こんにちは、サニーリスクマネジメントです。
今回のブログのテーマは「不正アクセス」。時折ニュースで企業や自治体における不正アクセスによる情報漏洩などが報道されますが、そもそもどのような行為が不正アクセスにあたるのでしょうか。直近の事例を交えながら紹介していきます。
日本において「不正アクセス」を定義しているのは、「不正アクセス行為の禁止等に関する法律」、いわゆる「不正アクセス禁止法」になります。同法では、不正アクセスについて①他者のIDやパスワードを悪用しその対象となるデバイスやサービスに入力すること(第二条第四項第一号)、②ネットワークやデバイスの脆弱性(セキュリティ・ホール)を攻撃すること(第二条第四項第二号及び第三号)と定義しています。
コンピュータやインターネットが広く普及しインフラ化している現代において、不正アクセスはどのような組織においても常に警戒しなければならない事項となっています。「①他者のIDやパスワードを悪用しその対象となるデバイスやサービスに入力すること」による被害を防ぐにはIDやパスワード外部に漏らさないことや推測されにくいパスワードを使用すること、デバイスやサービスごとに異なるパスワードを使用すること、定期的にパスワードを更新することなど様々な対策が考えられるかと思われますが、「②ネットワークやデバイスの脆弱性を攻撃すること」についてはサイバーインシデントに関して常に最新の情報を得ることやシステム及びネットワークの適切な保守運用など対策が限られ、また数年に一度デバイスを最新のものに総入れ替えするなど理想的な対策には費用面での課題も浮上します。
例えば不正アクセスの標的の一つとして自治体等の公共機関が挙げられますが、8月4日には、政府のサイバーセキュリティ戦略を担う「内閣サイバーセキュリティセンター(NISC)」が外部からの不正アクセスにより約5,000件のメールアドレスが漏洩した可能性を発表しました。この不正アクセスは「②ネットワークやデバイスの脆弱性を攻撃すること」であり、外国からサイバー攻撃を受けた可能性もあるとして原因調査が進められています。メールアドレスだけでなくメールの文面も流出した恐れはあるものの、4日時点で個人情報の悪用等の被害は確認されていないとのことです。このインシデントはNISCのシステムで使用している機器の脆弱性を突かれた形で発生したもので、海外の同様の機器を使用しているシステムにおいても同じような被害が確認されていました。現在はインシデント発生の原因と疑われる機器は安全性が確認されており、システムもすでに再稼働しています。この事例はNISCにおける個人情報の漏洩が疑われるインシデントとしては初の確認でした。
今回紹介した事例では政府を対象とした不正アクセスでしたが、外部からの不正アクセスは企業でも発生します。それも、大企業だけでなく中小企業が対象になったり町の小さな病院が対象となったりと、攻撃者によっては大規模なシステムを攻撃して混乱を招くのではなく、あえてセキュリティ対策が甘く攻撃しやすいと思われる小さなシステムを狙うこともあります。攻撃者の目線から見ると、脆弱性の多いシステムや適切な保守管理がなされてないシステムは格好の標的です。普段の業務から使用しているシステムであるからこそ、重大なセキュリティアップデートは必ず適用する、脆弱性が発表されたデバイスは交換するなどの最低限の取り組みだけでも重要になります。
Comments