「社内サーバーに見覚えのないIPアドレスからのアクセスがある」「クラウドサービスのログイン履歴に身に覚えのない記録が残っていた」——こうした状況に直面したとき、「これは不正アクセスなのか?どう対応すればいい?」と判断に迷う情シス担当者は少なくありません。
不正アクセスは、日本では法律で明確に禁止されているにもかかわらず、被害の実感が湧きにくく、対策の優先度が後回しにされがちなリスクの一つです。
この記事では、不正アクセスの正確な定義から、攻撃者が実際に使う主な手口、そして中小企業の情シスが追加コストをかけずに今日から取り組める具体的な対策まで、現場で使えるレベルで解説します。
不正アクセスとは?
不正アクセスとは、本来アクセス権限を持たない者が、コンピュータやネットワーク上のシステムに許可なく侵入する行為の総称です。
日本では「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法、1999年制定)」によって、不正アクセス行為が明確に定義・禁止されています。同法では、アクセス制御機能を持つシステムに対して、正規の識別符号(ID・パスワード)を使わずに侵入する行為、または不正な方法で入手した識別符号を使ってアクセスする行為を「不正アクセス行為」と定義しています。法的な詳細については、法律の専門家にご確認ください。
主な禁止行為と罰則:
・不正アクセス行為そのもの: 3年以下の懲役または100万円以下の罰金
・不正アクセスのための識別符号の取得・保管(フィッシングで盗んだパスワードを保存するなど): 1年以下の懲役または50万円以下の罰金
・不正アクセスを助長する行為(他人のID・パスワードを第三者に提供するなど): 1年以下の懲役または50万円以下の罰金
不正アクセスが特に怖いのは、侵入した攻撃者がすぐに行動を起こすとは限らない点です。侵入後にしばらく静かに潜伏し、社内ネットワークを調べながら権限の高いアカウントを探し、機密情報を収集した後で一気に行動に出るケースが増えています。「侵入されたこと自体に気づかない」という状況が最も危険です。
不正アクセスの主な手口(敵を知る)
1. 認証情報の窃取・悪用
最も件数が多い侵入経路です。正規ユーザーのID・パスワードを何らかの方法で入手し、正規ログインに見せかけて侵入します。
・フィッシング: 偽のログイン画面や偽サイトに誘導し、入力させた認証情報を盗む。メール・SMSのほか、SNSを使った誘導も増えている
・パスワードリスト攻撃: 別のサービスから漏洩したID・パスワードの組み合わせを使って、他のサービスへのログインを自動的に試みる。パスワードを使い回しているユーザーが標的になる
・ブルートフォース攻撃: パスワードを総当たりで試す。短い・単純なパスワード、「admin/admin」などのデフォルト設定が特に狙われる
2. ソフトウェアの脆弱性を突く
正規のIDがなくても、システムのソフトウェアに存在するバグや設計ミス(脆弱性)を悪用すれば侵入できます。
・未パッチの脆弱性悪用: OSやWebアプリ・ミドルウェアに既知の脆弱性が放置されていると、公開されているツールを使って比較的容易に侵入される。ファイアウォール越しでもWebサービス経由で侵入できることがある
・SQLインジェクション: WebアプリのDB操作に不正なSQL文を混入させ、認証回避やデータ窃取を行う。ログイン画面で特定の文字列を入力するだけで管理者権限でログインできてしまうケースが典型例
・設定ミスの悪用: デフォルトパスワードが変更されていないルーター・カメラ、誰でもアクセスできる設定ファイル、必要以上に開いているポートなど、設定の甘さを突かれるケースも後を絶たない
3. 内部からの不正アクセス
外部からの侵入だけが不正アクセスではありません。
・退職者アカウントの悪用: アカウントが無効化されないまま残っていると、退職後も元従業員がアクセスできる状態が続く。悪意がなくても「アクセスできてしまった」というケースも法律上は問われることがある
・現職者による権限外アクセス: 業務上アクセス権限のないシステムやファイルへ意図的にアクセスする行為も不正アクセス禁止法の対象になりえる
具体的な防御手順
1. 認証を強化する(MFA・パスワードポリシー)
認証情報の窃取・悪用に対する最も即効性の高い対策が多要素認証(MFA: Multi-Factor Authentication)の導入です。パスワードに加えてスマートフォンアプリのワンタイムパスワードや生体認証を組み合わせることで、パスワードが漏洩してもログインを防げます。
Microsoft 365・Google Workspace・AWSなど主要なクラウドサービスではMFAを無料で利用できます。費用をかけずに今すぐ始められる最優先の対策です。
パスワードポリシーも同時に整備しましょう。
・パスワードの使い回し禁止: サービスごとに個別のパスワードを設定する。パスワードマネージャー(Bitwarden・1Passwordなど)の活用を社内で推奨する
・長く複雑なパスワード: 12文字以上で英数字・記号を組み合わせる
・定期変更より漏洩チェックを優先: 「3か月ごとの強制変更」よりも、パスワード漏洩が判明した時点での即時変更を運用ルールとするほうが実態に合っている
2. 攻撃面を減らす(不要サービスの停止・パッチ適用)
外部からアクセスできる窓口が少ないほど、攻撃者が侵入できる経路は減ります。Linuxサーバーで不要なサービスが動いていないか定期的に確認しましょう。
