![DDF:DIGITAL DATA FORENSICS[デジタルデータ フォレンジック]](/assets/images/ddf_head_logo.png){kind=logo}
![DDF:DIGITAL DATA FORENSICS[デジタルデータ フォレンジック]](/assets/images/ddf_icon_ddf@3x.png){kind=icon}
ハッキング・不正アクセスとは
他人のID・パスワードを盗み、
サイトやサーバーに
不正侵入する違法行為です。
日本国内で観測された
サイバー攻撃数約6,197億 件
これは2023年のNICT NICTER 観測レポートによるデータで、1日あたり約17億件もの攻撃が行われていたことになります。さらに、平成29年度の警察庁発表による「上半期におけるサイバー空間をめぐる脅威の情勢等について」のデータでは、サイバー犯罪の相談件数だけで7万件。同年の不正アクセス行為の認知件数だけで1202件という状況です。サイバー攻撃は決して珍しい犯罪ではなく、今この瞬間も企業の秘密情報、顧客情報や大切な個人情報が狙われているかもしれません。盗まれて困るようなデータはないから関係ないと対策をしないでいると甚大な被害に発展する可能性もあります。
0120-900-952
ハッキング・不正アクセスとは
ハッキング・不正アクセスとは
ハッキング・不正アクセスとは、一般的にアクセス権限のないサーバやシステムの内部に、不正侵入するという「違法行為」です。
攻撃の件数も年を追うごとに倍増しており、今では企業のみならず、一般ユーザーにも多くの被害が発生しています。ハッキング・不正アクセスの被害に遭うと、ありとあらゆる被害を受ける恐れがあり、企業活動にも大きな影響を与えかねません。
ハッキング・不正アクセスの手口
ハッキング・不正アクセスの手口
ハッキング・不正アクセスは一体、どのような手口によって行われるのでしょうか?
代表的なものとして、以下の4つが挙げられます。
不正ログイン
脆弱性を狙った攻撃
フィッシングサイト
マルウェア付き添付ファイル
不正ログイン
もっとも有名な不正ログインの方法としては、次の2つを挙げることが出来ます。
総当たり攻撃(ブルートフォースアタック)
総当たり攻撃とは「考えられるすべてのパターンをリストアップし、1文字ずつ組み合わせを変える」という、最も原始的かつ確実的な攻撃手法です。基本的にコンピュータによる反復処理で行われ、4桁の数字(0000~9999)の場合は、わずか数秒で侵入されてしまいます。6桁程度のパスワードでも、数日から数か月で解読されてしまいますが、8桁以上の英数字にもなると、解読には数十年単位を要するため、基本的に安全です。
パスワードリスト攻撃
パスワードリスト攻撃とは、何らかの方法で入手したIDとパスワードを用いて、他のサイトにログインを試みる攻撃です。これは脆弱なサイトから漏えいしたパスワードを不正利用したもので、ウェブ上に流出したリストを購入することでも入手可能と言われています。
脆弱性攻撃
これは、システムやウェブサイトにある脆弱性(セキュリティ・ホール)を標的とした攻撃で、代表例は次の2つです。
・脆弱性の修正が適用される前に攻撃する「ゼロデイ攻撃」
・データベースの脆弱性を悪用する「SQLインジェクション」
フィッシングサイト
これはメールやSMSに記載されたリンクをタップさせ、実在するサイトと酷似した偽サイトに誘導し、IDやパスワードなどを入力させる手法です。2020年に総務省が明らかにした「不正アクセスの手口」としては、フィッシング行為が最多となっており、スマートフォン世代の一般ユーザーの被害が多いことが特徴です。
マルウェア付き添付ファイル
これはスパムメールに添付されたマルウェアを展開させ、情報を抜き取るという手法です。たいていは、件名や本文に標的と関係性の深い人物や内容が書かれており、関係者の端末を「踏み台」にして送られてくることが多くあります。
ハッキング・不正アクセスによる主な被害
ハッキング・不正アクセスによる主な被害
ハッキング・不正アクセスによる主な被害事例としては、次の5つが挙げられます。
データ暗号化と身代金の要求
Webページの改ざん
システム障害・サーバーダウン
サイバー攻撃の踏み台に利用される(遠隔操作)
機密情報・顧客情報の漏えい
データ暗号化と身代金の要求
ハッキング・不正アクセスを受けた端末は、全てのデータを暗号化するマルウェア(通称:ランサムウェア)が送り込まれ、復号と引き換えに、身代金を要求されることがあります。
ランサムウェアに感染した場合は、直ちにインターネットから切断し、感染経路や被害状況の調査、ならびに暗号化されたデータの復号を行うことが適切な初動対応となります。初動対応を適切なステップで行えるかが企業の存続にかかわるといっても過言ではありません。
Webページの改ざん
