セキュリティ 事例

 

個人情報流出、Web改ざん。企業サイトを狙った不正アクセスの事例と対策をご紹介

個人情報流出、Web改ざん。企業サイトを狙った不正アクセスの事例と対策を紹介

テレワークの普及でサイバー攻撃の件数は急増しており、セキュリティ強化の必要性が高まっています。サイバー攻撃の中でも特に注目したいのが企業のWebサイトを狙った不正アクセスです。

本記事では、Webサイトを対象とした不正アクセスの事例と有効な対策についてご紹介します。

不正アクセスが増加中!企業のWebサイトを狙ったサイバー攻撃

新型コロナウイルスへの対応として、テレワークを導入する企業が増えています。そんな中、テレワークの脆弱性をついたサイバー攻撃が増加し、大きな被害を及ぼしています。

サイバー攻撃の中でも特に注目したいのが企業のWebサイトを狙った不正アクセスです。

Webサイトが不正アクセスされても大した問題にはならないのではと思われている方もいらっしゃるかと思います。しかし、Webサイトが攻撃されると、個人情報漏えい、コンテンツの改ざんによるマルウェア感染や詐欺サイトへの誘導、Webサイトの停止といった被害を受けてしまう可能性があり非常に危険です。

また、社会的信用の低下や損害賠償・事後対応によるサービスの長期停止や売上低下などの損失を誘引し、最悪の場合は倒産といった深刻な被害に発展してしまう可能性もあります。

総務省が公開した「令和2年における不正アクセス禁止法違反事件の認知・検挙状況等について」によると、2019年の不正アクセス行為の認知件数は2,960件にものぼり、前年の1,486件と比較すると倍近く増加していることがわかります。また、2020年は2,806件もの不正アクセスが認知されているため、依然として注意が必要です。

被害に遭わないためにも、攻撃者がWebサイトのどのような脆弱性をついて侵入してくるのかを知っておく必要があります。

次章では、Webサイトへの不正アクセス事例についてご紹介します。

Webサイトへの不正アクセス被害事例

Webサイトの不正アクセスはどのようにして行われるのでしょうか。ここでは、Webサイトの脆弱性をついた不正アクセスの被害事例についてご紹介します。

異常なアクセスによる攻撃被害事例

ある企業では公式のオンラインショップが不正アクセスを受け、約24万人分もの氏名や電話番号、住所などの個人情報が流出するという事件がありました。

数日間にわたり継続的にWebサイトへの異常な件数のアクセスが検知されたことから、同社はセキュリティ強化の緊急的な措置を実施するも、多くの個人情報を流出させてしまう結果となりました。

不正アクセスによるアプリケーション改ざん事例

通信販売を手掛ける某企業では、オンラインショップが不正アクセスを受け、顧客のアカウント情報やクレジットカード情報が流出し、一部が不正利用された事件が発生しました。

この事件は、システムの脆弱性をついた不正アクセスにより、決済アプリケーションが改ざんされ、オンラインショップを利用した顧客の情報が盗まれました。さらに、盗まれた個人情報が悪用された可能性が高いとされています。

不正操作による不正プログラム設置事例

ドラッグストアチェーンを展開している某企業では、オンラインショップを狙った不正アクセス被害を受けました。

この企業では外部サービスを用いてオンラインショップを運営していましたが、同システムを利用する他企業で個人情報が流出した可能性があることがわかりました。この結果を受け同社が調査をしたところ、7,000件近くの個人情報が流出していることが明らかになりました。

原因は、オンラインショップ内での不正な注文操作によってWeb上で動作する不正なプログラムが設置されたことであるとされています。

不正アクセスによるアクセスユーザーのリダイレクト事例

介護事業を展開している某企業では、Webサイトへの不正アクセスによって全く関係のない別サイトへ飛ばされてしまう事象が発生しました。第三者機関による調査では、幸いにも個人情報の漏えいなどの被害は確認されませんでした。

このように、Webサイトへの不正アクセスは多くの企業へ被害をもたらしています。

次章では不正アクセスによる被害をなくすために取るべきセキュリティ対策についてご紹介します。

Webサイトへの不正アクセスによる被害を防ぐセキュリティ対策

Webサイトへの不正アクセスによる被害を防ぐためには、ここでご紹介する6つの対策が有効です。

ソフトウェアの更新

不正アクセスはアプリやOSの脆弱性をついたケースが多いことから、まずはソフトウェアの更新をおすすめします。

アプリやOSで脆弱性が発見された場合、提供者はその問題を解消するための修正プログラムを作成し、ソフトウェアの更新として修正プログラムを配布します。そのため、利用者はソフトウェアを更新し、常に最新の状態を保つことで不正アクセスのリスクを低減することが可能です。

多要素認証を導入する

多要素認証を導入することも有効な対策です。多要素認証は複数の要素を組み合わせた認証方式のことで、

  • 知識情報(パスワードやPINコード)
  • 所持情報(携帯電話やICカード)
  • 生体情報(指紋や静脈)

などの要素を組み合わせることで実現します。

多要素認証であれば一要素だけでは認証を突破できないため、もしパスワードが流出してしまった場合でも不正アクセスを防ぐことができます。

パスワード管理を徹底する

パスワード管理を徹底することも重要です。

複数の文字種(大文字、小文字、記号、英数字)や文字数など、入力規則を満たした文字列でなければパスワードを設定できないようにする仕組みや、有効期限を設定して一定期間を過ぎると更新が必要になる仕組み、同じ文字列を使いまわさない仕組みを導入するなどし、パスワード管理を徹底することが不正アクセスのリスク低減につながります。

