不正アクセスとは？主な手口と被害リスク、効果的な対策を徹底解説

不正アクセス行為の禁止等に関する法律

インターネット上の不正アクセスを防止するため、「不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）」という法律が作られました。

総務省の「不正アクセス行為の禁止等に関する法律」でその詳細が公開されており、この法律は不正アクセス行為、不正アクセス行為に繋がる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止するというものです。

▼識別符号とは

情報機器やサービスにアクセスする際に使用するIDやパスワード等のこと。 この法律に違反した場合、「三年以下の懲役又は百万円以下の罰金」「一年以下の懲役又は五十万円以下の罰金」「三十万円以下の罰金」など、状況に応じて懲役もしくは罰金が発生します。

不正アクセス禁止法の詳細については以下の記事でも解説しています。

【関連記事】不正アクセス禁止法とは？該当する行為や罰則、実際の事例を紹介

不正アクセスが増加傾向にある理由

クラウドサービスやリモートワークの普及により、攻撃対象となるシステムが飛躍的に拡大しています。

従来は社内ネットワーク内で完結していた業務システムが、インターネット経由でアクセス可能になったことで攻撃者にとって格好の標的となりました。

攻撃ツールの入手が容易になり、技術的知識が乏しい者でも簡単に不正アクセスを実行できる環境が整っています。

ダークウェブでは攻撃用プログラムが安価で取引され、使い方を解説する動画まで出回っている状況です。また、AIの進化により攻撃の自動化や高度化も進んでいます。

フィッシングサイトの巧妙化やソーシャルエンジニアリングの手法も洗練され、一般ユーザーが見破ることは困難になりつつあります。

【関連記事】危険が伴うダークウェブとは？誕生した背景や利用するリスクを解説

パスワード管理の甘さ

簡単に推測できる単純なパスワードや複数サービスでの使い回しにより、攻撃者に容易な侵入を許してしまいます。

定期的な変更を怠ることで、長期間にわたり同一の認証情報が悪用される危険性も高まります。

例えば、「password」や「123456」といった安易な文字列、誕生日や社員番号など推測しやすい情報をパスワードに使用している企業も少なくありません。

これらの単純なパスワードの使い回しは、1つのサービスから漏洩した認証情報が、他のシステムへの侵入に悪用される連鎖被害を招きます。

脆弱性の放置

システムやソフトウェアの脆弱性を放置すると、攻撃者に侵入経路を提供することになります。

特に古いバージョンのOSやミドルウェアを使い続けている企業では、公開済みの攻撃手法で簡単に侵入されてしまうため、定期的なシステム更新が不可欠です。

脆弱性情報の収集体制が整っていない組織では、重要な更新プログラムの存在すら把握できていないケースも散見されます。

セキュリティ対策の不十分

ファイアウォールや侵入検知システムの未導入によって、組織の防御体制が極めて脆弱な状態に陥ります。単一の対策のみで攻撃を防ごうとする考えも避けるべきです。

多層防御の概念を理解せず、アンチウイルスソフトだけに依存している企業は、新種の攻撃に対して無防備となります。

従業員教育の不足

セキュリティ意識の低さから、フィッシングメールに騙されて認証情報を漏らしてしまう事案が後を絶ちません。定期的な研修や訓練が実施されず、最新の攻撃手法への理解が不足している状況です。

セキュリティポリシーが形骸化し、パスワードの付箋貼りや画面ロックの未実施など、基本的な対策すら徹底されていない職場環境も問題となっています。

パスワードを利用した不正アクセス

権限を持たない者が、パスワードを入手・推測して情報システムへアクセスする行為です。主な手口として、「ブルートフォースアタック」と「パスワードリスト攻撃」の2つが挙げられます。

システムの脆弱性を狙った不正アクセス

この手口は、ソフトウェアやハードウェアの欠陥を利用して情報システムにアクセスする方法です。以下、「SQLインジェクション」と「OSコマンドインジェクション」について解説します。

フィッシングを使った不正アクセス

フィッシングを使った不正アクセスとは、偽のWebサイトやメールを使って情報を盗み取る手法のことです。銀行や公共サービスの公式サイトに似せたWebページを作成し、ユーザーを誘導し、IDやパスワードを入力させて情報を盗みます。

主にメールで「アカウント情報の確認」などの理由でリンクをクリックさせ、フィッシング詐欺による不正アクセスを実行します。これにより、金銭の不正引き出しや個人情報の漏洩など、さまざまなリスクが考えられます。

