不正アクセスとは？ 被害への対応方法や相談先、被害事例などを紹介

不正アクセスとは、悪意のある第三者がシステムの内部などに侵入する犯罪行為

不正アクセスとは、悪意のある第三者が他人のID・パスワードを利用してコンピューターやシステムの内部などに侵入する行為のことです。不正アクセスによって情報流出などが発生した場合、企業や組織のブランドイメージや信頼性が著しく損なわれることが想定されます。なお、不正アクセスは日本国内から攻撃が仕掛けられるとは限りません。世界中どこからでも不正アクセスが行われる可能性があり、あらゆる組織は常に不正アクセスのリスクにさらされています。

不正アクセス禁止法に該当する行為

不正アクセスは「不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）」によって禁じられています。不正アクセス禁止法に該当する行為は次のとおりです。

不正アクセス行為自体の禁止

他人のID・パスワードを不正に利用してコンピューターやWebサービスなどにログインした時点で、その行為は「不正アクセス罪」に該当します。違反した場合には3年以下の懲役、または100万円以下の罰金に処せられます。

他人のパスワードなどの不正取得の禁止

実際にログインするかどうかにかかわらず、他人のID・パスワードなどを不正に取得すると「不正取得罪」に問われ、1年以下の懲役、または50万円以下の罰金に処せられます。例えば、従業員のID・パスワードを記録したリストを不正に閲覧したり、外部に持ち出したりする行為は不正取得にあたるため、注意が必要です。

正当な理由がない認証情報伝達の禁止

他人の認証情報を、本来知る必要のない者へ伝える行為も不正アクセス禁止法に抵触します。正当な理由なく認証情報を伝達することは、不正アクセスを助長する行為である「不正助長罪」とみなされるからです。伝達した情報が不正アクセスに利用されることを知っていた場合の罰則は1年以下の懲役、または50万円以下の罰金、認証情報の伝達のみの場合の罰則は30万円以下の罰金に処せられます。

不正アクセスのための認証情報保管の禁止

他人の認証情報を保管することも、不正アクセスに利用される恐れのある行為として禁止されています。他人の認証情報を知り得た経緯を問わず、その情報をメモなどに書き留めたり、USBメモリなどに保存したりすることによって、不正アクセスに使われる可能性があるとみられるからです。違反した場合には「不正保管罪」に問われ、1年以下の懲役、または50万円以下の罰金に処せられます。

不正な認証情報の入力要求の禁止

情報管理者の承諾を得ることなく、認証情報の入力を求める行為は禁止されています。実在する企業名やサービス名をかたり、ユーザーIDやパスワードを窃取するフィッシングの手口は、不正な入力要求の典型です。違反した場合は「不正入力要求罪」に問われ、1年以下の懲役、または50万円以下の罰金に処せられます。

不正アクセス被害が起きたときの対応

万が一不正アクセスの被害が発生した場合は、どのような対応が求められるのでしょうか。ここでは、具体的な対応策について確認していきます。

パスワードを変更する

不正アクセスの被害が発生したら、早急に講じるべき対応はパスワードの変更です。パスワードを不正に利用した者が端末やサービスをそれ以上操作できないよう、パスワードの変更はなるべく早く行うことが大切です。すでに不正侵入者によってパスワードが変更されているなどの事情からログインができないようなら、管理者に依頼してアカウントを停止してもらう必要があります。

コンピューターをネットワークから切り離す

不正アクセスの被害にあったコンピューターはネットワークから切り離し、侵入者が再びアクセスするのを防ぐことも重要です。有線接続であればLANケーブルを引き抜き、無線接続であればWi-Fiをオフにします。

不正アクセス被害の証拠を保管する

不正アクセスの被害に遭った際は、サーバーのアクセスログから不正アクセスの痕跡を収集することも必要です。不正アクセスの証拠を保管しておくことは、再発防止策を検討する上でも不可欠です。また、被害に関する届出や相談の際にも必要な資料となります。実際の状況を見ていない相手にも経緯が伝わるよう、不正アクセスが発生したコンピューター名やWebサービス名、発生日時、原因などはわかりやすくまとめておくことが大切です。

不正アクセス被害の届出・相談先

不正アクセスの被害が発覚し、個人情報漏洩の可能性がある場合、行政機関などへの報告が義務づけられています。ここでは、被害に遭った際の具体的な届出・相談先を紹介します。