# 現在リスニング中のポートを確認(外部からアクセスされる可能性のある口を把握する) ss -tlnp # 不要なサービスを停止して自動起動も無効化 sudo systemctl stop <サービス名> sudo systemctl disable <サービス名> # firewalldで開いているサービスを確認・不要なものを削除 sudo firewall-cmd --list-all sudo firewall-cmd --permanent --remove-service=<サービス名> sudo firewall-cmd --reload
定期的なパッチ適用もセットで実施します。OSおよびミドルウェアを最新の状態に保つことが、既知の脆弱性を突いた侵入の防止につながります。
3. ログを取って不審なアクセスを検知する
不正アクセスは「防ぐ」だけでなく「検知する」仕組みも必要です。Linuxサーバーの場合、以下のコマンドで認証ログや接続履歴をすぐに確認できます。
# SSH認証失敗ログを確認(短時間に大量のFailedがあれば攻撃の疑いあり) sudo journalctl -u sshd | grep "Failed password" | tail -20 # ログイン成功記録を確認(見知らぬIPやありえない時間帯のログインをチェック) last | head -20 # fail2banのステータス確認(ブルートフォース対策が稼働しているか確認) sudo fail2ban-client status sshd
Webサーバーのアクセスログやクラウドサービスのサインインログも定期的に確認しましょう。見知らぬIPアドレス・業務時間外のアクセス・短時間での大量アクセス試行は不審サインの代表例です。
中小企業でも今日からできること
「セキュリティ専任がいない」「予算が限られている」という環境でも、以下の対策は追加コストをほぼかけずに実施できます。
・クラウドサービスのMFAを全員に設定する: Microsoft 365・Google Workspace・AWSなど普段使いのサービスのMFAをまず全員に設定する。これだけでパスワード漏洩による不正ログインのリスクを大幅に減らせる
・退職者アカウントを退職当日に無効化するルールを作る: 「来月まとめて処理する」は禁物。退職日当日に無効化する手順を人事・IT担当間で取り決め、確実に実行する
・LinuxサーバーのSSHにfail2banを導入する: 短時間に一定回数ログインに失敗したIPを自動ブロックするfail2banを入れるだけで、ブルートフォースとパスワードリスト攻撃の大半を抑制できる
・SSHのrootログインを禁止する: sshd_configで PermitRootLogin no を設定し、パスワード認証も無効化して鍵認証に一本化する。設定変更だけでリスクが大幅に下がる
・ネットワーク機器のデフォルトパスワードを変更する: ルーター・NAS・監視カメラ・プリンターなどのデフォルトパスワードは公開情報であり、攻撃者が最初に試す。購入直後に必ず変更する
よくある誤解と注意点
【誤解1】「うちは小さな会社だから標的にならない」
むしろ逆です。中小企業は「大企業ほどセキュリティが固くない」という理由で狙われやすい標的です。特に大企業の取引先である中小企業は、サプライチェーン攻撃の入口として意図的に選ばれるケースが増えています。「規模が小さいから大丈夫」という油断が最大のリスクになります。
【誤解2】「パスワードを強くすれば不正アクセスは防げる」
パスワードの強化は重要ですが、それだけでは不十分です。フィッシングで盗まれたパスワードは強度に関係なく悪用されますし、脆弱性を突いた侵入はパスワードの強さとは無関係に発生します。MFAの導入・パッチ適用・ログ監視を組み合わせた多層防御が必要です。
【誤解3】「不正アクセスは外部の攻撃者だけがするもの」
退職者の残存アカウントを利用したアクセスや、現職の従業員が自分の権限の範囲を超えてシステムにアクセスする行為も、法律上の不正アクセスに該当しえます。外部対策だけでなく、内部のID管理・権限管理・アクセスログの確認を組み合わせることが重要です。
本記事のまとめ
| 項目 | 内容 |
|---|---|
| 定義 | アクセス権限を持たない者がシステムに許可なく侵入する行為。不正アクセス禁止法で明確に禁止・刑事罰の対象 |
| 主な手口 | フィッシング・パスワードリスト攻撃・ブルートフォース・脆弱性悪用・設定ミスの悪用・内部不正 |
| 優先対策① | MFAの導入(パスワード漏洩時でも不正ログインを防ぐ最終防衛ライン) |
| 優先対策② | fail2banとSSH鍵認証化(サーバーへのブルートフォース・リスト攻撃を自動ブロック) |
| 優先対策③ | 定期パッチ適用と不要ポート・サービスの停止(攻撃面の最小化) |
| 見落とし対策 | 退職者アカウントの即日無効化・デフォルトパスワードの変更・ログ監視の習慣化 |
・不正アクセスの定義: アクセス権限を持たない者がシステムに許可なく侵入する行為。不正アクセス禁止法で禁止され、3年以下の懲役または100万円以下の罰金の対象
・主な手口: 認証情報の窃取(フィッシング・パスワードリスト攻撃・ブルートフォース)、脆弱性の悪用、設定ミスの悪用、内部不正の4パターン
・核心的な対策: MFAの即時導入・パスワードポリシーの整備・定期パッチ適用・不要サービスの停止・ログ監視
・今日からできること: クラウドサービスへのMFA有効化・退職者アカウントの即日無効化ルール策定・SSHのrootログイン禁止とfail2ban導入
LinuxサーバーへのSSH不正アクセス対策の詳細(鍵認証の設定・fail2banの具体的な設定手順)については、姉妹サイトLinuxMaster.JPでも実践的なガイドを公開しています。サーバー管理の観点からセキュリティを深めたい方はあわせてご覧ください。
不正アクセス対策、どこから手をつければいいか迷っていませんか?
MFA・fail2ban・ログ監視——やることはわかっていても、優先順位と実施方法に悩む情シス担当者は多くいます。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
