経験、人材を持たない場合は、最低限CSIRTに必要な機能(=有事の報告、伝達を的確に行い、意思決定者へ早期伝達すること)を有する、「コーディネーション機能に重点を置いたCSIRT」を目指す。

    取引先、関係者、個人情報保護委員会への連絡

    あなたの会社のステークホルダーに対して、現時点で判明している事故の事実関係を連絡します。規制業種の場合は所轄官庁への報告義務があります。なお、個人情報保護法では、個人情報漏えい等の場合、本人通知や監督官庁への報告を努力義務としていますが、2022年に施行予定の改正個人情報保護法では一定範囲においてこれが義務化されるため注意が必要です。

    不正アクセスの原因究明

    続いて取り組むべきは、原因究明です。不正アクセスを受けた場合、侵入経路の特定や証拠保全などは自社でどこまで可能なのでしょう。監視やSOC(セキュリティオペレーションセンター)サービスの契約などによって保存してあるログを解析可能な場合、「不正アクセスの発端と展開過程がわかるから、自経路の解析や被害範囲の特定もできる」と考えてしまうかもしれません。しかし、火事場のように混乱する事故発生直後は、日頃から備えをしていた企業ですら、一刻を争う状況下で解析すべき情報の膨大さに圧倒されるものです。また、刑事事件として告発を行う場合や損害賠償請求を行う場合には証拠保全が必要となりますが、混乱し、慣れない状況下で証拠保全を念頭に調査や対応を行うのは大きな負荷となります。

    さらに、「サイバー攻撃を行う5つの主体と5つの目的」で解説した「APT攻撃」が行われるケースも想定しておく必要があります。APTでは、侵入の痕跡を消されることが少なくなく、そのような場合、侵入経路の特定や証拠保存は難しくなります。しかし、日々ログの収集を行っていたとしたら、その痕跡からデジタルフォレンジックを実施することが可能です。

    不正アクセス防止のための日常的なセキュリティ対策

    日頃からWebサービスやサーバのセキュリティ強化に取り組むことで、不正アクセスの発生を抑え、万が一不正アクセスが発生した場合にも早期あるいは即時に把握することが可能になります。

    例えば、サーバに対するアクセスログを収集・保存し、同一IPからの複数回ログインに対するアラートをルール化する等の設定をしておくことで、誰かが不正ログインを行っていることを早期に知り、ブロックするなどの対処を行えるようになります。

    不正アクセス対策としてのセキュリティ企業との連携

    不正アクセス事故に備えるためには、日常的なアクセスログの収集や分析、SOCサービスの契約、さらにはCSIRT組織の設置など、日頃からの備えが重要です。不正アクセスを未然に防ぐと同時に、万一発生した場合の対応力を高める役割を果たします。

    そして、もう一つ有効な取り組みは、信頼できるセキュリティ企業との関係構築です。「かかりつけ医」のセキュリティ企業を持つことは、事故発生時に迅速かつ効果的に対応できる可能性があります。それまで取引が一度もなかったセキュリティ企業に、事故が発生した際に初めて調査や対応を依頼したとしたらどうでしょう。社内のネットワーク構成、稼働するサービス、重要情報がどこにどれだけあるのか、関係会社や取引先の情報などを一から説明する必要が生じ、対応に時間がかかってしまいます。わずかな時間も惜しまれるインシデント対応の現場では大きなリスクとなります。

    脆弱性診断やインシデント対応などのセキュリティサービスを提供する企業に依頼をする際には、その企業が単に技術力があるかどうかだけでなく、信頼できる企業かどうか、いざというときにサポートしてくれるかどうかを慎重に考慮して選ぶことが重要です。提供サービス体制も幅広く調べたうえで、長期的な観点から利用を検討することをおすすめします。

    サイバーインシデント緊急対応

    突然の大規模攻撃や情報漏えいの懸念等、緊急事態もしくはその可能性が発生した場合は、BBSecにご相談ください。セキュリティのスペシャリストが、御社システムの状況把握、防御、そして事後対策をトータルにサポートさせていただきます。

    サイバーセキュリティ緊急対応電話受付ボタン

    まとめ

    • 不正アクセスとは、アクセス制御機能を持つWebサービスやサーバ等に、正当なアクセス権限を持たない者が侵入する行為、およびそうした侵入を助長する行為を指します。不正アクセス禁止法の違反者は、3年以下の懲役又は100万円以下の罰金に処せられます。
    • たとえ悪意がなくても、セキュリティ診断ツールなどを使用することで不正アクセス禁止法に抵触することがあります。
    • ID・パスワードの管理だけでなくWebアプリケーションやサーバの脆弱性管理も重要です。
    • 不正アクセスが実際に起こってしまったら、早急に対応チームを組織し、ステークホルダーへの連絡や原因究明を行います。
    • いざ不正アクセス事故が起きたときの対応力を高めるには、日頃からのアクセスログ収集や分析、SOCサービスの契約、CSIRT組織の設置、「かかりつけ」セキュリティ企業との関係構築などが有効です。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像