不正アクセスとは、正当な権限を持たない第三者が、企業のシステム、Webサイト、クラウドサービス、管理画面、会員アカウントなどに不正にログインしたり、侵入したりする行為を指します。
近年は、単にサーバへ侵入されるだけでなく、フィッシングで盗まれたID・パスワードを使った不正ログイン、クラウドサービスのアカウント乗っ取り、ECサイトの管理画面への侵入、委託先アカウントの悪用、ランサムウェア感染につながる侵害など、被害の形が多様化しています。
企業にとって不正アクセスは、個人情報漏えい、サービス停止、不正送金、不正決済、ポイント不正利用、Webサイト改ざん、ブランド毀損につながる重要なリスクです。
本記事では、不正アクセスの意味、主な原因、企業で起きやすい被害、対策の考え方を整理します。
不正アクセスとは
不正アクセスとは、簡単にいえば、本来アクセス権限を持たない人が、何らかの方法でシステムやアカウントを不正に利用できる状態にすることです。
たとえば、以下のような行為が不正アクセスに該当します。
- 他人のID・パスワードを使ってログインする
- 盗まれた認証情報で会員アカウントへログインする
- 管理画面のパスワードを突破して侵入する
- 脆弱性を悪用してサーバへ侵入する
- クラウドサービスのアカウントを乗っ取る
- VPNやリモートアクセス機器を悪用して社内ネットワークに入る
- 権限のないデータやファイルを閲覧・取得する
- Webサイトやシステム設定を勝手に変更する
法律上の「不正アクセス行為」と、一般的なセキュリティ用語としての「不正アクセス」は完全に同じ意味ではありません。
ただし、企業の実務では、厳密な法律論だけでなく、正規の権限を持たない第三者による侵入、不正ログイン、権限悪用、データ閲覧、システム操作まで含めて、不正アクセスリスクとして考える必要があります。
不正アクセスと不正ログインの違い
不正アクセスと似た言葉に「不正ログイン」があります。
両者は重なる部分がありますが、意味は少し異なります。
| 用語 | 意味 | 例 |
|---|---|---|
| 不正アクセス | 権限のない第三者がシステムやアカウントを不正に利用すること全般 | サーバ侵入、管理画面侵入、クラウド乗っ取り |
| 不正ログイン | 盗まれたID・パスワードなどでログインされること | 会員アカウント乗っ取り、管理画面へのログイン |
| サイバー攻撃 | システムや組織を狙う攻撃全般 | ランサムウェア、DDoS、標的型攻撃 |
| 情報漏えい | 個人情報や機密情報が外部に漏れること | 顧客情報流出、ファイル持ち出し |
不正ログインは、不正アクセスの代表的な手口のひとつです。
一方で、不正アクセスには、ID・パスワードを使わず、システムの脆弱性や設定不備を悪用して侵入するケースも含まれます。
そのため、企業の対策では「ログイン画面だけを守る」のでは不十分です。
認証、端末、ネットワーク、アプリケーション、クラウド、委託先、ログ監視まで含めて考える必要があります。
不正アクセスが起きる主な原因
不正アクセスは、ひとつの原因だけで発生するとは限りません。
実際には、認証情報の漏えい、設定不備、脆弱性、端末管理の甘さ、監視不足などが重なって発生することが多くあります。
1. ID・パスワードの使い回し
もっとも代表的な原因のひとつが、ID・パスワードの使い回しです。
あるサービスから流出したID・パスワードが、別のサービスでも使われていると、攻撃者はその情報を使ってログインを試みます。
このような攻撃は、パスワードリスト攻撃、リスト型攻撃、クレデンシャルスタッフィングなどと呼ばれます。
企業が運営する会員サイト、ECサイト、金融サービス、ポイントサービスでは、利用者側のパスワード使い回しが原因で不正ログインが発生することがあります。
企業側から見ると、自社からパスワードが漏えいしていなくても、不正アクセス被害が発生する点に注意が必要です。
2. フィッシングによる認証情報の窃取
