不正アクセスとは？ 被害事例や原因、対策をわかりやすく解説

不正アクセスとは、悪意のある第三者がシステムの内部などに侵入する犯罪行為

不正アクセスとは、悪意のある第三者が他人のID・パスワードを利用してコンピューターやシステムの内部などに侵入する行為のことです。不正アクセスによって情報流出などが発生した場合、企業や組織のブランドイメージや信頼性が著しく損なわれることが想定されます。なお、不正アクセスは日本国内から攻撃が仕掛けられるとは限りません。世界中どこからでも不正アクセスが行われる可能性があり、あらゆる組織は常に不正アクセスのリスクにさらされています。

不正アクセスによる被害事例

不正アクセスは、更新プログラムの適用やID・パスワードの適切な管理など基本的なセキュリティ対策を講じておけば、被害を未然に防止できる事例も多いと考えられます。自社も同様の被害に遭う可能性があることを前提に、不正アクセスの対策を強化することが大切です。下記では、不正アクセスによって被害を受けた事例をご紹介します。

不正アクセスの被害事例1：通販サイトへの不正ログインで数百万円の不正注文

ある通販サイトでは、正規のユーザーになりすまして第三者がログインし、不正な注文をする被害が発生しました。製品の届け先やユーザーのメールアドレスなどの情報は変更され、不正入手したとみられるクレジットカード情報により決済もされたそうです。不正に行われた注文金額は実に数百万円にも上りました。

不正アクセスの被害事例2：不正ログインで利用者のパスワードが改ざん

ある機関にてシステムへの不正アクセスが発生し、利用者のパスワードなどが改ざんされた事例もあります。システムにログインできないとの問い合わせが、利用者から相次いだことにより被害が発覚。機関側で被害者のパスワードを変更するとともに、ほかの利用者に対してもパスワードを変更するよう注意を呼びかけました。

不正アクセスの被害事例3：メールアカウントに不正アクセスされ、フィッシングメールの踏み台に

ある施設のメールアカウントが不正アクセスの被害に遭い、フィッシングメールの踏み台にされた事例もあります。施設が保有するメールアカウントのうち1件から、不特定多数のメールアドレスへ大量のフィッシングメールが送信されていたことが発覚しました。不正アクセスの被害に遭うと自社のみにとどまらず、多方面へ被害が拡大するリスクがあることを示す事例といえます。

不正アクセスの近年の傾向

独立行政法人情報処理推進機構（IPA）が公開している資料によると、日本における不正アクセスの届出件数は2018年の54件（内、被害あり43件）から増加しており、2024年は166件（内、被害あり132件）という結果となりました。

また、2024年において最も多く見られた手口は「ファイル／データ窃取、改ざん等」で、件数は101件でした。次いで「不正プログラムの埋め込み」が65 件、「脆弱性を悪用した攻撃」が51件となりました。

「脆弱性を悪用した攻撃」などは、前述でも触れたとおり、更新プログラムの適用など基本的な対策を講じることで被害に遭う確率を抑えられます。企業・組織にとって、このような対策を行うことは必要不可欠です。

出典：独立行政法人情報処理推進機構 セキュリティセンター「コンピュータウイルス・不正アクセスの届出状況［2024年（1月～12月）｣（2025年2月）

不正アクセスが起きる原因3選

なぜ不正アクセスが起きてしまうのか。その原因は主に3つあります。いずれの場合も、日々の管理の甘さが大きな要因といえ、攻撃者はそこにつけこみ、不正アクセスを試みます。それぞれの原因について見ていきましょう。

ID・パスワードの管理が甘い

不正アクセスは、ID・パスワードの管理が甘い場合に多発します。例えば、推測しやすい生年月日や会社設立日をパスワードに設定したり、複数のWebサイトで同じID・パスワードを使い回したりしている場合は特に危険です。

不正アクセスを防ぐためには、「会社概要やプロフィールなどから推測できるようなID・パスワードを避ける」「ID・パスワードの使い回しをしない」「定期的にID・パスワードを変更する」などを、従業員全員で徹底する必要があります。

情報の管理が甘い

リモートワークなど働き方の多様化が進むなか、危機管理意識の低下による情報管理の甘さから、不正アクセスに遭うケースが増えています。例えば、カフェなどの公共の場で仕事をしている際に、「パソコンの画面をのぞき見される」「重要な情報が記載された書類を席に置いたまま離れる」「シュレッダーを使わず、社内の書類を廃棄する」などにより、社内システムへのログイン情報や、機密情報が外部に漏洩する恐れがあります。

セキュリティ対策が適切ではない

セキュリティ対策の不備によるシステムの脆弱性を突かれることで、不正アクセスに遭うケースも数多くあります。対策として、利用するソフトウェアのセキュリティアップデートを徹底することが挙げられます。ただ、それだけでは最近の巧妙な手口に対応するのは難しくなってきており、高精度な検知を可能とする不正アクセス検知システムの導入なども注目されています。被害は発生してからでは遅いため、新たなシステムを導入するなど、被害を防ぐための適切な対策が欠かせません。

