不正アクセスはなぜ起きる?原因と標的にされる理由を解説

セキュリティ, 解説 コメントを残す

こんにちは、noダーマです。

ここ数日立て続けに不正アクセスによる個人情報流出をニュースを目にしました。
特に婚活アプリの運営サーバーで発生した流出事故はなんと件数が171万件にも上り、被害件数としては過去最大級でしょう。

サイバー犯罪の件数も年々増加しておる、不正アクセスの被害も同様に増えております。

ではなぜ不正アクセスの被害を受けてしまうのでしょうか?
今回はその原因と標的にされてしまう理由について解説していきます。

目次

不正アクセスの原因

身も蓋もない言い方をしてしまうと管理側の対策不足に尽きるのですが、突き詰めると原因は様々です。
今回はその中でもよくある例をいくつかご紹介します。

誰でもアクセス可能な状態だった

機密情報などが保存されたサーバーには適切なアクセス制限を行う必要があります。

例えば会社内のネットワークからのみアクセス可能で、それ以外からのアクセスは拒否するなどが一般的です。
しかしこの制限が不十分であると、悪意を持った人間のアクセスも許してしまいます。

テレワークの普及により、重要なサーバーへ外部からアクセスせざるを得ないことも増えてきているでしょう。
特にコロナ禍の影響でテレワークを導入した企業などは、アクセス制限の対策が不十分である可能性があります。

アクセスに必要な情報の1つとして「IPアドレス」がありますが、実はIPアドレスは誰でも簡単に調べることができます
タウンページに住所が載っている状態といえば何となくイメージが付くでしょうか。

つまり適切なアクセス制限を行うことは必須レベルのセキュリティ対策になります。

IDやパスワードが単純、あるいは外部に漏れた

もちろんIPアドレスだけではサーバーへのアクセスではできず、IDとパスワードが必要になります。

しかしそのIDやパスワードが単純で簡単に推測できるものだったとしたら、あっという間に不正アクセスができてしまうでしょう。
簡単なパスワードの危険性は過去の記事でも解説しました。

虹ヶ咲学園セキュリティ同好会
2021.01.31
すぐにできるおすすめセキュリティ対策(パソコン・スマホ編)
https://www.mari-mari-tonight.com/すぐにできるおすすめセキュリティ対策パソコン

特に初期パスワードのまま使い続けるのは非常に危険です
初期パスワードに使われる文字列は総じて単純なものであり、クラッカーにとってはもはやパスワードが設定されていないものと同じといえるでしょう。

またパスワードを複雑に設定していても、そのパスワード自体が漏洩してしまっている場合は当然不正アクセスを許してしまいます。

パスワードが漏洩してしまう原因としては、そのほとんどが人的ミスです。
誤送信や共有設定のミス、廃棄書類から入手など、わずかなミスが大きな被害を生む可能性がありますので、ダブルチェックをするなど可能な限りミスを減らす対策をしておきましょう。

脆弱性を突かれた

OSやソフトウェアの脆弱性を利用して、不正にアクセスを行う方法です。

よくある例として初めに『バックドア』と呼ばれる不正な入口を仕込んでおき、個人情報を盗む際にはそのバッグドアを使って侵入する手口があります。
いわば正面玄関は施錠されているけど勝手口の鍵が開いている状態です。

OSやソフトウェアのバージョンを最新バージョンにアップデートしておくことで脆弱性の利用を回避できますので、新しいバージョンがリリースされたら速やかに対応しておきましょう。

なぜ不正アクセスの標的にされるのか?

次になぜ不正アクセスの標的になってしまうのか、その理由を解説していきます。

対象への怨恨、嫌がらせ

個人的に恨みがある、競合他社からの嫌がらせなど、最初から対象への攻撃を目的としているケースです。
最悪の場合、内部の人間による犯行の可能性も想定されます。

メリットよりデメリットの方が大きい」「攻撃者の特定が可能である」ことを示しておくことで内部の犯行を抑制できますが、最終的には信頼関係に依るので難しいところですね。

もちろん『不正アクセスの原因』の項目で挙げた内容の対策は忘れずに実施しましょう。

不正アクセスできる隙が見つかった

対して不正アクセスできそうな対象を無作為に探していって、たまたまその隙が見つかったパターンも存在します。
不正アクセス被害の大半はこのケースと思われます。

こちらも前項で触れた内容をあらかじめ対策しておく他、自発的に脆弱性に関する情報を収集しておくことも有効です。

例えば『JPCERT/CC』のように情報セキュリティに関する情報を発信している団体もありますので、ぜひ参考にしてみてください。

あとがき

筆者自身もかつて不正アクセスによるセキュリティ事故を経験しました。
中でも特にきつかったのがクレーム対応で、かなり厳しい言葉をぶつけられたこともあります。

当然悪いのは事故を起こしてしてしまった側ですし、ユーザーが怒るのも無理はない話なのですが、だんだん心が疲弊していくんですよね。
今まさにその渦中にいる方々は、非常に大変な思いをされていると思いますが、ぜひ心を強く持ってほしいです。

それではまた次回お会いしましょう。

関連記事

情報の正しい取り方を解説!変な情報に惑わされないために注意すべきことは? すぐにできるおすすめセキュリティ対策(IoT機器編) あなたのゲーム機もご用心!サイバー攻撃の標的にされるゲーム機の脆弱性と対策を解説します 荷物の不在通知を騙る詐欺メールにご注意!手口と対策を解説します

返信を残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA