ネットワークを介した不正アクセスや侵入は、情報の流出、漏えいや事業停止に繋がり得ます。企業存続上の大きなリスクであり、セキュリティ対策が必要です。多様化するサイバー攻撃に対し、情報セキュリティを確保するには、様々な対策を組み合わせて隙の無い備えが求められます。

これらの不正アクセスなどのサイバー攻撃にもトレンドが存在しています。トレンドの攻撃は対象ターゲットや回数を増やして行われるため、対応を余儀なくされます。セキュリティ担当者の頭を悩ませるポイントでもあるでしょう。

不正アクセス、侵入については、させないことが理想ですが、未知の脆弱性などを防ぐことは非常に困難です。このため、不正アクセス、侵入などはされる可能性があり、全ての情報資産へのアクセスは疑ってかかるというゼロトラストの考え方が一般的に普及しつつあります。

本記事では、不正アクセスや侵入の現状、トレンドについて解説し、対策となるツールやツールの選定基準を紹介します。不正アクセス対策を課題とするセキュリティ担当者の参考となれば幸いです。

不正アクセスの現状

不正アクセスの発生状況について、官公庁のデータを中心に確認を行います。

最近の統計と事例紹介

警察庁の「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、令和4年度の不正アクセスの認知件数は2,200件で前年比45.1%増でした。令和元年、二年の2,960件、2,806件の数値には及ばないものの、落ち着いたとは言えない状況を示しています。不正アクセスの内容としては、約50%がネットバンキングを利用した不正送金等、次いで約10%がネットショッピングでの不正購入でした。

およそ50%もの比率を占めたネットバンキングに関連し、情報が略取された事例が総務省の「国民のためのサイバーセキュリティサイト」に掲載されています。その手口はマルウェアに感染し、マルウェアが表示したポップアップに対してネットバンキングの利用情報を入力させるものでした。フィッシングとはまた別の手口のため、ネットバンキングについては多要素認証など厳重な注意が必要といえます。

企業における影響とリスク

不正なアクセスは、企業や組織にとって事業継続上の大きなリスクとなります。不正なアクセスからマルウェアやランサムウェアへの感染、外部へ情報を持ち出す通信を行う、業務上重要なシステムの書き換えを行うなどの攻撃につながるためです。

これらの攻撃を受けた場合、個人情報などの情報漏洩、流出につながる恐れがあります。もし情報漏洩、流出が発生してしまった場合には、顧客の信頼を大きく失い、謝罪や賠償に多大なコストがかかることが想定されます。また、システムの書き換えやランサムウェアによるデータの暗号化などは企業にとって生命線である業務の停止につながる問題です。

不正アクセスの最新トレンド

不正アクセスなどのサイバー攻撃においては、新たな脆弱性の発見や手口の出現などのトレンドが存在します。近年の状況を確認しておきましょう。

サイバーセキュリティの変遷

サイバー攻撃に対するサイバーセキュリティでは、常に新たな攻撃方法を探すサイバー犯罪者とセキュリティベンダーやセキュリティ担当者のいたちごっこが続いています。あらゆるソフトウェアで脆弱性が探され、人の心理の隙を突いた新たな手口も次々登場しています。

近年では、PCなどの端末（エンドポイント）へ侵入してくる攻撃全てを防ぐことは難しく、侵入やアクセスはあるということを前提としたゼロトラストというセキュリティの考え方が浸透してきています。未知の脆弱性を突いたゼロデイ攻撃などの可能性を考慮し、侵入後のマルウェアの動作、外部との通信などを検知することで被害の拡大を防ぐものです。

新たに登場している攻撃手法や狙われやすい部分

2023年時点の不正アクセス、サイバー攻撃で狙われやすいポイントには下記が挙げられます。

• なりすましフィッシング
  フィッシングの入り口となるリンクを張ったメールを、実在の企業や団体に成りすまして送付するなりすましフィッシングが増加しています。メールの送信元を偽装し、文面やHTMLメールの内容も非常に本物らしく作られていることが特徴です。
• 攻撃メールの巧妙化
  ソーシャルエンジニアリングなどを用いて、ターゲットを特定したメールの送付を行う攻撃も、ユーザーの心理の隙を突いた攻撃として脅威となっています。業務上で取引のある相手に成りすます、日常で利用しているサービスの名前を騙るといった方法でメールの受信者を安心させ、マルウェア感染やフィッシングサイトに誘導するケースが増加中です。
• 新種のマルウェアの登場
  マルウェアは新たな種類が次々と生み出されています。まったくの新種もあれば、Emotetなどの過去に流行したマルウェアの亜種が確認されるなど、対策をする傍からそれをすり抜けていきます。アンチウイルスソフトなどでは、新種のマルウェアを確認してパターンファイルに登録するまでの間はそのマルウェアを検知することができない（ゼロデイ）ため、感染後の通信から検知できるセキュリティ対策の重要性が増しているのです。

