不正アクセス被害は「他人事」ではない
2024年、国内で発生したサイバーインシデントのうち、不正アクセスを起因とする情報漏洩・業務停止は依然として高水準が続いています。警察庁の「サイバー空間をめぐる脅威の情勢等について(2024年)」によれば、企業・団体等を標的とした不正アクセスの検挙件数は年間500件超。しかし実際の被害は氷山の一角であり、気づかないまま認証情報が窃取されるケースが大半です。
IPAが毎年発表する「情報セキュリティ10大脅威(組織編)」でも、「クレデンシャルスタッフィング(パスワードリスト攻撃)」「標的型フィッシング」「VPN機器の脆弱性悪用」が上位を占め続けています。
不正アクセスの恐ろしさは、気づいた時には手遅れであることです。 攻撃者が認証に成功した後、平均200日以上の潜伏期間を経て情報を窃取・ランサムウェアを展開するケースが国際的な調査でも報告されています。
本記事では、不正アクセスの主な手口を整理したうえで、企業が優先すべき技術的・運用的対策を2026年の最新動向を踏まえて解説します。
不正アクセスの主な手口5選
攻撃者がどのように侵入を試みるかを知ることが、有効な対策の第一歩です。
1. パスワードリスト攻撃(クレデンシャルスタッフィング)
過去のデータ漏洩で流出した大量のID・パスワードの組み合わせを使い、様々なサービスへの不正ログインを自動で試みる攻撃です。同じパスワードを複数サービスで使い回している企業アカウントが主なターゲットになります。ダークウェブには数十億件規模の認証情報が流通しており、攻撃コストは著しく低下しています。
2. ブルートフォース攻撃・パスワードスプレー攻撃
ブルートフォースはパスワードを総当たりで試みる古典的な手法ですが、近年はアカウントロックアウトを回避するため「1アカウントに数パターンだけ試す→大量のアカウントに横展開する」パスワードスプレー攻撃が主流になっています。Microsoft 365やVPNの認証エンドポイントが特に狙われます。
3. フィッシング・スピアフィッシング
偽のログインページや不正なメールリンクを通じて、ユーザーに認証情報を入力させて窃取する手法です。不特定多数を狙う「フィッシング」に対し、特定の担当者・役員を狙い撃ちにする「スピアフィッシング」は成功率が高く、MFAが有効でも「MFA疲労攻撃(Prompt Bombing)」や「中間者フィッシング(AiTM)」で突破されるケースが急増しています。
4. VPN・リモートアクセス機器の脆弱性悪用
未パッチのVPN機器やリモートデスクトップ(RDP)の脆弱性を悪用し、認証なしに内部ネットワークへ侵入する手法です。Ivanti・Palo Alto・Citrixなどのメジャー製品でも重大な脆弱性が相次いで発見されており、パッチ適用の遅れが直接的な侵入口になっています。
5. 内部不正・委託先からの不正アクセス
退職者のアカウントが削除されていない、外部委託業者に必要以上の権限を付与しているなど、「内側からの」不正アクセスも見逃せません。特に特権アカウント(管理者ID)が適切に管理されていない場合、内部不正が発覚しにくくなります。
技術的対策10項目
対策1:多要素認証(MFA)の全社展開
優先度:最高 / 効果:極めて高い
不正ログイン対策の中で最も費用対効果が高い施策です。パスワードが漏洩していてもMFAがあれば大半の不正アクセスを防げます。ただし、SMS認証はSIMスワップ攻撃に脆弱なため、認証アプリ(Microsoft Authenticator・Google Authenticator)またはFIDO2準拠のハードウェアキー(YubiKey等)が推奨です。
MFA疲労攻撃への対策として、Microsoft Entra IDでは「番号一致(Number Matching)」や「追加コンテキスト表示」を有効化してください。
対策2:パスワードポリシーの現代化
優先度:高 / 効果:高い
「90日ごとにパスワード変更」という従来ルールは、NISTのガイドライン(SP 800-63B)で否定されています。現代のパスワードポリシーの基準は以下のとおりです。
- 最低12文字以上(長さ重視)
- 漏洩済みパスワードリストとの照合(Have I Been Pwnedのデータベース活用)
- パスワードマネージャー(1Password・Bitwarden等)の導入推奨
- 定期変更より「漏洩検知時の即時変更」を優先
対策3:特権ID管理(PAM)の導入
優先度:高 / 効果:極めて高い
管理者アカウント(ドメイン管理者・AWSルートユーザー・DBサーバー管理者等)は攻撃者が最も狙う標的です。PAM(Privileged Access Management)により、特権IDの使用を厳格に管理します。