フィッシングとは、実在する企業やサービスを装ったメール、SMS、偽サイトなどにより、ID・パスワード、ワンタイムパスワード、クレジットカード情報などを入力させる手口です。
盗まれた認証情報は、その後の不正ログイン、不正送金、不正決済、ポイント不正交換などに悪用される可能性があります。
特に金融、証券、決済、EC、通信、配送、公共系サービスでは、フィッシングから不正アクセスにつながるリスクが高くなります。
3. 脆弱性の放置
Webアプリケーション、CMS、プラグイン、VPN機器、リモートアクセス機器、ファイル転送製品などに脆弱性が残っていると、不正アクセスの入口になります。
たとえば、以下のようなケースです。
- 古いCMSやプラグインを使い続けている
- VPN機器の脆弱性を修正していない
- 管理画面が外部公開されたままになっている
- サーバやミドルウェアの更新が止まっている
- 既知の脆弱性に対するパッチ適用が遅れている
攻撃者は、公開されている脆弱性情報をもとに、インターネット上の対象システムを探します。
そのため、「有名企業ではないから狙われない」という考え方は危険です。
4. 管理画面やクラウド設定の不備
企業では、Webサイト、ECサイト、CRM、MA、SaaS、クラウドストレージ、管理画面など、さまざまな管理用サービスを利用しています。
これらの設定が不十分だと、不正アクセスの原因になります。
たとえば、以下のような状態です。
- 管理画面が誰でもアクセスできるURLで公開されている
- 管理者アカウントに多要素認証が設定されていない
- 退職者や異動者のアカウントが残っている
- 共有アカウントを複数人で使っている
- 権限が過剰に付与されている
- クラウドストレージが誤って公開されている
- APIキーや認証情報がコード内に残っている
クラウドやSaaSは便利ですが、設定ミスがそのまま情報漏えいにつながることがあります。
5. リモートアクセス環境の管理不足
テレワークや外部委託の増加により、VPN、リモートデスクトップ、クラウド管理画面、社外からの管理アクセスを利用する企業が増えています。
これらの環境は、攻撃者にとっても重要な入口になります。
特に注意したいのは以下です。
- VPNアカウントに多要素認証がない
- 古いVPN機器を使っている
- RDPなどのリモート接続が外部公開されている
- 委託先アカウントの管理が不十分
- 接続元IPや端末制限がない
- ログイン監視が不十分
リモートアクセス環境が侵害されると、社内ネットワークへの侵入やランサムウェア被害につながる可能性があります。
6. 端末のマルウェア感染
従業員や委託先の端末がマルウェアに感染すると、認証情報が盗まれたり、不正操作の踏み台にされたりすることがあります。
特に以下のような端末は注意が必要です。
- 管理画面へアクセスする業務端末
- 経理・決済処理を行う端末
- 顧客情報を扱う端末
- 開発用端末
- 委託先が利用する端末
- 個人利用と業務利用が混在する端末
端末が侵害されると、正しいID・パスワードや正規のセッションを使って操作されるため、システム側からは「正規ユーザーの操作」に見えることがあります。
7. 委託先・外部パートナーの管理不足
不正アクセスは、自社のシステムだけで起きるとは限りません。
委託先、開発会社、運用会社、コールセンター、物流会社、マーケティング支援会社などが持つアカウントやデータが侵害され、そこから情報漏えいにつながるケースもあります。
委託先が関係する場合、企業は以下を確認する必要があります。
- 委託先にどのデータを渡しているか
- 委託先アカウントの権限は適切か
- 委託先端末のセキュリティ管理は十分か
- 契約終了後にアカウントを削除しているか
- 再委託先まで管理できているか
- インシデント時の連絡体制があるか
不正アクセス対策は、自社の中だけで完結しません。
サプライチェーン全体で考える必要があります。
不正アクセスで企業に起きる被害
不正アクセスが発生すると、企業にはさまざまな被害が生じます。
