多くの企業がデジタルサービスを導入し、また、ユーザーが快適にサービスを利用できる一方で、顧客の機密情報が外部に漏れてしまう情報漏えいが後を絶ちません。
NPO日本ネットワークセキュリティ協会が2019年に発表した「2018年 情報セキュリティインシデントに関する調査報告書」によると、情報漏えいの原因の中で、「不正アクセス」が「紛失・置忘れ」「誤操作」に次いで多いことがわかりました。
不正アクセスの原因の多くは、外部からのサイバー攻撃などによるものです。外部からの不正アクセスを防ぐために、どのようなことに気をつけるべきでしょうか。
不正アクセスとは
不正アクセスとは、NPO日本ネットワークセキュリティ協会によると、「ネットワークに第三者がアクセス制御を破り、顧客情報をはじめとした企業の機密情報を漏えいする行為」と定義しています。
「不正アクセス」による情報漏えい被害の傾向
多くの企業がパソコンをはじめとするデジタルデバイスを使って業務を行い、インターネットを活用して顧客に情報提供するようになったことで、不正アクセスによる情報漏えいも増加するようになりました。
不正アクセスには様々な種類がありますが、個々のアカウントに対して不正侵入を試みるケースが最も多いと言われています。不正侵入を行う詐欺ツールなども出回っているため、アカウントに対するパスワードは単純なものではなく複雑なものにし、短期間で変更するなど、セキュリティを強化する必要があります。最近では、アカウントのなりすまし行為により、クレジットカード情報が悪用されるケースも少なくありません。
さらに、ホームページ上の脆弱なプログラムに対してアクセスされ、情報漏えいにつながったという事例もあります。
サーバなどに基本的なセキュリティ対策が整備されていても、その他のところでのセキュリティ対策もしっかり行わないと情報漏えいのリスクがあることを認識しておく必要があります。
詳しい不正アクセスの手口は、当コラムの「サイバー攻撃とは~その種類や方法から国内事例・対策方法まで~」で紹介しているので、ご覧になってください。
不正アクセスによる情報漏えいの事例
不正アクセスによる情報漏えいの事例にどのようなものがあるのか、実際に発生した事例をもとに紹介していきましょう。
事例1:大手コンビニエンスストアの決済システムへの不正アクセス
2019年、大手コンビニエンスストアのオンライン決済サービスで、不正アクセスの被害が発生。不正利用者が被害者になりすまし、不正チャージおよび不正利用を行うという被害が多発しました。
これにより、大手コンビニエンスストアは、提供していたサービスを一時的に停止し、サービス導入から数ヶ月後にサービスを廃止するという措置をとりました。
通常、なりすましを防ぐため、「2段階認証」が採用されますが、このオンライン決済サービスでは「2段階認証」は採用していませんでした。
事例2:オンラインショップから32万件の顧客情報流出
2019年12月、家電メーカーが運営するオンラインショップが、何者かによってサイバー攻撃を受け、顧客情報32万件が流出してしまうという事件が発生。本事案はオンラインショップから不審なメールを受け取ったという客の相談により発覚しました。
流出した情報は、住所、氏名、メールアドレス、注文履歴で、クレジットカードの情報は含まれていませんでした。
本事案では、オンラインサイトのセキュリティの脆弱性が原因ということがわかりました。
事例3 1つのメールアカウントから複数の迷惑メールの送信
パーソナルトレーニングを中心にサービスを提供する企業のメールアカウントに対して不正アクセスがありました。不正アクセス後、1つのメールアカウントへの不正アクセスだったにも関わらず、そのメールアカウントを踏み台として、取引先1648社に2111件もの迷惑メールが送信されました。
メールアカウントのパスワードの脆弱性が原因で、本事案を受けて社内パスワード設定を強化することを発表しています。
不正アクセスのリスクを回避するために
外部からのサイバー攻撃によって「不正アクセス」を回避するために、私たちはどのようなことを対策しなければならないのでしょうか。情報漏えい対策について考察していきましょう。
背景と課題
不正アクセスが発生する背景として、誰でも簡単に不正アクセスが可能になるツールが出回っているという問題があります。
2013年頃から、外部からアカウントに侵入するための詐欺ツールが出回り、それ以降、不正アクセスが急増しています。
この手のツールは、時代とともに改良されていくため、その対策に関しても改良することが必要不可欠になります。
デジタル上でできる解決手段
不正アクセスを防ぐために、企業が行うべきことは次のような対策です。
ソフトウエアの適宜アップデート
ソフトウエアの脆弱性を分析し、そこから不正アクセスを試みるというケースがあります。不正アクセスを防ぐためには常にソフトウエアをアップデートして、最新のものにする必要があります。古いバージョンのまま利用していると、アップデートされた詐欺ツールなどからのアクセスを防ぐことができないため、適宜ソフトウエアの更新を行いましょう。
セキュリティソフトの導入
セキュリティソフトを導入することで、不正アクセスを未然に防ぐことが可能です。セキュリティソフトも最新の製品を導入し、常にアップデートするように心がけましょう。
セキュリティサービスの利用
顧客の機密情報を扱う企業は、独自のセキュリティ対策だけでなく、第三者が提供するセキュリティサービスを利用することで、より強固なセキュリティ対策を行うことができます。不正アクセスを監視するアプリケーションを提供するサービスなどもあるので、最適なサービスを検討しましょう。
社内の認識を変えて不正アクセスを防ぐ
セキュリティ対策をデジタル面で強化しても、対策は万全であるとは言えません。パスワードを複雑なものに設定したり、頻繁に変更したりするなど、利用者のセキュリティ意識も高めていく必要があります。利用者の意識が低ければ、不正アクセスによる情報漏えいが発生してしまう恐れがあります。社内でのセキュリティ意識はもちろんのこと、次のような行為は絶対に行わないよう徹底しましょう。
- パスワードを設定する際は、単純なものにしない
- 怪しいサイトにアクセスしない
- 不審なメールには触れない
以上のことを社内で徹底することで、不正アクセスのリスクを軽減することができます。デジタル面の対策だけでなく、利用者の意識を高める工夫も検討するようにしてください。
まとめ
不正アクセスによるサイバー攻撃は、時代とともに手口が変化しています。情報漏えいを防ぐために、デジタル面での対策と従業員のセキュリティに対する意識改善を行い、社内でのセキュリティ対策を強化するよう心がけてください。