事例で学ぶセキュリティインシデント（第12回）使い回しのID、パスワードが盗まれて不正アクセスの被害に

公開日：2024.05.21

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　関西で生活雑貨店を展開する小売業のL社。本社の販売担当者が出社後、販売管理システムを立ち上げたところ異変に気付いた。昨日、入力した販売データの数字が違うのだ。システムのトラブルを疑い、IT担当者に連絡を取り、システムを調べたところ、「不正アクセスかもしれない」。被害の程度はまだ不明なものの、IT担当者は販売管理システムをネットワークから切り離し、セキュリティインシデント発生の疑いがあることを上司と経営層に報告した。

店舗の共用パソコンのID、パスワードが盗まれる

　L社は大阪を中心に西日本で約10店舗の生活雑貨店を展開する。欧米やアジアから輸入したおしゃれなインテリア家具やキッチン用品などが評判を集め、同業他社とは一線を画す販売戦略で成長してきた。店舗にはPOS(販売時点情報管理)システムの他、本社と店舗の情報共有やメールの送受信などに利用する共用パソコンを設置している。

　共用パソコンは社員の他にパートの従業員も利用することから、店舗ごとに共用するID、パスワードを決めて利用してきた。IT担当者は共用ID、パスワードを使い回すこと自体、セキュリティリスクがあると認識していたものの、各店舗でパソコンを導入して以来の慣行であることや、「複雑なパスワードは覚えられない」といった従業員の声もあり、業務上の利便性を考慮して共用ID、パスワードを認めてきた経緯がある。

　そして、IT担当者と同社のITをサポートする事業者の調査により、ある店舗の共用パソコンのID、パスワードが第三者に盗まれ、販売管理システムの不正アクセスにより、データが改ざんされたことが判明した。

　不正アクセスの事案は減る気配がない。国家公安委員会などが令和6年3月に公表した「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、令和5年の不正アクセス行為の認知件数は6,312件で、前年に比べ4,112件(約187%)増加している。

　また、不正アクセス行為の手口別検挙件数(475件)を見ると、利用権者のパスワードの設定・管理の甘さにつけ込んで入手(203件)、識別符号(ID、パスワード)を知り得る立場にあった元従業員や知人などによる犯行(68件)、利用権者からの聞き出し又はのぞき見(40件)などとなっており、IDや、パスワードの不正利用にかかわる手口が約2/3を占める。

フィッシングサイトに誘導してID、やパスワードを盗み取る手口も…

　システムやサービスの利用時に必要な認証情報(ID、パスワードなどのアカウント情報)を悪意のある第三者が盗み取り、不正アクセスする手口は以前からある。問題は、人間の記憶に頼るパスワード認証には限界があることだ。複雑なパスワードの設定や定期的な変更が推奨されるものの、システム、サービスごとにいくつものパスワードを覚え切れず、同じパスワードを使い回したり、推測されやすい数字や文字を利用したりする問題が以前から指摘されている。

　また、攻撃者もさまざまな手法を使ってパスワード情報を解読しようとする。例えば、いくつもの文字列のパターンを試してパスワードを割り出す総当たり攻撃や、パスワードに使われやすい単語を組み合わせて割り出す辞書攻撃の他、企業・組織を装い、悪意のあるWebサイト(フィッシングサイト)に誘導しID、パスワードを入力させて盗み取る手口もある。攻撃者が盗み取ったID、パスワードを使ってシステムに不正アクセスする被害を抑えるには、同じパスワードの使い回しを止める、推測されやすいパスワードを設定しないといった適切な設定・管理が欠かせない。

　そして、ID、パスワードによる認証に加え、複数の認証方法を組み合わせて認証する多要素認証を採用すると効果的だ。利用する度にパスワードを変えるワンタイムパスワードや、スマホなどのショートメッセージを使って本人認証を行うSMS認証、顔や指紋など本人固有の情報を使う生体認証などがある。

　多要素認証の利用が広がり、クラウドストレージやオフィスアプリケーションなどの主要なクラウドサービスが対応。クラウドサービスごとに多要素認証情報を入力するのは手間がかかるが、複数のクラウドサービスの認証情報を1つにまとめてユーザー管理とシングルサインオンなどのアクセス管理が行える認証基盤サービスや、クラウドサービスの認証コードを一括管理し、多要素認証によるログインが可能なスマホ向けアプリケーションなどもあり、アクセス時のセキュリティ強化に向けた多要素認証サービスの選択肢が広がっている。

多要素認証を組み合わせセキュリティ強化

　IT担当者が販売管理システムへの不正アクセスを調べたところ、ある店舗の共用パソコンのID、パスワードを悪用していたことが判明した。販売管理システムには、商品の受発注や在庫、出荷、購買などの情報が記録・保存されており、L社にとって重要システムといえる。攻撃者の狙いは不明なものの、データの改ざんは限定的であったことから、データを修復してシステムの利用を再開した。

　また、IT事業者の支援を受けて社内システムに不正侵入する入り口となるバックドアが仕掛けられていないかどうかを調査した。バックドアを仕掛けられると、攻撃者は認証せずにシステムに入り込み、重要情報を盗み出したり、他社を攻撃する踏み台にされたりする恐れがある。

　L社では不審なアクセスを監視・防御するため、ファイアウォールやIDS/IPS(不正侵入検知/防御)、ウイルス対策などのセキュリティ機能を統合したUTM(統合脅威管理)ツールの導入や、不正な通信などを通知する遠隔サポートサービスの活用を検討することになった。

　そして、不正アクセスの原因となった店舗のID、パスワード管理について、共用パソコンの利用は社員に限定し、SMS認証など多要素認証の採用を検討する。また、社員とパートの従業員にメールでやり取りしていた業務の情報については、ビジネスチャットを利用するなど、共用パソコンに依存しないコミュニケーション方法へと変更することとした。

　IT担当者はインシデントの経緯を全社員に報告し、安易なID、パスワードの設定や使い回しは厳禁であることを改めて徹底するとともに、社員の異動・退職時の認証情報の変更・削除など適切な管理を行うように自戒した。