個人情報の漏えい
もっとも大きな被害のひとつが、個人情報の漏えいです。
漏えいする可能性がある情報には、以下のようなものがあります。
- 氏名
- 住所
- 電話番号
- メールアドレス
- 生年月日
- 会員ID
- 購入履歴
- ログイン履歴
- クレジットカード情報
- 本人確認書類
- 口座情報
- 医療情報
- 位置情報
漏えいした情報の種類によっては、利用者への通知、個人情報保護委員会への報告、問い合わせ対応、二次被害の注意喚起などが必要になります。
不正ログイン・アカウント乗っ取り
不正アクセスにより、利用者アカウントや管理者アカウントが乗っ取られることがあります。
会員サービスでは、アカウント乗っ取りによって以下のような被害が起きます。
- 登録情報の閲覧
- メールアドレスや住所の変更
- ポイントの不正利用
- クレジットカードの不正利用
- 商品の不正購入
- 不正送金
- なりすまし投稿
- 他サービスへの連鎖的な不正ログイン
企業側では、利用者からの問い合わせ増加、補償対応、ブランド信頼の低下につながる可能性があります。
Webサイト改ざん
不正アクセスにより、Webサイトが改ざんされるケースもあります。
たとえば、以下のような被害です。
- 不正なページを設置される
- フィッシングサイトへ誘導される
- マルウェア配布ページを置かれる
- 決済画面に不正スクリプトを埋め込まれる
- SEOスパムページを大量に作られる
- サイト訪問者に警告が表示される
Webサイト改ざんは、ユーザーへの直接被害だけでなく、検索エンジンからの評価低下や、ブラウザ警告の表示にもつながる可能性があります。
ランサムウェア被害
不正アクセスがきっかけで、社内システムやファイルサーバがランサムウェアに感染することがあります。
ランサムウェア被害では、以下のような影響が出ます。
- ファイルが暗号化される
- 業務システムが停止する
- サービス提供が止まる
- データを窃取される
- 身代金を要求される
- 取引先や顧客への説明が必要になる
- 復旧に時間と費用がかかる
近年は、単にファイルを暗号化するだけでなく、事前にデータを盗み出し、公開をちらつかせて脅迫する手口もあります。
金銭被害・不正決済
金融、決済、EC、ポイントサービスでは、不正アクセスが金銭被害に直結します。
たとえば、以下のような被害です。
- 不正送金
- 不正決済
- ポイント不正交換
- ギフトカード不正購入
- クーポン不正利用
- 売上金の不正出金
- 返金機能の悪用
こうした被害では、セキュリティ対策だけでなく、不正検知、取引モニタリング、本人確認、追加認証、補償方針まで含めた設計が必要です。
不正アクセス対策で企業が確認すべきポイント
不正アクセス対策は、ひとつの製品を導入すれば完了するものではありません。
認証、脆弱性管理、端末管理、ネットワーク、ログ監視、インシデント対応を組み合わせる必要があります。
1. ID・パスワード管理を見直す
まず基本となるのが、ID・パスワード管理です。
企業では、以下を確認しましょう。
- 共有アカウントを使っていないか
- 退職者や異動者のアカウントが残っていないか
- 管理者アカウントが必要最小限になっているか
- 初期パスワードを放置していないか
- パスワードの使い回しを避けているか
- パスワード管理ツールを活用しているか
- 重要アカウントの棚卸しを定期的に行っているか
特に管理者アカウント、クラウドアカウント、VPNアカウント、委託先アカウントは優先的に確認すべきです。
2. 多要素認証を導入する
ID・パスワードだけに依存すると、認証情報が盗まれた時点で不正ログインされるリスクが高まります。
そのため、重要なシステムには多要素認証を導入することが重要です。
特に導入を優先したいのは以下です。
- 管理画面
- VPN
- クラウドサービス
- メールアカウント
- 開発環境
- 決済・送金操作
- 個人情報の閲覧・出力画面
- 委託先アカウント
ただし、多要素認証も万能ではありません。