なりすましによる不正アクセス

他人のアカウントや身分を騙り、情報やサービスへのアクセスを試みる攻撃手法です。具体的には、企業サイトへのなりすまし、SNSアカウントのなりすましなど、複数の手法が存在します。

一度なりすましによる不正アクセスの被害に遭うと、企業や個人のアカウントが利用され、広範囲にわたって被害が発生します。攻撃者から金銭を要求されたり、パスワードを変更されたりなどのリスクも考えられます。

アカウントの乗っ取りについて知りたい場合は以下の記事をご覧ください。

【関連記事】アカウントの乗っ取りが疑われる主なケース｜原因や対処法、効果的な対策

機密情報の漏洩

不正アクセスを受けると、顧客データや企業秘密が窃取され、競合他社や犯罪者の手に渡るリスクがあります。

漏洩した情報がダークウェブで売買された場合、二次被害や三次被害へと被害が連鎖的に拡大します。

信用失墜による取引先からの契約解除や新規顧客獲得の困難化、その後の顧客対応など、長期的な経営への影響は計り知れません。

データの改ざん

システム内のデータが書き換えられ、業務の正確性や信頼性が根本から損なわれます。財務情報や取引記録の改ざんによって経営判断を誤り、重大な損失を被る危険性も高まります。

製造業では設計データの改変により品質問題や安全性の欠陥が生じ、リコールに発展するケースも少なくありません。

システムの停止

攻撃によってサーバーダウンが起こるとシステムが機能不全に陥り、通常業務の継続が困難になります。復旧作業に時間を要するため、売上機会の損失や顧客離れを引き起こす結果となるでしょう。

基幹システムが停止した場合、製造ラインの停止や物流の混乱など、サプライチェーン全体へ影響が波及していきます。

不正購入・不正送金

決済システムへの侵入により、身に覚えのない購入や送金が実行されてしまいます。

法人口座から数億円が不正送金された事例では、資金回収が困難となり倒産に追い込まれた企業もあります。

不正購入・不正送金はよくある事例であり、被害額が大きくなりやすいため、大企業の場合は特に認証システムの強化が必要です。

SNSアカウントの不正操作

企業の公式アカウントが乗っ取られ、不適切な投稿や情報発信が行われます。政治的な主張や差別的な内容が投稿された場合、炎上騒動に発展して株価下落を招く恐れもあるでしょう。

偽のキャンペーン情報や詐欺サイトへの誘導など、顧客が二次被害を受ける事態も想定されます。

株式会社JTB

大手旅行会社である株式会社JTBは2016年6月14日、2007年9月28日〜2016年3月21日にかけての顧客情報が流出したと発表しました。流出の可能性がある情報は約793万人分です。

JTBによると、子会社「i・JTB」の社員が3月15日に、取引先の航空会社を装ったメールのファイルを開いたところ、パソコンとサーバが標的型ウイルスに感染したとのことです。

同月に不審な通信が確認され、サーバ内に不正アクセスがあり、個人情報が盗まれたことが発覚しました。

2016年6月14日の記者会見では、「お客様の特定ができないままにご案内することで、不安感を与え混乱を招くと判断した」と、発表が6月になった経緯について説明しています。

株式会社ベイシア

株式会社ベイシアは2021年11月1日、不正アクセスによりクレジットカード情報3,101件および、個人情報254,207件が流出した可能性があると公表しました。

情報流出の原因は、ECサイト制作・運用委託先（東芝テック株式会社〈東京都品川区〉および株式会社ジーアール〈京都市中央区〉）のシステムへの第三者による不正アクセスであるとのことです。

この不正アクセスにより、氏名や住所、メールアドレス、電話番号などの個人情報に加え、クレジットカード情報なども流出した可能性があります。株式会社ベイシアは、不正アクセスが発覚した9月1日時点で「ベイシアネットショッピング」を停止するなど、迅速な対応を取っています。

ソースネクスト株式会社

2023年2月14日、ソースネクスト株式会社は顧客のクレジットカード情報112,132件、および個人情報120,982件が漏洩した可能性があると公表しました。

原因は、ソースネクスト株式会社が運営するサイトの脆弱性を利用した第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためだとされています。

2022年11月15日〜2023年1月17日の期間中にサイトで購入した顧客の氏名、住所、メールアドレスなどの個人情報に加え、クレジットカード情報が流出した可能性があります。

