権限のない者がシステムやデータに許可なく侵入する行為。
不正アクセスとは、本来そのシステムやデータを使う権限を持たない者が、許可なく侵入する行為のことです。「アクセス」とはコンピュータやデータに接続して利用することを指します。
たとえば他人のIDとパスワードを使って勝手にログインしたり、本来は外部から入れないはずのサーバに無理やり接続したりするのが不正アクセスです。「許可されていないのに入る」という点が共通しています。
身近な例で考えると、他人の家に勝手に入る不法侵入に似ています。鍵を拾って入っても、窓をこじ開けて入っても、許可なく入れば不法侵入です。上の図解で、攻撃者がさまざまな手口でシステムに侵入しようとする様子を確認してください。
不正アクセスにはさまざまな手口があります。代表的なものを整理してみましょう。
| 手口 | 内容 |
|---|---|
| なりすまし | 盗んだ他人のID・パスワードでログインする |
| 総当たり攻撃 | パスワードを片端から試す(ブルートフォース) |
| セキュリティホールの悪用 | ソフトウェアの欠陥(弱点)を突いて侵入する |
| フィッシング | 偽サイトに誘導してID・パスワードを盗む |
これらの手口に対しては、それぞれ対策があります。
・なりすまし対策:多要素認証で本人確認を強化する
・総当たり対策:失敗が続いたらロックする・複雑なパスワードにする
・セキュリティホール対策:ソフトを最新版に更新する
・フィッシング対策:URLを確認し、不審なリンクを開かない
とくにセキュリティホール(ソフトウェアの安全上の欠陥)は、見つかったらすぐ修正プログラムが配布されます。更新を放置すると、その穴を狙われて侵入されてしまうため、こまめな更新がとても重要です。
不正アクセスは犯罪です。日本では「不正アクセス禁止法」(正式名称:不正アクセス行為の禁止等に関する法律)によって禁止されており、違反すると懲役や罰金などの罰則が科されます。
この法律で禁止されている主な行為は次の通りです。
・不正アクセス行為:他人のID・パスワードを使った無断ログインや、セキュリティホールを突いた侵入
・ID・パスワードの不正取得:他人のログイン情報を盗む行為
・不正取得した情報の保管・提供:盗んだ情報を持っていたり他人に渡したりする行為
重要なのは、たとえデータを盗んだり壊したりしなくても、許可なく侵入しただけで違法になるという点です。「ちょっと入ってみただけ」では済まされません。安易な気持ちで他人のアカウントにログインすることも処罰の対象になります。