不正アクセスとは? 具体的な手口や4つの被害事例、不正アクセス禁止法について解説

2026年3月23日更新
2022年5月25日掲載

不正アクセスとは?具体的な手口や4つの被害事例、不正アクセス禁止法について解説

本記事はSBテクノロジー株式会社(SBT)が執筆・公開した記事を、ソフトバンク株式会社との合併(2026年4月1日付)に伴い転載したものです。文中の「当社」「SBテクノロジー」などの記載ならびにサービス名称などの内容は、初出掲載時点の情報が含まれます。
元記事リンク: https://www.softbanktech.co.jp/special/blog/it-keyword/2022/0032/

DX 化が進む昨今、企業の不正アクセスによる被害が相次いでいます。不正アクセスによる情報漏えいやシステム改ざんの結果、企業は責任を問われることもあります。顧客への賠償やシステムの復旧、社会的な信用を取り戻すことに多大な費用と労力がかかるため注意が必要です。

本記事では、不正アクセスの概要や禁止する法律と罰則について解説します。具体的な手口や対策、4つの被害事例についても紹介しますので、参考にしてください。

目次

不正アクセスとは

不正アクセスとは、本来アクセス権限を持たない者が、サーバーや情報システムの内部へ侵入を行う行為です。他人のパスワードやIDを盗んで、その情報をもとにログインします。

またシステムの脆弱性に対してサイバー攻撃を行い、不正にログインする場合もあります。サイバー攻撃が増加するなか、ほかにもさまざまな不正アクセスが行われる状況です。不正アクセスにより多くの企業が、機密情報の流出やシステムダウン、ウェブサイトの改ざんなどの被害を受けています。

不正アクセス禁止法とは

不正アクセス禁止法は、不正アクセスをはじめとしたサイバー攻撃に関する罪を罰する法律です。次のような処罰が定められています。

例えば、なりすまし行為やサイバー攻撃による他人のシステムへの侵入が不正アクセス罪に該当します。

なりすまし行為とは、他人のIDやパスワードを持ち主の許可を得ずに入力して、会員サイトやECサイトにログインする行為です。

サイバー攻撃による他人のシステムへの侵入の場合は、まずはセキュリティホールやサイトの脆弱性に対してサイバー攻撃が仕掛けられます。その後、アクセス制御を回避して企業システムへ侵入して機密情報の窃取やWebサイトなどを書き換える行為が行われるのです。

24時間365日体制のMSS「NOZ SECURITY MSS」のサービス詳細はこちら

不正アクセスの手口

ここではパスワードを狙った不正やフィッシング行為、脆弱性を狙った不正アクセスの手口についてお伝えします。

パスワードを利用した不正アクセス

パスワードを利用した不正アクセスには、ブルートフォースアタックやパスワードリスト攻撃があります。それぞれについて詳しく解説します。

ブルートフォースアタック

ブルートフォースアタックとは、ユーザーのアカウントやパスワードを割り出すために、考えられる全てのパターンを試す方法です。日本語に訳すると「総当たり攻撃」です。コンピューターを使って何万通りにも及ぶIDやパスワードを試して、正解を導き出します。効率的に攻撃をするために「辞書」と呼ばれるよく使われる文字列のフレーズを利用することもあります。

そのため、「1234567890」や「password」といった容易に想像が付くパスワードは不正アクセスのリスクが高いと言えます。

パスワードリスト攻撃

パスワードリスト攻撃とは、リストを用いてサイトにログインする不正アクセスです。リストには、何らかの方法で入手したIDとパスワードの組み合わせが書かれています。IDとパスワードを入手する際には、ターゲットよりも脆弱なサイトに侵入して盗んだり、ダークウェブ上で購入したりします。

複数のサービスで同じIDとパスワードを使ったユーザーを狙った攻撃であり、パスワードを使い回すと不正にログインされやすいのです。

フィッシング行為からの不正アクセス

フィッシング行為とは、有名企業をかたってユーザーに偽のログインWebサイトへ誘導し、ユーザーに偽サイトへIDやパスワードを入力させて盗みます。

偽サイトは企業の運営する正規サイトと酷似しており、ユーザーは見分けがつきません。偽のログイン画面でIDやパスワードを入力させたり、偽のクレジットカード登録画面でカード情報を入力させたりします。サイバー攻撃で得たメール情報が、フィッシング行為に利用されることもあります。近年では生成AIを使ってより巧妙なフィッシングメールが増えてきています。

サイバー攻撃者はこの盗み出したIDとパスワードを使って不正アクセスを行います。

脆弱性を狙った不正アクセス

脆弱性を狙った不正アクセスには、SQLインジェクションやパッチ未適用のサーバーに対する攻撃が存在します。それぞれの不正アクセスの手口について解説します。

SQLインジェクション

SQLインジェクションとは、アプリケーションの脆弱性を狙ったサイバー攻撃です。ログインIDやパスワードを入力するスペースに、Webサイトの誤作動につながるSQL文を入力します。適切に対策がされていないWebサイトは誤作動を起こし、SQL文の実行結果を表示してしまい、サーバーにあるデータを盗まれたり、改ざんされたりします。

パッチ未適用のサーバーに対する攻撃

一般的に、サービス提供企業は脆弱性が公開されるとセキュリティパッチが公開されますが、前後してPoC(概念実証コード)というその脆弱性を突いた攻撃が可能なコードも公開されることがあります。

この状態でパッチを適用していないと、攻撃者は容易にその脆弱性を突いて攻撃することが可能になってしまいます。そのため、脆弱性の公開がされた場合パッチの適用は迅速に行うことが重要なのです。