Webページが改ざんされると、意図しない変更が勝手に行われてしまいます。改ざんの目的は、無意味ないたずらだけではなく、閲覧ユーザーにマルウェアを送り込むスクリプトを仕込んだり、有害なWebサイトに誘導させたりといった業務を妨害する行為も含まれます。
こうした行為は、刑法234条の2「電子計算機損壊等業務妨害罪」が適用され、有罪になれば5年以下の懲役か100万円以下の罰金、また民事訴訟も伴えばその限りではありません。
システム障害・サーバーダウン
ハッキング・不正アクセスでは、業務妨害に焦点を当てたサイバーテロも行われます。これは企業のサーバーを停止・破壊するという明確な意図があり、被害規模も大きくなる傾向があります。この際、企業は事業活動が停止するだけでなく、これまで築き上げた企業イメージにも大きな損害が生じてしまいます。
サイバー攻撃の踏み台に利用される(遠隔操作)
攻撃者は自らの所在を第三者に把握されないように、ハッキング・不正アクセスで乗っ取った個人、もしくは企業の端末を「踏み台」にして、迷惑メールの大量配信などのサイバー攻撃を行います。
踏み台にされた側にすると、被害者であると同時に「加害者」とみなされかねず、過去には誤認逮捕にまで発展したケースも少なからず存在します。
機密情報・顧客情報の漏えい
保管する顧客情報が大規模流出すると、企業は民事責任(損害賠償)を負ったり、社会的信用を失ったり、取引停止が相次いだりと、長期間にわたり多くの被害を被る恐れがあります。
また2022年には改正個人情報保護法が施行され、漏えい時は速やかに被害を行政委員会や本人に通知・報告することが原則義務化されました。つまり、被害を受けた企業は、具体的な情報漏えいの事実を確認したり、再発防止に向けた感染経路調査を行う必要があります。
0120-900-952
不正アクセス禁止法で処罰される行為は次の通りです
①不正アクセス行為
【罰則】 3年以下の懲役又は100万円以下の罰金
■なりすまし行為
コンピュータの正規の利用者になりすまし、不正入手した他人のID パスワードなどを無断で侵入する行為のことをいいます。
■脆弱性(セキュリティ・ホール)の攻撃や侵入
システム上の弱点(セキュリティ・ホール)を攻撃して、 コンピュータを利用可能にする行為のことをいいます。
代表的な攻撃手段としては次の2つがあります。
・マルウェアなど不正なプログラムを感染させる
・あらゆるパスワードを総当たりで入力する
②不正アクセスのほう助行為
【罰則】1年以下の懲役又は50万円以下の罰金
これは、他人のIDやパスワードを、電子掲示板やSNS、もしくはメールや口頭などで第三者に暴露する行為を指します。
③不正アクセスを要求する行為
【罰則】 1年以下の懲役又は50万円以下の罰金
これは、SMS経由の偽サイトやフィッシングメールなどを通して、個人情報やパスワードの入力を要求する行為が当てはまります。
実際のハッキング・
不正アクセスの事件
ウェブカメラが乗っ取られて、私生活が丸見えに!
インターネットを介したビデオ通話、防犯カメラ、見守りカメラ、さらにスマホに搭載されているカメラなど、いわゆるウェブカメラは、いまや生活の必需品となっています。実は、このウェブカメラがハッキングされて、知られたくない私生活を覗き見られるなどの被害も発生しています。ウェブカメラのハッキングは、カメラを内蔵している、あるいは接続しているパソコンをマルウェアで感染させる。OSやアプリケーションの脆弱性を悪用して不正にアクセスする。といった手口で行われ、隔操作されたり、部屋の中を覗き見られたり、あるいは録画されてSNSで拡散されたりなど、手のつけられない状況に発展するケースも報告されています。さて、ここでは、近年に起きた事件をいくつか見ていきます。
データ窃取用プログラムを仕掛け個人情報漏えい
大阪の大学で、学内の情報システムに不正アクセスがあり、最大で8万1107件の個人情報が漏えいした可能性があると発表されました。1人の教職員のIDとパスワードが流出し、それを使ってシステムにログインされ、データ窃取用のプログラムが仕掛けられたとしています。漏えいした情報は、ID(元教職員や元学生の場合は無効)と氏名、所属、大学発行のメールアドレス、学籍番号、入学年度の計6万9549件。さらに、漏えいした教職員59人のIDを利用し、学内グループウェアに不正ログインしており、教職員のメールに含まれていた学外関係者の氏名や電話番号、メールアドレス、住所、学歴、そして学内関係者の人事情報、給与情報(月額報酬料や社会保険料)など、1万1558件が漏えいした可能性があるとしています。
決済用サーバに不正アクセスし電子マネーを窃取
自営業の男(39)らは、平成29年1月、個人間の融資を仲介しているインターネット掲示板に、融資希望者に対して融資をする旨の虚偽の情報を書き込みました。そして応募者に本人確認審査と称して、携帯電話のキャリア決済に必要なID・パスワードを送信させた上、これを使用して携帯電話会社決済用サーバに不正アクセス。電子マネーをだまし取りました。この男らは、同年10月、不正アクセス禁止法違反(不正アクセス行為)で 逮捕されました。