管轄の警察署に連絡する

不正アクセスの被害について届出や相談をする際には、管轄の警察署へ連絡しておく必要があります。収集したアクセスログや、不正利用されたアカウント情報のスクリーンショットなど、具体的な被害の状況が確認できる資料を用意した上で警察署へ連絡し、助言・指導を受けます。

個人情報保護委員会へ報告する

警察署への報告を終えたら、個人情報保護委員会にも被害状況を報告します。被害の発覚から3～5日以内に「速報」を伝えた上で、発覚から30日以内に「確報」を伝えることが報告の流れとなります。不正な目的が疑われる場合には、発覚から60日以内にその旨の報告が必要です。個人情報保護委員会のWebサイトには、「漏えい等報告フォーム」が設置されています。不正アクセスの被害を受けたことが発覚したら、できるだけ早く報告を済ませることが大切です。

IPAや監督官庁へ届出・相談をする

不正アクセスの被害が発生した事実は、独立行政法人情報処理推進機構（IPA）や監督官庁にも届出・相談をしておきます。被害の届出は、この国の不正アクセスの発生状況の把握や、被害の拡大防止、再発防止対策を講じる上で必要な情報となるからです。

不正アクセスの被害事例

日本では、過去にどのような不正アクセスの被害が発生してきたのでしょうか。独立行政法人情報処理推進機構（IPA）が公開している資料によれば、2023年上半期（1～6月）における不正アクセスの分類と届出件数は下記のとおりです。

＜2023年上半期における不正アクセスの届出件数＞
・脆弱性や設定不備を悪用された不正アクセス ： 17件
・IDとパスワードによる認証を突破された不正アクセス ： 9件

不正アクセスは、更新プログラムの適用やID・パスワードの適切な管理など基本的なセキュリティ対策を講じておけば、被害を未然に防止できる事例も多いと考えられます。自社も同様の被害に遭う可能性があることを前提に、不正アクセスの対策を強化することが大切です。下記では、不正アクセスによって被害を受けた事例をご紹介します。

不正アクセスの被害事例1 ： 通販サイトへの不正ログインで数百万円の不正注文

ある通販サイトでは、正規のユーザーになりすまして第三者がログインし、不正な注文をする被害が発生しました。製品の届け先やユーザーのメールアドレスなどの情報は変更され、不正入手したとみられるクレジットカード情報により決済もされたそうです。不正に行われた注文金額は実に数百万円にも上りました。

不正アクセスの被害事例2 ： 不正ログインで利用者のパスワードが改ざん

ある機関にてシステムへの不正アクセスが発生し、利用者のパスワードなどが改ざんされた事例もあります。システムにログインできないとの問い合わせが、利用者から相次いだことにより被害が発覚。機関側で被害者のパスワードを変更するとともに、ほかの利用者に対してもパスワードを変更するよう注意を呼びかけました。

不正アクセスの被害事例3 ： メールアカウントに不正アクセスされ、フィッシングメールの踏み台に

ある施設のメールアカウントが不正アクセスの被害に遭い、フィッシングメールの踏み台にされた事例もあります。施設が保有するメールアカウントのうち1件から、不特定多数のメールアドレスへ大量のフィッシングメールが送信されていたことが発覚しました。不正アクセスの被害に遭うと自社のみにとどまらず、多方面へ被害が拡大するリスクがあることを示す事例といえます。

不正アクセスは適切な対処法を押さえた上で、ソフトウェアの活用も

不正アクセスの被害はあらゆる組織にとって重大な脅威となります。自社は狙われないだろうと安易に捉えず、今回紹介した事例のような被害が発生し得ることを前提に対策を講じておくことが大切です。

不正アクセスの被害を未然に防ぐには、システムの更新プログラムの徹底した適用や、ID・パスワードの適切な管理などを行う必要があります。また、重要情報にアクセスする操作が行われた際に検知し、アラートを発出する仕組みが求められます。クライアント運用管理ソフトウェア「SKYSEA Client View」では、組織内のコンピューターを全数把握して一元管理するとともに、コンピューターへの更新プログラムの配布や、適用状況の確認が可能です。また、許可されていないコンピューターから組織内のネットワークへの接続を検知して遮断する機能も搭載しています。重要情報が保存されているサーバーへのアクセスにおいても、「いつ」「誰が」「何をしたのか」などをログで把握し、権限のないユーザーからアクセスできないように制限をかけるといった機能もお役立ていただけます。

不正アクセスへの対策を強化したい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。