グローバルな規模でのトレンドと日本国内での特徴

グローバルな視点でサイバー攻撃のトレンドをみると、アメリカの企業を中心に攻撃を受けており、全世界での攻撃の46%が集中しているようです。主な攻撃方法として増えているのが、フィッシングとランサムウェアで、それぞれ前年比48%、41%の増加となっています。

引用：CompTIA「Top 50 Cybersecurity Statistics, Figures and Facts」

国内企業に対する攻撃のトレンドとして、セキュリティ対策が弱い海外拠点経由での攻撃が増加傾向にあります。また、外部に向けて公開されているWebサイトはターゲットとなりやすく、報告されている脆弱性の7割がWebサイトに関連するという情報もあります。

不正アクセス検知ツールの基本

ゼロトラストに基づいたセキュリティ対策として、重要な役割を担うのがIDSやIPSなどの不正アクセス検知ツールです。概要やメリットについて紹介します。

IDS・IPSとは

IDS、IPSは企業や組織のネットワーク内の通信を監視し、不正なアクセス、侵入を見つけた場合には、管理者への通知やネットワークの遮断を行うセキュリティ対策です。IDSは不正アクセスを検知し、通知までを行うため、担当者による柔軟な対処が可能です。IPSは不正アクセスの検知をすると、即時にネットワークの遮断を行う機能を持ちます。

IDSやIPSには、不正アクセスの検知方法や導入形態などに複数の種類が存在しています。下記の記事で詳しく説明しています。

⇒セキュリティ対策IDSとIPSとは？機能と役割、2つの違いについて解説

検知ツールの役割とメリット

IDS、IPSはネットワーク内の通信を監視します。この通信の内容が不正アクセスやマルウェアによるものと判断された際に、通知やネットワークを遮断します。不正アクセスや侵入などを検知した段階で、即時に対処を行い被害の拡大を未然に防ぐ役割を果たします。

不正アクセスによるマルウェアの感染が起きても、即時に対処することで被害を最小限に食い止めることが可能です。例えば、情報流出、漏えいではデータを抽出するのに時間がかかるため、すぐに検知・対処すれば、実害は少なくて済みます。

ファイアウォールも不正なアクセスを検知してアクセスを遮断するセキュリティ対策ですが、主に通信の宛先や送信元のチェックを行うため、通信の内容チェックを行うIDS、IPSとは補完関係にあります。

主要な機能とその活用方法

IDS、IPSの主な機能には下記が挙げられます。

• リアルタイム監視
  通信が行われている時点で監視を行い、即座に検知する機能です。
• 挙動解析
  通信の中身を確認し、どのような通信が行われているか挙動を解析することで、検知の信頼性向上などに役立てます。
• 脅威インテリジェンス
  脅威インテリジェンスとは攻撃に対するトレンドなどをサイバーセキュリティの専門家が分析し、企業や組織のセキュリティ対策に対する最適なアドバイスのことです。この脅威インテリジェンスに基づき、IDS、IPSの不正アクセス検知に役立てる連携などを行う機能です。

おすすめIDS/IPS（不正アクセス検知・防御）ツール・サービス4選

おすすめのIDS/IPSとして、4つの製品を紹介します。

AEGIS（イージス）

AEGIS（イージス）は株式会社ROCKETWORKSの提供するクラウドタイプのIPS／WAFです。不正なアクセスの検知および遮断とWebアプリケーションの保護を行います。AIエンジンを搭載したWAFは常に進化するサイバー攻撃に対処することが可能です。

公式ページには利用者の声として「10年先を見据えたサイバーセキュリティ技術者集団ロケットワークスさんとなら安心して歩んでいける。」「正確な現状把握と確実な対策指南。セキュリティエンジニアの満足度の高いセキュリティサービスです。」などが掲載されています。