SMS認証やワンタイムパスワードがフィッシングで盗まれるケースもあります。
金融・決済・重要サービスでは、フィッシング耐性のある認証方式や、端末認証、リスクベース認証、重要操作時の追加認証も検討する必要があります。
3. 脆弱性管理を継続する
不正アクセスを防ぐには、脆弱性管理が欠かせません。
確認すべき項目は以下です。
- OSを最新状態に保っているか
- ミドルウェアを更新しているか
- CMSやプラグインを更新しているか
- VPN機器やネットワーク機器の脆弱性に対応しているか
- 不要なサービスやポートを閉じているか
- 外部公開資産を把握しているか
- 脆弱性診断を定期的に行っているか
特に、インターネットからアクセスできる機器やサービスは、攻撃対象になりやすい領域です。
企業は、何が外部公開されているのかを継続的に把握する必要があります。
4. 管理画面・クラウド設定を見直す
管理画面やクラウドの設定不備は、不正アクセスの原因になりやすいポイントです。
以下を確認しましょう。
- 管理画面へのアクセス元を制限しているか
- 管理者ログインに多要素認証を設定しているか
- 権限を必要最小限にしているか
- 共有アカウントを廃止しているか
- 操作ログを保存しているか
- クラウドストレージの公開範囲を確認しているか
- APIキーやシークレットを適切に管理しているか
クラウドサービスでは、設定変更が簡単にできる一方で、誤設定による情報公開も起こり得ます。
定期的な設定レビューが重要です。
5. ログ監視と異常検知を行う
不正アクセスは、完全に防ぐだけでなく、早期に気づくことが重要です。
ログを取得していても、誰も見ていなければ意味がありません。
確認すべきログは以下です。
- ログイン履歴
- 管理者操作ログ
- 失敗ログイン回数
- パスワード変更履歴
- 権限変更履歴
- 個人情報の閲覧・出力ログ
- APIアクセスログ
- VPN接続ログ
- クラウドサービスの操作ログ
特に、以下のような挙動は不正アクセスの兆候になる可能性があります。
- 短時間に大量のログイン失敗がある
- 海外や普段と違う地域からログインしている
- 深夜に管理者操作が行われている
- 使われていないアカウントが急に利用されている
- 大量のデータがダウンロードされている
- 複数アカウントで同じIPからログイン試行がある
- 権限変更や設定変更が連続している
不正アクセス対策では、入口対策だけでなく、侵入後の異常を検知する仕組みも必要です。
6. 端末管理を強化する
管理画面やクラウドサービスへアクセスする端末が侵害されると、不正アクセスにつながる可能性があります。
企業では、以下を確認しましょう。
- 業務端末を台帳管理しているか
- OSやソフトウェアを更新しているか
- EDRやウイルス対策を導入しているか
- 端末の紛失・盗難対策をしているか
- 個人端末から重要システムへアクセスさせていないか
- USBや外部ストレージの利用を管理しているか
- 端末のローカル保存データを把握しているか
モバイルアプリや会員サービスを運営する企業では、管理画面にアクセスするサポート端末や、本人確認データを扱う端末の管理も重要です。
7. 委託先・外部アカウントを管理する
委託先アカウントは、不正アクセス対策で見落とされやすい領域です。
確認すべき項目は以下です。
- 委託先ごとのアカウントを分けているか
- 共有アカウントを使っていないか
- 委託先の権限を必要最小限にしているか
- 契約終了後にアカウントを削除しているか
- 委託先の端末管理や認証方式を確認しているか
- 操作ログを取得しているか
- インシデント時の連絡ルールを契約に含めているか
外部パートナーが多い企業ほど、アカウントと権限の棚卸しが重要になります。
8. インシデント対応手順を整備する
不正アクセスが発生した場合、初動対応の速さが被害範囲を左右します。
事前に、以下の手順を決めておきましょう。
- 誰が最初に判断するか
- どのシステムを停止するか