即時のパッチ適用が難しい場合はWAFやIPSなどでパッチ適用までの期間を手当てすることが必要になります。

24時間365日体制のMSS「NOZ SECURITY MSS」のサービス詳細はこちら

不正アクセスによる被害を防ぐには

不正アクセスによる被害を防ぐためには、事前の対策と事後の対処が重要です。それぞれの方法について、詳しく解説します。

事前の対策法

不正アクセスを防ぐためには事前の対策が重要です。企業の場合、セキュリティの管理部門を設けて安全対策を講じると良いでしょう。

例えば、次の場面でセキュリティ管理部門が活躍します。

また最新のセキュリティ製品を活用する手段もあります。アプリケーションサービスを利用している場合は、WAFやIPSの導入もおすすめです。脆弱性の保護やブルートフォース攻撃などが行えます。自社のシステムに適した対策を事前に講じると良いでしょう。

事後の対処法

個人情報を扱う企業の多くは、サイバーインシデントの事前、発生中、事後対応を推進するためにCSIRTを設置しています。不正アクセスの被害に関係する部署と、CSIRTメンバーで情報を共有して今後の対策を考えましょう。

例えCSIRTがない組織であっても、上司または関連する部署に早急に報告し調査することをおすすめします。その場では何も起こっていないように見えても水面下で情報が盗まれているということもありえます。サイバー攻撃の被害は時間が経つほど大きくなるため、報告しないことが被害を拡大させます。

不正アクセスによる被害事例4選

ここでは、不正アクセスによる被害事例を4つ紹介します。

デジタル機器製造の大手企業における顧客情報流出

デジタル機器の製造を手がける大手企業では、プロジェクト情報共有ツールへの不正アクセスが起こりました。その際に、多くの企業や組織の情報が流出して、プロジェクト情報共有ツールが停止に追い込まれてしまいました。

被害企業や機関は100以上に達し、対応に追われました。調査によると、ツール内に複数の脆弱性の存在が判明しました。同社では、内閣官房内に設置された内閣サイバーセキュリティセンターに相談し、対策を行いました。

大手ECサイトにおけるフィッシング詐欺

某大手ECサイトのユーザーに、正規ECサイト運営の名をかたる迷惑メールが多数配信されました。そのメールは、偽サイトに誘導するような内容の書かれたフィッシングメールでした。

ECサイトの運営企業からは、ユーザーに対して偽サイトにアクセスしないように注意喚起が行われました。このようなフィッシング行為は、「アカウントをロックしました」や「異常を検知しました」などとユーザーの不安をあおり、偽サイトに誘導を促すため、注意が必要です。

輸送機器の大手製造会社への高度な不正アクセス

輸送機器の大手製造会社では、日本国内にあるデータセンターに対し海外拠点からの不正アクセスが確認されました。

不正アクセスを確認後は、通信を遮断したようです。しかしデータセンター内の情報の一部が、流出したとみられています。

同社はセキュリティ対策を最重要課題として取り組んできたのですが、痕跡を残さない高度な手口で不正アクセスを許してしまったようです。さらなる調査の結果によると、個人情報の流出は確認されていないとされています。

マッチングアプリへの不正アクセスで情報流出

マッチングアプリへの不正アクセスで身分証の情報が流出した事例も報告されています。流出した個人情報は、名前や住所、生年月日などです。マッチングアプリ利用の際に提出を求められた保険証や免許証などから、番号や画像データが流出したとの報告もあります。

まとめ

不正アクセスとは、アクセス権限を持たない悪意のある第三者が、不正にサーバーや情報システムの内部に侵入する行為を指します。不正アクセス禁止法と呼ばれる法律が定められており、処罰の対象です。

情報漏えいやデータ改ざんを防ぐためにも、事前の対策を施して不正アクセスを許さないことが重要です。もし不正アクセスを許してしまったら、まずはパスワードの変更を行うなど、すぐに対処しましょう。

ソフトバンクでは、監視や運用を含めたセキュリティ対策を提供しています。「サイバーレジリエンス」をテーマにした支援を行っている点も特長です。情報セキュリティ対策プロセスの各段階で、対応可能なセキュリティサービスのご提供を行っていますので、どうぞご相談ください。

24時間365日体制のMSS「NOZ SECURITY MSS」のお問い合わせはこちら
24時間365日体制のMSS「NOZ SECURITY MSS」のサービス詳細はこちら

AIによる記事まとめ

本来権限のない第三者がシステムへ不当に侵入する不正アクセスは、法律で厳しく罰せられる重大な犯罪です。攻撃者はパスワードの悪用や脆弱性を突き、情報の窃取や改ざんを狙うため、二要素認証の導入や迅速なシステム更新が欠かせません。また、従業員への教育や有事の報告体制を整えるなど、技術と運用の両面から備えることが大切です。被害を最小限に抑えるためにも、日頃から組織全体で高いセキュリティ意識を持ちましょう。

※上記まとめは生成AIで作成したものです。誤りや不正確さが含まれる可能性があります。

関連サービス

NOZ SECURITY MSS

NOZ SECURITY MSS

日々高度化・巧妙化するサイバー攻撃を当社SOCからリアルタイムに監視することで、重大なインシデントを防ぎ、お客さまの事業継続を支援します。

https://www.softbank.jp/biz/services/security/noz-security-mss/
Future Stride
ビジネスブログ「Future Stride」編集チーム

ビジネスブログ「Future Stride」では、ビジネスの「今」と「未来」を発信します。

DXや業務改革をはじめとしたみなさまのビジネスに「今」すぐ役立つ最新トレンドを伝えるほか、最先端の技術を用いて「未来」を「今」に引き寄せるさまざまな取り組みにフォーカスを当てることで、すでに到来しつつある新しいビジネスの姿を映し出していきます。

トップに戻る
/common/fragments/sidebar

同じカテゴリーの記事をみる

Tag
セキュリティ
Display
Part