不正アクセス被害が起きたときの対応

万が一不正アクセスの被害が発生した場合は、どのような対応が求められるのでしょうか。ここでは、具体的な対応策について確認していきます。

パスワードを変更する

不正アクセスの被害が発生したら、早急に講じるべき対応はパスワードの変更です。パスワードを不正に利用した者が端末やサービスをそれ以上操作できないよう、パスワードの変更はなるべく早く行うことが大切です。すでに不正侵入者によってパスワードが変更されているなどの事情からログインができないようなら、管理者に依頼してアカウントを停止してもらう必要があります。

コンピューターをネットワークから切り離す

不正アクセスの被害にあったコンピューターはネットワークから切り離し、侵入者が再びアクセスするのを防ぐことも重要です。有線接続であればLANケーブルを引き抜き、無線接続であればWi-Fiをオフにします。

不正アクセス被害の証拠を保管する

不正アクセスの被害に遭った際は、サーバーのアクセスログから不正アクセスの痕跡を収集することも必要です。不正アクセスの証拠を保管しておくことは、再発防止策を検討する上でも不可欠です。また、被害に関する届出や相談の際にも必要な資料となります。実際の状況を見ていない相手にも経緯が伝わるよう、不正アクセスが発生したコンピューター名やWebサービス名、発生日時、原因などはわかりやすくまとめておくことが大切です。

不正アクセス禁止法に該当する行為

不正アクセスは「不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）」によって禁じられています。不正アクセス禁止法に該当する行為は次のとおりです。

・不正アクセス行為自体の禁止

他人のID・パスワードを不正に利用してコンピューターやWebサービスなどにログインした時点で、その行為は「不正アクセス罪」に該当します。

・他人のパスワードなどの不正取得の禁止

ログインするかどうかにかかわらず、他人のID・パスワードを不正に閲覧したり記録したりする行為は「不正取得罪」に問われます。

・正当な理由がない認証情報伝達の禁止

他人のID・パスワードの情報を、本来知る必要のない者へ伝える行為も不正アクセス禁止法に抵触します。

・不正アクセスのための認証情報保管の禁止

他人のID・パスワード情報を保管することも、不正アクセスに利用される恐れのある行為として禁止されています。

・不正な認証情報の入力要求の禁止

フィッシング詐欺の手口のように、情報管理者の承諾を得ることなく、ID・パスワード情報の入力を求める行為も禁止されています。

出典：総務省「不正アクセス行為の禁止等に関する法律」

不正アクセス被害の届出・相談先

不正アクセスの被害が発覚し、個人情報漏洩の可能性がある場合、行政機関などへの報告が義務づけられています。ここでは、被害に遭った際の具体的な届出・相談先を紹介します。

管轄の警察署に連絡する

不正アクセスの被害について届出や相談をする際には、管轄の警察署へ連絡しておく必要があります。収集したアクセスログや、不正利用されたアカウント情報のスクリーンショットなど、具体的な被害の状況が確認できる資料を用意した上で警察署へ連絡し、助言・指導を受けます。

個人情報保護委員会へ報告する

警察署への報告を終えたら、個人情報保護委員会にも被害状況を報告します。被害の発覚から3～5日以内に「速報」を伝えた上で、発覚から30日以内に「確報」を伝えることが報告の流れとなります。不正な目的が疑われる場合には、発覚から60日以内にその旨の報告が必要です。個人情報保護委員会のWebサイトには、「漏えい等報告フォーム」が設置されています。不正アクセスの被害を受けたことが発覚したら、できるだけ早く報告を済ませることが大切です。

参考：個人情報保護委員会「漏えい等の対応とお役立ち資料」

IPAや監督官庁へ届出・相談をする

不正アクセスの被害が発生した事実は、独立行政法人情報処理推進機構（IPA）や監督官庁にも届出・相談をしておきます。被害の届出は、この国の不正アクセスの発生状況の把握や、被害の拡大防止、再発防止対策を講じる上で必要な情報となるからです。

参考：独立行政法人情報処理推進機構「コンピュータウイルス・不正アクセスに関する届出について」（2024年2月）

不正アクセスは適切な対処法を押さえた上で、ソフトウェアの活用も

不正アクセスの被害はあらゆる組織にとって重大な脅威となります。自社は狙われないだろうと安易に捉えず、今回紹介した事例のような被害が発生し得ることを前提に対策を講じておくことが大切です。

不正アクセスの被害を未然に防ぐには、システムの更新プログラムの徹底した適用や、ID・パスワードの適切な管理などを行う必要があります。また、重要情報にアクセスする操作が行われた際に検知し、アラートを発出する仕組みが求められます。クライアント運用管理ソフトウェア「SKYSEA Client View」では、組織内のコンピューターを全数把握して一元管理するとともに、コンピューターへの更新プログラムの配布や、適用状況の確認が可能です。また、許可されていないコンピューターから組織内のネットワークへの接続を検知して遮断する機能も搭載しています。重要情報が保存されているサーバーへのアクセスにおいても、「いつ」「誰が」「何をしたのか」などをログで把握し、権限のないユーザーからアクセスできないように制限をかけるといった機能もお役立ていただけます。

不正アクセスへの対策を強化したい事業者様は、ぜひ「SKYSEA Client View」の導入をご検討ください。

関連リンク