調査結果を受け、ソースネクスト株式会社はシステムのセキュリティ対策、および監視体制の強化を行いました。

株式会社ウマニティ

2025年10月、株式会社ウマニティが運営する「ウマニティ」への不正アクセスについて発表しました。会員情報が実際に流出した事実は確認されていないものの、可能性は完全に否定していません。

同社は9月29日正午に不正アクセスを確認後、同日17時30分にサイトを緊急閉鎖して調査を開始しました。システムの再構築を完了させ、安全が確認された環境でサービスを再開しています。

利用者に対しては不審なメールへの警戒を呼びかけ、金銭やパスワードを要求する内容には応じないよう注意喚起を行いました。

株式会社セキショウキャリアプラス

2025年10月、株式会社セキショウキャリアプラスはサーバーに対する不正アクセスによって社内データが流出したと発表しました。

国土交通省の委託事業で実施した外国人技術者向け就職説明会の参加者情報など、最大1万5,000人分の個人情報が漏洩した恐れがあります。

グループ企業のセキショウベトナムが運用するサーバーが攻撃を受け、氏名や生年月日、連絡先などが流出した可能性があります。

同社は即座にサーバーを外部から遮断し、対策チームを設置して外部専門機関と共に原因究明を進めました。

楽天証券株式会社

2025年5月上旬以降、楽天証券株式会社は不正アクセスや取引の被害は確認されていないとしていました。

しかし、楽天証券広報は「限定的な規模だが、口座への不正アクセスと不正取引による被害が発生している」と説明しています。

リアルタイムフィッシングという新たな手口により、絵文字認証とリスクベース認証の両方が突破されたとみられます。

攻撃者は偽サイトで被害者から認証情報を収集しながら、その場で正規サイトにログインして不正取引を実行していました。

同社は改めてリアルタイムフィッシングへの注意喚起を発し、利用者に警戒を呼びかけています。

岡山県の特設サイト

2025年10月、岡山県の複数のWebサイトで不正アクセスがあったと発表しました。個人情報の流出は確認されていないものの、一部サイトで改ざんの痕跡が発見されています。

県職員が11日午前にサイトの閲覧障害を発見し、調査の結果、不正アクセスと改ざんが判明しています。

少子化対策の「晴れ恋♥晴れ婚プロジェクト」や「岡山　私のみらい発見カフェ」など7つのサイトが被害を受けました。サーバーを共有する計8つのサイトを予防的に閉鎖しています。

ファイアウォールの設置

まずはファイアウォールの設置を検討すべきです。ファイアウォールとは、不正な通信を遮断するシステムのことです。

不正アクセスやウイルスからシステムを守る基本的な対策の1つであり、通信の判断を許可または拒否して不正アクセスを防ぎます。セキュリティレベルを維持するには、常に最新の状態に更新し、継続的な監視が必要になります。

ファイアウォールの詳細を知りたい場合は以下の記事をご覧ください。

【関連記事】ファイアウォールとは？仕組み・種類・機能をそれぞれ解説

認証システムの強化

二要素認証や多要素認証を導入し、認証システムを強化することも対策として有効です。多要素認証とは、認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証する仕組みのことです。

これにより、仮にパスワードが流出したとしても、もう1つの認証を突破されない限り、不正アクセスが起こることはありません。特に金融関連のアカウントや、個人情報を取り扱うシステムでの導入が求められます。

なお、多要素認証については以下の記事で詳しく解説しています。

【関連記事】多要素認証（MFA）とは？二要素認証・二段階認証との違いやメリットを解説

OS・ソフトウェアの更新

OSやソフトウェアの更新により、セキュリティ上の脆弱性が改善されることがあります。常に最新の状態に保つことで、不正アクセスのリスクを軽減し、被害状況を最小限に抑えます。

OS・ソフトウェアの更新を忘れてしまう方は、自動アップデートの設定を行いましょう。

社内リテラシーの改善

社内リテラシーの改善も不正アクセスに効果的です。不正アクセスやセキュリティリスクについての知識を、社内全体で共有しておくことで、サイバー攻撃における対応力が向上します。

例えば、定期的に研修を開催する、リテラシーのセミナーを開く、資格取得を推奨するなどが効果的です。社員1人ひとりがリスクを理解し、正しい対応を取ることで社内全体のセキュリティが強化されます。

ネットリテラシーの詳細は以下の記事で解説しています。

【関連記事】ネットリテラシーとは？重要視される理由と企業が取り組むべき対策

フリーWiFiの使用規制

公共の無料WiFiは暗号化が不十分で、通信内容の傍受リスクが極めて高い環境となっています。業務端末での接続を禁止し、安全なVPN経由での通信を義務付ける必要があります。