- Just-In-Time(JIT)アクセス: 必要なときだけ特権を付与し、使用後は即時回収
- セッション録画・監査: 特権操作をすべて記録・監査
- パスワードボールト: 特権IDのパスワードをシステムが自動管理(人間が知らない状態)
- 主要製品例: CyberArk、BeyondTrust、Microsoft Entra PIM(クラウド向け)
対策4:ゼロトラストネットワークアクセス(ZTNA)の導入
優先度:中〜高 / 効果:高い
VPNに代わる認証・アクセス制御の仕組みです。「ネットワークに接続させる」のではなく「特定のアプリケーションにだけアクセスさせる」ことで、侵入後の横展開リスクを大幅に低減します。
- 主要製品例: Cloudflare Access、Zscaler Private Access、Microsoft Entra Private Access
- VPN機器の脆弱性を排除できる点でも重要
対策5:ログ監視・SIEM/SOCの整備
優先度:高 / 効果:高い
不正アクセスの多くは「ログを見ていれば気づけた」ケースです。以下のログを収集・分析する体制を整えてください。
- 認証ログ(ログイン成功・失敗・場所・デバイス)
- 特権操作ログ(管理者操作・設定変更)
- ネットワークログ(異常な通信・大量データ転送)
主要ツール: Microsoft Sentinel、Splunk、IBM QRadar、LogRhythm
ログ収集だけでは意味がなく、24時間365日の監視体制(SOC)と組み合わせることが前提です。自社SOCの構築が難しい場合は、外部のMDR/SOCサービスの活用も検討してください。
対策6:VPN機器・リモートアクセス基盤のアップデート管理
優先度:最高 / 効果:高い
VPN機器の脆弱性放置は不正アクセスの直接的な入口になります。以下を確実に実施してください。
- パッチ適用の即時化: 重大(CVSS 9.0以上)の脆弱性は48時間以内の適用を目標に
- EOL(サポート終了)製品の廃棄: サポート終了製品は即時更新
- 攻撃面の最小化: VPNの代替としてZTNAへの移行を中期計画に組み込む
- 不要なポートの閉鎖: RDP(3389番)・SMB(445番)のインターネット露出を排除
対策7:条件付きアクセス(Conditional Access)の設定
優先度:高 / 効果:高い
「誰が・どのデバイスから・どこから・いつ」アクセスしているかを条件として、アクセスの許可・拒否・追加認証要求を動的に判断する仕組みです。
- 海外IPからのアクセスをブロック: 業務上不要な国・地域からのアクセスを制限
- 未管理デバイスからのアクセス制限: Intuneに登録されていないデバイスはブロックまたは限定アクセス
- リスクベース認証: 異常なサインインリスクを検知した場合に追加認証を要求(Microsoft Entra ID P2)
対策8:メールセキュリティ強化(フィッシング対策)
優先度:高 / 効果:高い
フィッシングメールによる認証情報窃取はいまだ最も多い侵入起点です。
- SPF・DKIM・DMARCの設定: なりすましメールのブロック
- メールセキュリティゲートウェイ: Microsoft Defender for Office 365、Proofpoint、Mimecastなどで添付ファイル・リンクをサンドボックス解析
- フィッシングシミュレーション訓練: 定期的に疑似フィッシングを実施し、クリック率・報告率を測定
対策9:エンドポイント保護(EDR)の導入
優先度:高 / 効果:高い
不正アクセスが成功した後の侵害活動(マルウェア実行・情報窃取・横展開)を検知・ブロックするために、EDR(Endpoint Detection and Response)は必須です。
- 主要製品例: CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne
- アンチウイルスとEDRの違いは「検知後の対応能力」。EDRは侵害の痕跡(IOC/IOA)を追跡し、根本原因を特定できる
対策10:不要アカウント・権限の棚卸し
優先度:中〜高 / 効果:高い
退職者や異動者のアカウントが残存していることは「使われていない鍵が外に落ちている」状態と同じです。
- アカウントの定期棚卸し: 四半期ごとに全アカウントのアクティビティを確認
- ゲストアカウント・サービスアカウントの管理: Microsoft 365のゲストユーザー・AWSのIAMユーザーも対象
- 最小権限の原則: 業務に必要な最小限の権限のみ付与(Least Privilege)
技術的対策の優先度・費用目安テーブル
# | 対策項目 | 優先度 | 年間費用目安(50名規模) | 難易度 |
|---|---|---|---|---|