- どのログを保全するか
- どの端末を隔離するか
- どの部署に連絡するか
- 委託先や外部専門家へいつ連絡するか
- 警察、IPA、個人情報保護委員会などへの相談・報告をどう行うか
- 利用者へいつ、どのように通知するか
- 復旧後にどのような再発防止策を公表するか
インシデント対応は、情報システム部門だけで完結しません。
経営層、法務、広報、カスタマーサポート、委託先、セキュリティ専門家が連携する必要があります。
モバイルアプリ・会員サービスで特に注意したい不正アクセス
モバイルアプリや会員サービスでは、不正アクセスの入口が複数あります。
Web管理画面やサーバだけでなく、アプリ、API、端末、認証、重要操作まで含めて考える必要があります。
アプリ利用者のアカウント乗っ取り
フィッシングやパスワード使い回しにより、利用者アカウントが乗っ取られることがあります。
その結果、以下のような被害が発生します。
- 登録情報の閲覧
- ポイント不正利用
- 不正決済
- 送金先変更
- 登録メールアドレス変更
- 本人確認情報の悪用
この対策には、ログイン時の認証強化だけでなく、重要操作時の追加認証や不正検知が必要です。
管理画面への不正ログイン
会員サービスでは、管理画面に顧客情報、決済情報、本人確認データ、問い合わせ履歴などが集約されていることがあります。
管理画面が侵害されると、被害範囲が大きくなります。
以下は必ず確認したいポイントです。
- 管理画面に多要素認証を導入しているか
- アクセス元IPを制限しているか
- 権限を役割ごとに分けているか
- 個人情報の出力を制限しているか
- 操作ログを監視しているか
- 委託先アカウントを管理しているか
APIの悪用
モバイルアプリは、サーバ側のAPIと通信して動作します。
APIの認証やレート制限が不十分だと、不正アクセスや不正操作につながります。
たとえば、以下のようなリスクがあります。
- 他人の情報を取得できる
- 認可チェックを回避できる
- 大量アクセスで情報を取得される
- 不正な端末や改ざんアプリからAPIを叩かれる
- ログイン試行を自動化される
API対策では、認証だけでなく、認可、レート制限、端末情報、アプリの正当性確認、異常検知が重要です。
不正環境・改ざんアプリからのアクセス
金融アプリや決済アプリでは、Root化・Jailbreak端末、エミュレーター、Hooking、改ざんアプリなどもリスクになります。
攻撃者がアプリの動作を解析・改ざんできると、認証情報の窃取、不正操作、自動化、不正APIアクセスにつながる可能性があります。
そのため、アプリ側では以下のような対策も検討します。
- Root化・Jailbreak検知
- エミュレーター検知
- Hooking検知
- アプリ改ざん検知
- 通信の保護
- 重要情報の保護
- 不正環境での動作制限
- RASPやApp Shieldingの導入
不正アクセス対策は、サーバ側だけでなく、アプリと端末の状態まで含めて考えることが重要です。
不正アクセス発生時に企業が行うべき初動対応
不正アクセスの疑いがある場合、焦って証跡を消してしまうと、原因調査が難しくなります。
まずは、以下の流れで対応します。
1. 被害拡大を止める
不正アクセスの疑いがある場合は、被害拡大を防ぐ必要があります。
- 不審なアカウントを停止する
- 侵害された端末をネットワークから切り離す
- 不正な通信を遮断する
- 管理画面へのアクセスを一時制限する
- 必要に応じてサービス機能を一時停止する
ただし、システム停止の判断は事業影響も大きいため、事前に判断基準を決めておくことが重要です。
2. ログと証跡を保全する
原因調査には、ログや証跡が必要です。
以下を保全します。
- アクセスログ
- 認証ログ
- 管理者操作ログ
- サーバログ
- クラウド監査ログ
- VPNログ
- 端末の状態
- 不審ファイル
- 通信先情報
- アカウント変更履歴
ログを削除したり、端末を初期化したりすると、調査が困難になる場合があります。