アクセス権限を正しく設定

ファイルやディレクトリへのアクセス権限を設定することも不正アクセスへの有効な対策です。IDやパスワードなどの情報を収集しているファイルには、外部からのアクセスを禁止するなどの制限を設けることで情報漏えいを防ぐことができます。

機器構成の変更やソフトウェアのインストール制限

業務用の全ての機器やソフトウェアの安全性を確認した後に、一般社員によって脆弱性のある機器やソフトウェアへ変更されてしまわないよう、機器構成の変更やソフトウェアのインストールに制限を設けることが重要です。

ファイアウォールや侵入防止システム(IPS)などの導入

システムへの侵入を防止するためには、ファイアウォールや侵入防止システム(IPS)、WAFなどの導入が効果的です。ファイアウォールでは送信元や宛先を参照し、不正が疑われる通信を遮断することができ、WAF(Web Application Firewall)ではWebアプリケーションへの攻撃を検知・遮断することができます。

一方、不正と判断がつかない異常な量のアクセスによる攻撃には対応できません。そこで有効なのが、IPSによる通信内容の監視・検知です。これら2つのセキュリティシステムを導入することがシステムのセキュリティ強化には非常に重要です。

次章では、Webサイトのセキュリティをより強固なものとするセキュリティソリューションについてご紹介します。

システム導入でWebサイトを防御!DAIKO XTECHのセキュリティソリューション

Web攻撃、Webサイト改ざんなど、あらゆる脅威に対応するためのセキュリティソリューションとして、DAIKO XTECHの「cloudbric(クラウドブリック)」「WebARGUS(ウェブアルゴス)」をご紹介します。

あらゆる脅威からWebサイトを防御「cloudbric(クラウドブリック)」

cloudbricは、企業のWebサイトやWebアプリケーションなど、Webを基盤としたシステムを守るためのセキュリティ・プラットフォーム・サービスです。

ロジカル分析WAF、DDoS対策、脅威IP遮断、悪性Bot遮断といった機能を提供しているため、Web攻撃やサイト改ざんによる情報漏えいのリスクからWebサイトを防御する事が可能です。

Web改ざんの瞬間検知・瞬間復旧「WebARGUS(ウェブアルゴス)」

WebARGUSは、Webサイトの防御を突破されてしまった際に有効なセキュリティソリューションです。
Web改ざんの被害に遭遇してしまった際にも瞬時に検知・復旧ができるため、改ざんの被害を最小限に留めることができます。

DAIKO XTECHのセキュリティソリューションについての詳細は以下のリンクで確認できますので、ご興味をもたれた方は是非一度ご覧ください。


不正アクセスの脅威から企業を守るセキュリティソリューション

cloudbric WebARGUS


 

中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
DAIKO XTECHに入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
DAIKO XTECH株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ

    【マルウェア全防御は不可能】多層防御の弱点と新しいセキュリティ対策を解説

    セキュリティ対策において多層防御は巧妙化するサイバー攻撃への対策と…

  2. セキュリティ

    サイバーセキュリティ経営ガイドラインで押さえるべきポイント

    セキュリティ対策は、リスク回避だけでなく、企業の価値と信頼を守るた…

  3. セキュリティ

    【不正アクセス対策の新手法】脅威を検知しない?! OSプロテクト型セキュリティとは

    近年、巧妙化するマルウェアによる被害のニュースは後を絶えず、従来の…

  4. セキュリティ 事例

    最新動向をチェックしよう!サイバーセキュリティ2019年のトレンド

    PCやサーバー、スマホなどのIT機器を悪意のある攻撃から守るサイバ…

  5. 製造業の信頼を守る|情報セキュリティ監査とは?必要性から基準、資格まで徹底解説

    セキュリティ

    製造業の信頼を守る|情報セキュリティ監査とは?必要性から基準、資格まで徹底解説

    情報セキュリティ監査とは、組織が保有する情報資産を守るために正しく…

お役立ち資料一覧 生産管理部門様向けホワイトペーパー 製造原価管理入門書 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 製造業のDX推進ガイドブック 生産管理システムによる製造業の課題解決事例集 収益改善を図るための4つの具体的な施策と効率化に向けた改善ステップ 納期遵守を実現する仕組みとは 「購買・調達業務効率化」 完全ガイド~購買管理システムのベストプラクティス~ 購買管理部門様向けホワイトペーパー 購買管理のマネジメント力強化ガイドブック 購買・調達部門に贈る、コスト削減に効く3つのTIPS 購買管理システム導入による課題改善事例集 コスト削減のカギは 「集中購買」にあり! 購買管理システム導入による課題改善事例集 10分でわかるAppGuard:仕組み、セキュリティの「新概念」 セキュリティ担当者様向けホワイトペーパー サイバーセキュリティ基本まるごと解説入門 組織の情報セキュリティを強くするための対策のポイント エンドポイントセキュリティ更新時に知りたい基本の「き」 巧妙化し続けるサイバー攻撃&被害事例、セキュリティトラブルを防ぐ、最もシンプルな3つの対策 ランサムウェア対策は充分ですか?最低限知っておきたい知識と対策 「新型脅威への対処」「運用コスト削減」を両立する。セキュリティ防御構造の理想型とは? 経理業務を次のステージへ!DX導入で生まれ変わる財務会計 ペーパーレス化で給与明細書作成の負担を軽減 【導入事例付き】給与明細 / 年末調整の工数・コストを削減。i-Compassとは