不正アクセスは、企業の情報資産を脅かすサイバー攻撃の中でも発生頻度が高く、被害が広範囲に及ぶ脅威のひとつです。警察庁の調査によると、2025年に国内企業・団体が認知した不正アクセス被害件数は前年比で増加傾向が続いており、手口の巧妙化と攻撃の自動化が背景にあります。
本記事では、2025〜2026年に発生した国内外の不正アクセス事例を手口別・業種別に整理し、各事例から導き出せる教訓と具体的な再発防止策を解説します。
1. 不正アクセスの定義と2026年における発生動向
不正アクセスとは何か
不正アクセスとは、「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」において、正規の利用権限を持たない者がコンピュータシステムへ侵入する行為と定義されています。具体的には、他人のIDとパスワードを無断で使用する「なりすまし」や、セキュリティホールを突いた侵入行為が該当します。
不正アクセス禁止法では、不正アクセス行為そのものに加え、他人のIDやパスワードを第三者に提供する行為、フィッシングサイトを用いた認証情報の不正取得なども規制対象となっています。
2025〜2026年の発生動向
2025年以降の主な動向として、以下の3点が挙げられます。
攻撃の自動化・大規模化 クレデンシャルスタッフィング(後述)のツールが高機能化し、1回の攻撃で数十万件のID・パスワードの組み合わせを試行することが可能になっています。攻撃者はダークウェブで入手した漏洩済み認証情報リストを活用するため、パスワードを使い回している企業アカウントは特に危険度が高い状態にあります。
VPNとリモートアクセス環境への集中攻撃 コロナ禍を経てリモートアクセス環境が恒常化した結果、VPN機器やリモートデスクトッププロトコル(RDP)が主要な攻撃対象となっています。未パッチのVPN装置を狙った侵入事例は2025年においても相次いでおり、国内製造業・医療機関での被害が目立ちます。
内部不正の増加 退職者や在籍中の従業員による情報持ち出しや不正操作も深刻化しています。経済的動機によるものだけでなく、転職先への情報提供や競合他社への売却を目的としたケースも確認されています。
2. 手口別の不正アクセス事例
2-1. クレデンシャルスタッフィング
概要 他サービスから流出したIDとパスワードの組み合わせを、自動ツールで大量に試行する攻撃手法です。パスワードを複数サービスで使い回しているユーザーほど、被害に遭うリスクが高まります。
2025年国内事例(ECサービス) 大手ECプラットフォームで、約28万件のアカウントに対してクレデンシャルスタッフィング攻撃が実行されました。攻撃者は不正ログインに成功したアカウントを利用して、登録済みのクレジットカード情報で不正購入を行い、転売目的の商品を複数の配送先へ送付していました。被害総額は調査中と発表されましたが、不正購入被害と補償対応で数億円規模に達したとされています。
主な教訓
- 多要素認証(MFA)を未導入だったアカウントが集中的に被害を受けた
- ログイン失敗回数によるアカウントロックが設定されていなかった
- 普段と異なるIPアドレスや国からのログインに対する異常検知が機能していなかった
2-2. VPN脆弱性の悪用
概要 企業のリモートアクセス用VPN装置に存在する既知の脆弱性を突いて、認証をバイパスして内部ネットワークへ侵入する手法です。パッチ適用が遅れている機器が標的になります。
2025年国内事例(製造業) 中堅製造業A社において、社内ネットワークへのVPN経由の不審なアクセスが検知されました。調査の結果、2年以上前に公開されていた既知のCVE(Common Vulnerabilities and Exposures)が悪用されていたことが判明。攻撃者は侵入後、社内の設計図面データと取引先情報を含むファイルサーバへ横展開し、約6週間にわたって内部偵察と情報収集を繰り返していました。外部への情報漏洩が確認されたほか、一部のシステムにランサムウェアが展開され、業務停止を余儀なくされました。推定被害額は復旧費用・機会損失を含め2億円超と報告されています。
主な教訓
- VPN機器のファームウェアアップデートがシステム停止を避けるために後回しにされていた
- アップデート作業の担当者が明確に決まっておらず、脆弱性情報の受信・対応フローが整備されていなかった
- 侵入後の横展開を検知するための内部ネットワーク監視が不在だった
2-3. 内部不正による不正アクセス
概要 現職または元従業員が、業務上付与されたアクセス権限を悪用、または退職後も有効なままのアカウントを利用して内部システムへ不正にアクセスする手法です。外部攻撃と異なり、正規の経路を通るため検知が難しい特徴があります。
2025年国内事例(金融機関) 地方銀行の元行員が退職後も有効だったVPNアカウントを使い、顧客の口座情報にアクセスしていたことが発覚しました。当該アカウントは退職手続き時に無効化されるはずでしたが、人事部門とIT部門の連携不足により3ヶ月間有効なままでした。アクセスされた顧客情報は数百件に及び、当該元行員は後に不正競争防止法違反で逮捕されています。同行は顧客への通知・謝罪対応と信用回復のための広報費用で相当規模の損害を被りました。
主な教訓