3. 影響範囲を確認する
次に、何がどこまで影響を受けたのかを確認します。
- どのシステムが侵害されたか
- どのアカウントが悪用されたか
- どのデータが閲覧・取得された可能性があるか
- 個人情報が含まれているか
- クレジットカード情報や決済情報が含まれているか
- 利用者への二次被害リスクがあるか
- 委託先や外部サービスに影響があるか
影響範囲が確定しない段階でも、被害拡大防止と関係者連絡は進める必要があります。
4. 関係機関・専門家へ相談する
不正アクセスの内容によっては、外部専門家、警察、IPA、個人情報保護委員会などへの相談・報告が必要になります。
特に個人情報が漏えいした、または漏えいしたおそれがある場合は、法令やガイドラインに基づく対応が求められる場合があります。
自社だけで判断せず、法務、セキュリティ専門家、関係機関と連携して対応することが重要です。
5. 利用者・取引先へ説明する
利用者や取引先に影響がある場合は、わかっている事実と、まだ確認中の事項を分けて説明する必要があります。
説明時には、以下を整理します。
- 何が起きたのか
- いつ発生したのか
- どの情報が影響を受けた可能性があるのか
- 悪用の事実が確認されているか
- 利用者に求める対応は何か
- 企業側の再発防止策は何か
- 問い合わせ窓口はどこか
不確かな情報を断定することは避けるべきですが、必要な注意喚起が遅れることも避けなければなりません。
不正アクセス対策チェックリスト
最後に、企業が確認すべき項目をまとめます。
| 項目 | 確認ポイント |
| アカウント管理 | 退職者・異動者・委託先アカウントを棚卸ししているか |
| 認証 | 管理画面やVPNに多要素認証を導入しているか |
| パスワード | 共有アカウントや使い回しを避けているか |
| 権限管理 | 必要最小限の権限になっているか |
| 脆弱性管理 | OS、CMS、VPN、プラグインを更新しているか |
| クラウド設定 | ストレージや管理画面の公開範囲を確認しているか |
| 端末管理 | 業務端末、開発端末、委託先端末を管理しているか |
| ログ監視 | ログイン、操作、データ出力のログを確認しているか |
| 異常検知 | 普段と違うログインや大量アクセスを検知できるか |
| API対策 | 認証・認可・レート制限を実装しているか |
| アプリ保護 | 改ざん、Root化、Hookingなどへの対策を検討しているか |
| インシデント対応 | 初動、報告、通知、復旧の手順を整備しているか |
| 委託先管理 | 委託先の権限、端末、連絡体制を確認しているか |
| バックアップ | ランサムウェア被害に備えた復旧手段があるか |
まとめ
不正アクセスとは、正当な権限を持たない第三者が、ID・パスワードの悪用、脆弱性の悪用、設定不備、マルウェア感染などを通じて、システムやアカウントを不正に利用する行為です。
企業にとって不正アクセスは、個人情報漏えい、不正ログイン、不正決済、ランサムウェア、Webサイト改ざん、サービス停止などにつながる重大なリスクです。
対策では、ID・パスワード管理や多要素認証だけでなく、脆弱性管理、クラウド設定、端末管理、ログ監視、委託先管理、インシデント対応まで含めて考える必要があります。
特にモバイルアプリや会員サービスを運営する企業では、利用者アカウントの不正ログイン、管理画面への侵入、APIの悪用、端末リスク、アプリ改ざんまで含めて対策を設計することが重要です。
不正アクセスを完全にゼロにすることは簡単ではありません。
だからこそ、侵入されにくくする対策、侵入されても早期に気づく仕組み、被害を広げない設計、発生時に迷わず対応できる体制を整えておくことが重要です。
参考情報
- 不正アクセス行為の禁止等に関する法律
- 警察庁「基本的なセキュリティ対策」
- IPA「コンピュータウイルス・不正アクセスに関する届出について」
- 個人情報保護委員会「漏えい等の対応とお役立ち資料」