1 | 多要素認証(MFA)全社展開 | ★★★ 最高 | 無料〜30万円 | 低 |
2 | パスワードポリシー現代化+パスワードマネージャー | ★★★ 最高 | 10〜30万円 | 低 |
3 | VPN機器のパッチ管理・アップデート | ★★★ 最高 | 保守費用内 | 低〜中 |
4 | メールセキュリティ(DMARC設定) | ★★★ 最高 | 無料〜20万円 | 低 |
5 | 不要アカウント・権限の棚卸し | ★★★ 最高 | 人件費のみ | 低 |
6 | 条件付きアクセス設定 | ★★ 高 | M365 P1ライセンス費用内 | 中 |
7 | EDR導入 | ★★ 高 | 50〜150万円 | 中 |
8 | 特権ID管理(PAM) | ★★ 高 | 100〜300万円 | 高 |
9 | ログ監視・SIEM整備 | ★★ 高 | 50〜200万円 | 高 |
10 | ZTNA導入(VPN代替) | ★ 中 | 100〜500万円 | 高 |
運用的対策:アカウントライフサイクル管理と不審ログイン検知
技術的な仕組みを入れても、運用ルールが整っていなければ意味がありません。
アカウントライフサイクル管理
入社・異動・退職のタイミングで確実に実行することが重要です。
タイミング | やるべきこと |
|---|---|
入社時 | 業務に必要な最小限の権限のみ付与・MFAの設定完了を確認 |
異動時 | 旧部署の権限を即時剥奪・新部署の権限のみ付与 |
退職時 | 退職当日(または業務終了直後)にすべてのアカウントを無効化 |
四半期棚卸し | 90日以上ログインのないアカウントを無効化・削除 |
不審ログインの検知ルール
以下のアクティビティを「要調査」として自動アラートする体制を整えてください。
- Impossible Travel(物理的に不可能な移動): 東京から1時間以内にアメリカからログイン
- 通常と異なる時間帯のログイン: 深夜・休日・祝日のアクセス
- 短時間の多数ログイン失敗: ブルートフォース・パスワードスプレーの兆候
- 海外・匿名プロキシからのアクセス: Tor・VPNサービス経由のアクセス
- 権限昇格・大量データダウンロード: アカウント乗っ取り後の挙動
Microsoft Entra ID(旧Azure AD)の「Identity Protection」や「Microsoft Sentinel」のサインインリスクポリシーを活用することで、これらを自動検知・対応できます。
クラウドサービス別の不正アクセス対策
Microsoft 365(Entra ID)
Microsoft 365はビジネス用途で最も普及しているSaaSであり、攻撃者にとっても最も魅力的なターゲットです。
最低限やるべき設定:
- セキュリティの既定値群(Security Defaults)の有効化: MFA・レガシー認証ブロック・管理者保護が自動適用される
- レガシー認証プロトコルのブロック: POP3・IMAP・SMTP AUTHなどはMFAを迂回できるため必ずブロック
- グローバル管理者アカウントの分離: 通常業務では使用しない専用アカウントで運用
- Microsoft Entra PIMの有効化: Just-In-Timeで管理者権限を付与
- サインインログの保存期間確認: P1以上のライセンスで30日分のログを保存
AWS
最低限やるべき設定:
- ルートアカウントのMFA必須化: ルートアカウントは日常業務では使用しない
- IAMユーザーではなくIAMロールを使用: アクセスキーの長期保持を排除
- AWS Organizations + SCPによるガードレール: 組織全体のセキュリティポリシーを強制適用
- AWS CloudTrailの有効化: 全リージョンのAPI操作ログを記録・S3に保存
- AWS GuardDutyの有効化: 異常な動作(クレデンシャル窃取の疑い等)をMLで検知
Google Workspace(G Suite)
最低限やるべき設定:
- 2段階認証プロセスの強制適用: 管理コンソールから全ユーザーに強制
- フィッシング耐性の高い認証(パスキー/FIDO2キー)の導入
- 外部アプリへのOAuth連携の審査: 不審なサードパーティアプリへのアクセス許可を制限
- Google Workspace Alert Centerの監視: 不審なアクティビティの自動アラートを受信
- データ保護ポリシー(DLP)の設定: Gmailや Drive経由の機密情報漏洩を防止
不正アクセス発生時の初動対応
万が一、不正アクセスが発覚した(または疑われる)場合は、以下の手順で迅速に対応してください。
Step 1:影響範囲の特定(発覚後 0〜2時間)