- 退職・異動時のアカウント無効化プロセスが手動管理で、抜け漏れが生じていた
- 特権アクセス管理(PAM)が導入されておらず、退職者のアカウント棚卸が定期的に行われていなかった
- アクセスログの監視が行われておらず、退職者の操作が3ヶ月気づかれなかった
2-4. ソーシャルエンジニアリングを起点とした不正アクセス
概要 技術的な脆弱性ではなく、人間の心理的隙を突いてIDやパスワード、MFAコードなどを騙し取り、それを使って正規ユーザーとして不正ログインする手法です。フィッシングメール、偽のITサポートを装った電話(ビッシング)などが代表的です。
2025〜2026年国内事例(IT企業) 従業員宛てに「セキュリティ部門」を装ったフィッシングメールが送付され、本物と見分けがつかない偽のMicrosoft 365ログイン画面へ誘導されました。入力されたID・パスワードとともにリアルタイムMFAコードを中間者が取得するEvilginxベースのプロキシ攻撃が使用されており、MFAを突破して業務メールアカウントへの不正アクセスが成立しました。攻撃者は侵害したアカウントを踏み台として社内の他ユーザーへフィッシングメールを送付し、被害が社内で連鎖的に拡大しました。
主な教訓
- TOTP(時刻ベースワンタイムパスワード)方式のMFAはリアルタイムプロキシ攻撃に対して脆弱である
- フィッシング耐性のあるFIDO2/パスキー認証の導入が求められる
- メールヘッダやURLを検証する習慣が従業員に根付いていなかった
3. 業種別の被害事例
医療機関
電子カルテシステムを標的とした不正アクセスが複数の医療機関で発生しています。患者個人情報(氏名・病名・処方情報)が外部に流出した場合、医療機関は個人情報保護委員会への報告義務が生じるとともに、患者からの損害賠償請求リスクにもさらされます。2025年には地方の病院で、VPN経由で侵入した攻撃者が電子カルテのバックアップサーバを暗号化し、身代金を要求するランサムウェア攻撃と組み合わせた事例が報告されています。入院患者の診療記録への一時的なアクセス不能が生じ、手術スケジュールの変更と紙運用への切り替えを余儀なくされました。
金融・証券
証券会社や暗号資産交換所を標的にした不正アクセスでは、顧客の資産が直接被害を受けるケースがあります。2025年に国内証券会社で発生した事例では、クレデンシャルスタッフィングにより約3,000口座への不正ログインが成立し、顧客保有の株式が無断売却されて現金化された後に外部送金が試みられました。一部の送金は阻止されたものの、数千万円規模の損害が発生。金融庁への報告と顧客補償対応が求められました。
EC・小売
前述のクレデンシャルスタッフィング攻撃に加え、管理画面への不正ログインによる決済情報の改ざんも確認されています。カート画面のJavaScriptにスキマーコードを埋め込まれ、顧客が入力するクレジットカード情報がリアルタイムで外部へ送信される「Webスキミング」攻撃の起点になるケースもあります。
製造業
設計データや製造ノウハウを標的とした産業スパイ的な不正アクセスが増加しています。PLM(製品ライフサイクル管理)システムや図面管理サーバへの侵入により、競合他社や国外の攻撃者グループへ機密情報が流出したとされる事例が複数あります。製造業はIT部門が小規模なケースが多く、セキュリティパッチの適用が遅れやすい傾向があります。
4. 被害事例から見えた共通の脆弱点
上記の事例を横断的に分析すると、以下の共通した脆弱点が浮かび上がります。
認証の単一要素依存 ID・パスワードのみによる認証は、クレデンシャルスタッフィングやフィッシングに対して根本的に脆弱です。調査によると、不正アクセス被害を受けた組織の大半でMFAが未導入か、重要システムの一部にのみ適用されていた状態でした。
パッチ管理の形骸化 VPN機器・ファイアウォール・Webアプリケーションにおいて、既知の脆弱性(CVE)を修正するパッチが適用されていないまま放置されているケースが多数確認されました。特に「適用するとシステムが止まるかもしれない」という懸念から先送りにされるパターンが顕著です。
アカウントライフサイクル管理の不備 退職・異動時のアカウント無効化・権限変更が手動プロセスに依存しており、対応漏れが発生していました。IDプロビジョニングの自動化と定期的なアカウント棚卸が行われていれば防げた被害です。
内部ネットワークの可視性の欠如 外部からの侵入を防ぐ境界防御には一定の投資がなされていても、侵入後の横展開(ラテラルムーブメント)を検知する内部監視が機能していない組織が多い状況です。攻撃者は平均数十日間、発覚せずに内部偵察を続けるとされています。
ログ収集・分析体制の未整備 不正アクセスの調査(フォレンジック)を行う際に、ログが保存されていない・保存期間が短すぎる・分析ツールがないといった問題が露呈するケースが多数あります。発覚後の被害範囲の特定が困難になり、対応コストが増大します。
5. 再発防止のための対策
多要素認証(MFA)の全面導入
最も即効性の高い対策のひとつがMFAの導入です。ただし、前述のEvilginxベースのプロキシ攻撃に対応するためには、TOTP(認証アプリ)方式よりもフィッシング耐性のあるFIDO2準拠のハードウェアセキュリティキー(YubiKeyなど)またはパスキー認証の採用が推奨されます。
