RevoWorks販売代理店 アクシス
(出典:警察庁・総務省・経済産産業省の報道資料 )
2021年に警視庁報告された不正アクセスの認知件数は1,516件で、前年から 1,290件(約46.0%)減少。
2021年の不正アクセス後に行われた行為は、「インターネットバンキングでの不正送金等」が最も多く(693件)、次いで「インターネットショッピングでの不正購入」(349件)、「メールの盗み見等の情報の不正入手」(175件)の順となっている。
前年と比較すると「インターネットバンキングでの不正送金等」が3分の1に減少した。一方「インターネットショッピングでの不正購入」が203%増加している。
不正アクセス後に行われた行為 | 2020年 | 2021年 |
---|---|---|
インターネットバンキングでの不正送金等 | 1847 | 693 |
インターネットショッピングでの不正購入 | 172 | 349 |
メールの盗み見等の情報の不正入手 | 234 | 175 |
知人になりすましての情報発信 | 26 | 71 |
オンラインゲーム・コミュニティサイトの不正操作 | 81 | 65 |
暗号資産交換業者等での不正送信 | 18 | 20 |
ウェブサイトの改ざん・消去 | 10 | 8 |
インターネットオークションの不正操作 | 6 | 4 |
その他 | 412 | 131 |
2021年に検挙された不正アクセスの手口のほとんどはパスワード盗用によるもので全体の97.5%を占める。その中でも推測しやすいパスワードやパスワードの使いまわしなど「パスワードを設定管理の甘さに付け込んで入手」したものが一番多く全体の37.5%となっている。
二番目に多い手口は「フィッシングサイトによりパスワードを入手」したもので、実在するオンライショップや金融機関を装ったメール等でフィッシングサイトに誘導しID・パスワードを入力させる手口が多く確認されている。
不正アクセス行為の手口 | 件数 | 割合 |
---|---|---|
パスワードを設定管理の甘さに付け込んで入手 | 153 | 37.5% |
フィッシングサイトによりパスワードを入手 | 70 | 17.2% |
元従業員や知人によるパスワードの悪用 | 51 | 12.5% |
パスワードの聞き出し又はのぞき見 | 36 | 8.8% |
他人からパスワードを入手 | 34 | 8.3% |
インターネットにパスワードが流出 | 2 | 0.5% |
その他パスワードの盗用 | 52 | 12.7% |
セキュリティホール攻撃型 | 10 | 2.5% |
計 | 408 |
警視庁報告された不正アクセスの認知件数は約46.0%減少したが、2021年に独立行政法人情報処理推進機構(IPA)に届出のあったコンピュータ不正アクセスの届出件数は243件で、前年と比べて、56件(約30%)増加している。
届出の被害内容で主に見受けられたものは、VPN装置の脆弱性を悪用した不正侵入、ウェブサイト(ECサイトを含む)の脆弱性を悪用したSQLインジェクション攻撃による情報窃取、そして業務委託先へのサイバー攻撃による情報窃取といったものであった。
不正アクセスの被害原因として最も多かったのは「古いバージョンの利用や、修正プログラム・必要なプラグイン等の未導入によるもの」であった。このうち、VPN装置の脆弱性を悪用された例が多かった。これはコロナ禍のもと、テレワーク環境を整備する必要に迫られた企業・組織が、VPN環境を構築するために、VPN装置を急遽導入したり、ネットワーク機器のVPN機能を有効にしたりといった対応により、環境構築を優先してセキュリティ対策が後回しとなるなど、対策不十分な状態で運用を続けた結果、その隙に乗じた攻撃の被害を受けたものと推測される。また、「原因不明」のケースも依然として少なくはなく、調査が難しい手口の巧妙化により原因の特定に至らない事例が多いと推測される。
不正アクセス被害原因 | 件数 | 割合 |
---|---|---|
古いバージョンの利用や、修正プログラム・必要なプラグイン等の未導入によるもの | 51 | 30.9% |
原因不明 | 41 | 24.8% |
設定の不備(セキュリティ上問題のあるデフォルト設定を含む) | 39 | 23.6% |
ID、パスワード管理の不備 | 34 | 20.6% |
計 | 165 |