カフェや空港、ホテルなどで提供される無料WiFiは、攻撃者が偽のアクセスポイントを設置している可能性も否定できません。

重要なデータを扱う業務では、モバイルルーターや企業が契約する専用回線の利用を徹底しましょう。

やむを得ず公共WiFiを使用する場合は、HTTPSサイトのみアクセスするなど、最低限のセキュリティ対策が不可欠です。

デバイス管理の徹底

社内で使用する全ての端末を一元管理し、セキュリティ状態を常時可視化する体制づくりが重要です。紛失や盗難に備えてリモートロックやデータ消去機能を実装することも欠かせません。

MDM（モバイルデバイス管理）ツールの導入により、端末の利用状況やアプリのインストール状況をリアルタイムで把握できます。

定期的な棚卸しを実施して、退職者の端末回収や不要機器の適切な廃棄処理を徹底することも大切です。

不要サービスの停止

使用していないネットワークサービスやポートを無効化することで、不正アクセスのリスクを縮小できます。

初期設定のまま稼働しているサービスは、既知の脆弱性を狙った攻撃の格好の標的となります。

Telnet（テルネット）やリモートデスクトップなど、利便性を重視して有効化されがちなサービスも必要性を再評価すべきです。業務に必要な機能のみを有効化する運用ルールの策定が求められます。

セキュリティサービスの導入

信頼性の高いセキュリティサービスを導入し、社内のセキュリティレベルを高める方法もおすすめです。専門企業が提供するサービスを活用することで、高度な不正アクセスにも対応できるようになります。

セキュリティサービスを導入する際は、サービス提供元の実績や信頼性を確認するなど、適切なサービスを選定するようにしましょう。セキュリティ診断サービスについては以下の記事をご確認ください。

【関連記事】セキュリティ診断サービスの比較ポイント｜おすすめのサービスを紹介

ネットワークの遮断

被害の拡大を防ぐため、直ちに該当システムをネットワークから切り離す必要があります。感染範囲を特定するまで、他のシステムへの波及を阻止する措置を速やかに講じましょう。

ネットワークの遮断を実施する際は、物理的なLANケーブルの抜線やWiFiの無効化など、確実な遮断方法を選択することが重要です。

バックアップシステムや代替サーバーへの切り替えにより、最低限の業務継続性を確保する判断も求められます。

被害状況の確認・原因の究明

どのデータがアクセスされたか詳細な調査を実施して、被害範囲を正確に特定する作業が急務です。ログ解析により侵入経路や手法を明らかにし、再発防止策の検討材料として活用しましょう。

フォレンジック調査の専門家に依頼すれば、削除されたログの復元や痕跡の発見が期待できます。

原因究明の過程で得られた知見は、組織全体のセキュリティ強化に活かすべき貴重な教訓となるでしょう。

ログイン情報の変更

IDやパスワードなどのログインに必要な情報を変更しましょう。ログイン情報をすぐに変更することで、被害の拡大を抑えられる可能性があります。

他のサービスで同じパスワードを使用している場合、それらも変更することが推奨されます。強固なパスワードに変更し、定期的に変更をかけるようにしましょう。

ログイン履歴等の保存

証拠を保全するため、ログイン履歴やログイン画面を保存してください。警察に相談する際に、ログイン履歴等があれば的確に対処してもらえます。

パソコンやスマートフォンのスクリーンショット機能を活用すると、簡単に情報を保存できます。

また、インターネットサービスを提供している会社に連絡・相談した際は、経緯が分かるようにメールやチャットのやりとりを保存・記録しておきましょう。

関係者への連絡

影響を受ける顧客や取引先に対して、速やかに事実を報告することが信頼維持の第一歩です。監督官庁や関連団体への届出義務がある場合は、法令に従い迅速に通知を行います。

個人情報保護委員会への報告は、漏洩の可能性を認識してから速やかに実施しなければなりません。

被害者への連絡では、発生した事実と対応状況を正確に伝え、二次被害防止のための注意喚起も併せて行いましょう。

警察への通報・相談

保存したログイン履歴等を持って警察へ通報・相談しましょう。事前に電話をしておくと、対応がスムーズに進みやすくなります。

警察庁が公開している「都道府県警察本部のサイバー犯罪相談窓口一覧」を参考にし、最寄りの窓口へ相談しましょう。通報・相談時には、具体的な被害状況や証拠となる情報を詳細に伝えてください。