サーバーセキュリティタイプとDDoSセキュリティタイプの2種類のサービスが提供されています。サーバーセキュリティタイプは3つのIPアドレスで月額100,000円から、導入は対象サーバーにエージェントをインストールする形式です。DDoSセキュリティタイプは3FQDN（絶対ドメイン名）ピーク時トラフィック5Mbpsで月額58,000円から、導入はDNS設定の変更のみとなります。

L2Blocker

L2Blockerは総合的な情報漏えい対策を行う「未登録PC&モバイル端末 不正アクセス検知・遮断システム」です。株式会社ソフトクリエイトによって提供されています。

主な機能として、未登録のPCやモバイル端末の接続検知と遮断、外部からの不正アクセスの検知と遮断などがあります。設定によりIDS、IPSを切り替えることが可能です。標的型攻撃の検出、排除機能なども備えます。

公式ページの利用者の声として、「L2Blocker導入で不正PCの無断接続を完全排除し、セキュリティレベルの大幅向上を実現できた」「高校GIGAスクールに向け教育現場に負担をかけないセキュリティ運用を実現できた」などが掲載されています。

オンプレミス版とクラウド版が提供されており、オンプレミス版は公式サイトに掲載している構成例で希望小売価格1,165,000円、年間保守費用が8～12%です。クラウド版は公式サイトに掲載している構成例で月額41,000円となっています。不正なアクセス接続を検知するセンサーが必要で、構成により台数は変わります。

DDH BOX

DDH BOXはデジタルデータソリューション株式会社のデジタルデータハッキングサービスのうち、不正通信を検知してネットワーク遮断を行うハードウェア製品です。一般的にいうIPSの機能を持っており、マルウェアに感染した場合の「出口対策」を実現します。

マルウェアと通信するC2サーバとの不正通信を検知し、即時遮断することが主な機能です。ランサムウェア攻撃の場合も遮断を行うということも特徴といえます。

利用者の声として、「セキュリティマネジメントの運用が楽になった」「サプライチェーンを構成する企業として外部への情報流出のリスク対策を胸を張って説明できる」「安価で高機能、通信速度への影響も問題なし」「導入コスト、運用コストが抑えられるため、情シスのいない中小企業でも活用しやすい」などが公式サイトに掲載されています。

INTELLILINK IDS/IPSセキュリティ監視・運用サービス

INTELLILINK IDS/IPSセキュリティ監視・運用サービスはNTTデータ先端技術株式会社によるIDS/IPSのヒアリング、構築から監視・運用までを提供するサービスです。McAfee Network Security Platform（企業名変更により、現Trellix社Network Security Platform）を採用したIDS/IPSで、専用の機器とソフトウェアにより構成されます。

IDS/IPSの切り替えができ、不正アクセスの検出においてはシグネチャ型とアノマリ型の両方を実現しています。

価格については要問い合わせとなります。

ツールの選定と導入のポイント

不正アクセスの検知、防止ツール導入においてのポイントを紹介します。

製品の形態

クラウド、ネットワーク、ホストの各形式が存在しており、導入にかかる手間や構成、コストなどが変わってきます。ツール選定上の大きな基準となります。

異常の検出方法

不正の検出方式には、シグネチャ型とアノマリ型の2種類が存在しています。それぞれメリット・デメリットがあるため、注意が必要です。

コスト

セキュリティの確保は事業上の重要な課題ですが、メリットと釣り合うコストであるかは確認しておきたいところです。

サポート

不正アクセスの検知や遮断において問題が発生した場合には、影響が大きく即時に対応が必要なケースが想定されます。サポートの手厚さも１つの選択基準となります。

製品のスペック

製品により提供する機能や性能には差異があります。自社のセキュリティに求めるスペックと照らし合わせて選択しましょう。

最新ツールの活用例

本記事内で紹介した製品の中から、実際の企業での導入事例・成功事例を紹介します。

L2Blockerによるネットワークの可視化で脅威を見える化、被害を深刻化前に対処

カスタムホイールなど自動車部品を扱う株式会社ウェッズは、標的型攻撃やランサムウェア攻撃に対するセキュリティ対策の強化を課題としていました。総合的なセキュリティ対策を見直し、L2Blockerとトレンドマイクロ社（当時）の「Deep Discovery Inspector」を組み合わせてセキュリティ強化を実現しました。不正アクセスに対し、「攻撃に気づき、被害を最小化する」ため検知と遮断を行う仕組みを構築し、脅威を可視化することでセキュリティ対応に対する作業時間の削減にもつながったとしています。詳しくは、こちらを参照ください。