- 不正アクセスを受けたアカウント・システムを特定する
- 認証ログ・アクセスログを保全する(削除・改ざんされる前に)
- 攻撃者がまだシステム内に潜伏しているか確認する
Step 2:封じ込め(発覚後 2〜4時間)
- 侵害アカウントを即時無効化・パスワードリセット
- 侵害が確認されたデバイスをネットワークから隔離
- 攻撃に使われた侵入経路(脆弱なVPN・フィッシングリンク等)を閉鎖
Step 3:証拠保全・原因調査(発覚後 4〜24時間)
- フォレンジック用にディスクイメージ・メモリダンプを取得
- 攻撃の全体像(最初の侵入→横展開→目的)をタイムラインで再構築
- ログを外部の安全な場所に保存(証拠改ざん防止)
Step 4:報告・通知(並行して実施)
- 経営層・取締役への報告
- 個人情報保護委員会への報告: 個人データが漏洩した可能性がある場合、72時間以内の速報が義務(改正個人情報保護法)
- 警察への被害届: 不正アクセス禁止法違反として届け出る
- 顧客・取引先への通知: 影響を受ける可能性がある場合は誠実に通知
Step 5:再発防止(1〜4週間)
- 根本原因を特定し、技術・運用の両面で対策を実施
- 外部セキュリティ専門家によるインシデント後のペネトレーションテストを実施
- 再発防止策の有効性を確認
対策コスト・費用目安まとめ
企業規模・既存環境によって費用は大きく変わりますが、50名規模の中堅企業を想定した目安です。
対策カテゴリ | 具体的な対策 | 年間費用目安 |
|---|---|---|
認証強化 | MFA(Authenticatorアプリ)+ パスワードマネージャー | 10〜50万円 |
Microsoft 365強化 | Entra ID P1ライセンス(条件付きアクセス・PIM) | 30〜80万円 |
エンドポイント保護 | EDR(Defender for Endpoint等) | 50〜150万円 |
ログ監視・SOC | 外部SOCサービス(MDR)委託 | 100〜400万円 |
特権ID管理 | PAMツール(BeyondTrust・CyberArk等) | 100〜300万円 |
ZTNA(VPN代替) | Cloudflare Access / Zscaler等 | 100〜500万円 |
セキュリティ診断 | 年1回のペネトレーションテスト | 50〜200万円 |
フェーズ1合計(認証強化のみ) | MFA+パスワード管理+M365設定見直し | 50〜130万円 |
フェーズ2合計(基本的な対策一式) | 上記+EDR+SOC委託 | 200〜700万円 |
投資対効果の観点から、まず「MFA全社展開」「VPNパッチ管理」「不要アカウント棚卸し」の3点を最優先で実施することを推奨します。 この3点だけで、よくある不正アクセスの大半を防ぐことができます。
まとめ:不正アクセス対策の優先順位
不正アクセス対策は「完璧な防御」を目指すのではなく、「攻撃者にとってコスパが悪い標的にする」ことが本質です。以下の優先順位で取り組んでください。
今すぐやるべきこと(コスト:低〜中)
- 全社員へのMFA適用(特に管理者アカウントは必須)
- VPN機器・リモートアクセス基盤の緊急パッチ適用
- 退職者・休眠アカウントの棚卸しと削除
- DMARC設定によるメールなりすまし対策
3〜6ヶ月以内に取り組むべきこと(コスト:中)
- 条件付きアクセスの設定(Microsoft 365・Google Workspace)
- EDRの導入
- パスワードマネージャーの全社展開
- フィッシングシミュレーション訓練の開始
6〜12ヶ月以内を目標とするもの(コスト:高)
- 特権ID管理(PAM)の導入
- ログ監視・SOC体制の整備
- ZTNAへの移行計画策定
不正アクセスへの対策は、自社のセキュリティ状況を正確に把握することが出発点です。「何が守れていて、何が守れていないか」を明確にするために、外部専門家によるセキュリティアセスメント・ペネトレーションテストの活用が有効です。
自社の不正アクセスリスクを把握したい方へ
AEVUSでは、企業の不正アクセスリスクを実際の攻撃者視点で評価するペネトレーションテスト(侵入テスト)を提供しています。
- 外部からの侵入経路の特定(VPN・公開サービスの脆弱性)
- 内部ネットワークの横展開シミュレーション
- 特権アカウントへの到達可能性の検証
- レポートと改善提案のご提供
「自社が今どれだけ危ないか知りたい」という方は、まずお気軽にご相談ください。
本記事は2026年6月時点の情報をもとに作成しています。セキュリティの状況は日々変化するため、最新情報は各ベンダーの公式情報および警察庁・IPAの発表をあわせてご確認ください。
