So-net無料ブログ作成

2016年の不正アクセス――検挙事件数は過去最多、狙われる「甘いパスワード」 [ウィルス/不正アクセス]

 警察庁は3月23日、2016年の不正アクセス行為の発生状況を発表した。認知件数は前年に引き続き減少したが、検挙件数は増加を続けており、検挙人員と検挙事件数は、不正アクセス禁止法施行後最多となった。

 これは、2016年1月1日から12月31日までの1年間、全国の都道府県警察から警察庁に報告のあった不正アクセス行為をまとめたもの。不正アクセス禁止法に基づき、警察庁と総務省、経産省が毎年3月に公表しており、アクセス制御機能に関する技術の研究開発状況も同時に公表されている。

■認知件数の減少、検挙件数の増加

 2016年の不正アクセス行為の認知件数は、前年から引き続き減少し、1840件(前年比ー211件)となった。減少の要因は、インターネットバンキングの不正送金が減少したためという。不正アクセス禁止法違反として検挙に至った検挙件数は502件(前年比-129件)、検挙人員は200人(前年比+27人)、検挙事件数182事件(前年比+9事件)で、検挙人員と検挙事件数は、2000年の同法施行後、最も多い数値となった。

■「甘いパスワード」突き、ゲーム・コミュニティサイト不正利用

 検挙された件数・人員について、違反行為の内訳をみると、「不正アクセス行為」462件・192人と最も多く、識別符号(ID/パスワード)の「提供(助長)行為 」「取得行為」「保管行為」が、それぞれ5件・3人、6件・3人、28件・6人、「フィッシング行為」が1件・1人だった。上記正アクセス行為」462件の手口をみると、他人のID/パスワードを入力して不正に利用する「識別符号窃用型」が457件、セキュリティの脆弱性を突いて操作指令を与えるなどの「セキュリティ・ホール攻撃型」は5件だった。
 この「識別符号窃用型の不正アクセス行為」457件の手口をみると、「利用権者のパスワードの設定・管理の甘さにつけ込んだもの」が244件と最も多く、次いで「識別符号を知り得る立場にあった元従業員や知人等によるもの」61件、「言葉巧みに利用権者から聞き出した又はのぞき見たもの」49件、「スパイウェア 等のプログラムを使用して識別符号を入手したもの」34件、「他人から入手したもの」20件、「インターネット上に流出・公開されていた識別符号を入手したもの」4件、「フィッシングサイトにより入手したもの」3件の順となっている。
 不正利用されたサービスの内訳をみると、最も多いのは「オンラインゲーム、コミュニティサイト」185件で、次に「電子メール」136件、「社員用等の内部サイト」40件、「インターネットショッピング」18件、「インターネットバンキング」13件、「インターネット・オークション」9件、「インターネット接続サービス」5件、「ウェブサイト公開サービス」2件の順となっている。

■認知された不正アクセス後の行為――ネットバンキング不正送金が最多

 認知された不正アクセス行為は上記の通り1840件あったが、その後に行われた行為をみると、最も多いのは「インターネットバンキングでの不正送金」1305件で、次いで「インターネットショッピングでの不正購入」172件、「オンラインゲーム、コミュニティサイトの不正操作」124件、「メールの盗み見等の情報の不正入手」91件、「インターネット・オークションの不正操作」34件、「知人になりすましての情報発信」25件、「ウェブサイトの改ざん・消去」6件、の順となっている。

■不正アクセスを防ぐ対策――パスワードの設定・管理が第一

 不正アクセスの手口のうち、パスワードの設定・管理の甘さにつけ込んだものが半数以上を占めていることから、同庁は、パスワードを設定する場合には、容易に推測されるものを避ける、複数のサイトで同じID・パスワードの組合せを使用しないといった適切なパスワードの設定・管理を、不正アクセス対策の第一に挙げている。
 また、フィッシングに対する注意(発信元が怪しいメール、金融機関等を装ったメールに注意する)、不正プログラムに対する注意(添付ファイルは不用意に開かない、信頼できないサイト上に蔵置されたファイルはダウンロードしない等)、不正プログラム対策(ウイルス対策ソフトの利用、OSや各種ソフトウェアのアップデート等)についても、各自で講ずるよう注意を呼びかけている。

(2017/04/07 セキュリティ通信)

【関連URL】
・不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況
<総務省>
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000119.html
<経済産業省>
http://www.meti.go.jp/press/2016/03/20170323002/20170323002.html
<国家公安委員会[PDF]>
http://www.npsc.go.jp/hightech/h290323.pdf
<警察庁[PDF]>
https://www.npa.go.jp/cyber/pdf/h290323_access.pdf

【関連記事:セキュリティ通信】
・2015年の不正アクセス~検挙事件数・人員数が過去最多に
http://security-t.blog.so-net.ne.jp/2016-03-25-1
・2014年の不正アクセス被害が過去最多に~警察庁発表
http://security-t.blog.so-net.ne.jp/2015-03-30
・不正アクセス認知件数が前年比1700件増、ネット銀被害・不正ログイン急増
http://security-t.blog.so-net.ne.jp/2014-04-01