今後のセキュリティ対策の展望

ネットワークを活用し、その利便性を享受するためには、サイバー攻撃との戦いは今後も続けなければなりません。攻撃側も、セキュリティ対策技術の進化に伴い、新たな脆弱性や攻撃手法を探すことが想定されます。企業や組織のセキュリティ担当者が今後備えるべきポイントを紹介します。

ゼロトラストへの備え

情報セキュリティに関する考え方の大きな変化が「ゼロトラスト」が標準となってきていることでしょう。

従来のセキュリティでは境界において侵入を防ぐことに重きを置いていました。しかし、サイバー攻撃は進化を続け、近年では攻撃の種類や巧妙さも増していて100％侵入を防ぐことは不可能という考えが一般的です。例えば、いわゆるゼロデイ攻撃においては、脆弱性が含まれるプログラムの作成者でさえもその可能性に気づいていないためです。

ゼロトラストは、境界で侵入を防いでいるという希望的観測は捨て、侵入されているかもしれないとして全てのアクセスを信頼しないという考え方です。サイバー攻撃をブロックする仕組みだけではなく、IDSやIPSなどの不正アクセスなどによりネットワークに侵入された後の対策を重要視しています。

しかし、ゼロトラストに沿ったセキュリティ対策を以てしても防ぐことができない情報漏洩があります。セキュリティ担当者が見落としがちな「他社」が原因による「自社」の情報漏洩…。100％防ぐことは不可能ですが、情報漏洩した際にすぐに発見し、迅速な対策を打てば、漏洩によるリスクを最小化することはできます。SMSデータテックが提供するダークウェブの脅威から会社を守る情報漏洩監視ツール「ダークウェブアイ」は、ダークウェブ上の企業情報の漏洩状況を一元管理することができます。IDS・IPSなどのセキュリティ対策はやりきったがダークウェブ対策はまだ行っていない、他の企業よりも高いセキュリティレベルを保持したいセキュリティ担当者様は、ぜひこちらから製品詳細をご覧ください。

⇒ゼロトラストとは？実現するポイントやゼロトラストが広まった背景も解説！

トレンドの見極め

サイバー攻撃、セキュリティに関する技術の進歩は非常に早く、変化も激しく大きいものです。セキュリティ確保を任された責任者にとっては、現状を見極めて対処し続けることが求められます。

しかしながら、サイバー攻撃とセキュリティに関する情報を全て集めて整理するには非常に多くの時間が必要となります。セキュリティサービスを扱う企業などの作成した資料を参照することで効率的な情報収集を行うことも大切です。

まとめ

サイバー攻撃はとどまることを知らず、今日も企業や組織の事業継続上の大きなリスクとして存在し続けています。新たな手口や脆弱性を突いた攻撃を見出してくるため、継続的にセキュリティの見直しが必要です。また、様々な方面を狙ってくることから、一つのセキュリティ対策だけでなく、複数を組み合わせて総合的な対策の検討を行うことが重要です。

不正アクセスを検知し、通知や通信の遮断などを行うためのセキュリティツールとしてIDS/IPSがあります。ネットワークへの不正なアクセス、マルウェアの通信などを検知し、通知や遮断を行うセキュリティ対策です。もし不正なアクセスやマルウェア感染があったとしても、その後の被害拡大を防ぐ上で有効な対策です。

不正アクセスや侵入はあるかもしれない、という観点からセキュリティ対策を行う考え方がゼロトラストです。境界型のセキュリティには限界があり、総合的で現実的なセキュリティ対策として今後も普及が進むでしょう。IDS/IPSもゼロトラストの考え方と照合する対策といえます。

また、不正アクセス検知ツールだけでなく、その他の様々なセキュリティ対策と併用することも重要です。その他のセキュリティ対策についてもっと知りたい方は、ぜひセキュリティ大全資料をご覧ください。セキュリティの基本から最新の脅威動向、セキュリティ対策まで、セキュリティに関する情報が1冊に詰まった資料となっております。

株式会社SMSデータテックは、ダークウェブアイをはじめとした様々なセキュリティサービスを提供しております。不正アクセス検知以外にもセキュリティ対策をお考えの方は、下記のボタンよりお気軽にご相談ください。