まず対象とすべきシステムの優先順位は以下の通りです。
- VPN・リモートアクセス環境
- Microsoft 365・Google Workspaceなどのクラウド生産性ツール
- 管理コンソール・特権アカウント
- 人事・経理・顧客情報を扱うシステム
特権アクセス管理(PAM)の導入
管理者アカウントや特権ID(rootアカウント、ドメイン管理者など)は通常のアカウント以上の厳格な管理が必要です。PAMソリューションを導入することで、特権ID使用時の申請・承認フロー、使用中のセッション録画、使用後の自動パスワードローテーションを実現できます。内部不正対策としても、抑止力と証跡確保の両面で有効です。
アカウントライフサイクル管理の自動化
退職・異動時のアカウント停止処理を人事システムと連携させて自動化することで、対応漏れを防止できます。Active DirectoryやEntra ID(旧Azure AD)のプロビジョニング機能と人事システムを連携させるIDaas(Identity as a Service)の活用が有効です。また、全アカウントを対象とした定期的な棚卸(半年〜1年ごと)を実施し、不要アカウントを検出・無効化するプロセスを確立することが重要です。
脆弱性管理の仕組み化
VPN機器・OS・ミドルウェアの脆弱性情報を継続的に収集し、リスクに応じたパッチ適用計画を策定するプロセスが必要です。JVN(Japan Vulnerability Notes)やCISAのKEV(Known Exploited Vulnerabilities)カタログを定期購読し、悪用が確認された脆弱性を優先的に対処するルールを設けることが実践的です。
パッチ適用の際にシステム停止リスクを懸念する場合は、テスト環境での事前検証フローを整備した上で、リスク受容期間(例:CVE公開から14日以内に適用完了)を組織のポリシーとして定めることが有効です。
ゼロトラスト・ネットワークセグメンテーション
境界防御に依存するネットワーク設計から脱却し、内部の通信も常に検証するゼロトラストアーキテクチャへの移行を段階的に進めることが重要です。まず着手しやすい施策として、ネットワークセグメンテーションによって業務システムを分離し、サーバ間の不必要な通信を制限することで、侵入後の横展開を抑止できます。
6. 不正アクセス検知の仕組み
攻撃を完全に防ぎ切ることは困難であるため、「侵入されたことを早期に検知する」仕組みを並行して整備することが重要です。
SIEM(セキュリティ情報イベント管理)
VPN・Active Directory・クラウドサービス・エンドポイントなど複数のソースからログを集約し、相関分析によって不審な挙動をアラートとして検出するシステムです。例えば「同一アカウントが短時間に異なる国のIPからログインした」「深夜に大量のファイルにアクセスした」といったパターンをルールベースまたは機械学習で検知します。
EDR(エンドポイント検知・対応)
エンドポイント(PC・サーバ)上でのプロセス挙動・ファイル操作・通信先をリアルタイムに記録・分析し、マルウェアの実行や不審な操作を検知・遮断するソリューションです。不正アクセス後に攻撃者が内部偵察ツールを実行した際の検知に有効です。
ログの長期保存と定期レビュー
不正アクセスの多くは発生から数週間〜数ヶ月後に発覚するケースがあります。調査に必要なログを遡れるよう、主要システムのログを少なくとも1年間(理想は2年間)保存する体制を整備することが重要です。また、ログを収集するだけでなく、定期的なレビューや異常検知ルールのチューニングを継続的に行う運用体制が不可欠です。
定期的なペネトレーションテスト
実際の攻撃者の視点で自社システムの侵入可能性を検証するペネトレーションテストを定期的に実施することで、検知・防御の抜け穴を事前に把握できます。特にVPN環境・Active Directory・クラウドインフラを対象とした外部からの侵入テストは、不正アクセスリスクの評価に直結します。
7. AEVUSの不正アクセス対策支援
AEVUSは、不正アクセスに対する技術的な評価から対策実装の支援まで、一貫したセキュリティ支援を提供しています。
ペネトレーションテスト
外部公開サーバ・VPN環境・Active Directoryを対象として、実際の攻撃者と同等の手法で侵入可能な経路を洗い出します。クレデンシャルスタッフィングへの耐性検証、フィッシング耐性評価、内部ネットワークの横展開可能性の検証など、貴社の環境に応じたスコープで実施が可能です。
脆弱性診断
Webアプリケーション・API・クラウド環境の脆弱性を体系的に調査し、不正アクセスの起点となりやすい弱点を洗い出します。既知CVEの対応状況確認から設定ミスの検出まで、広範囲にカバーします。
セキュリティ体制の構築支援
MFA導入・PAM選定・SIEM構築・ログ管理ポリシーの策定など、不正アクセス対策に必要な技術・運用基盤の整備を支援します。現状のセキュリティ成熟度を評価した上で、優先度の高い施策から段階的に対策を進めるロードマップを提案します。
不正アクセスのリスクを自社でどこまで把握できているか不安をお持ちの場合は、まず現状評価からお気軽にご相談ください。
