サイバー攻撃の6割は「侵入」ではなく「ログイン」

攻撃者が狙う意外な入口

「サイバー攻撃」と聞くと、何か特別な技術でシステムをこじ開けられるような場面を想像するかもしれません。

ですが、実際にはもっと地味で、もっと身近な入口が使われています。

それが、正規のIDとパスワードで“普通にログインされる”攻撃です。

CrowdStrikeは、日本で2022年に観測した侵入のうち60%が有効なアカウントの悪用を含んでいたと報告しています。

つまり、攻撃者は必ずしも「壁を壊して入る」とは限りません。

合鍵を手に入れて、正面から入ってくる。

今の攻撃は、そう考えた方が実態に近い場面が増えています。

IPA（独立行政法人 情報処理推進機構）も、流出したID・パスワードや推測されたパスワードが悪用され、不正ログイン被害が増えていると注意喚起しています。

「侵入」ではなく「ログイン」とはどういうことか

昔ながらのサイバー攻撃のイメージは、外からシステムの弱点を突いて無理やり入り込むものです。もちろん今でも、脆弱性を突く攻撃はあります。

ただ最近はそれに加えて、盗まれたIDとパスワードを使って、本人になりすまして入る動きが非常に目立っています。Microsoftも、有効なアカウントの悪用は頻繁に観測される手口であり、盗難・フィッシング・総当たり・ソーシャルエンジニアリングで得た認証情報を使って、従来の警戒をすり抜けながら侵入できると説明しています。

ここがやっかいです。

正しいIDとパスワードで入られると、システム側から見ると一見「いつもの利用者」に見えてしまいます。

その結果、

• 不審な通信として気づきにくい

• ウイルス対策だけでは防ぎにくい

• 発見が遅れやすい

• メール、クラウド、共有フォルダまで静かに見られやすい

という問題が起きます。

派手な警告が出ないまま、あとから

「取引先に変なメールが送られていた」

「クラウド上のファイルが見られていた」

「経理担当になりすました送金依頼が出ていた」

と分かることもあります。

なぜ攻撃者はこの方法を好むのか

理由は単純です。

成功しやすく、目立ちにくいからです。

システムの弱点を探して攻撃するには、時間も技術も必要です。

一方で、IDとパスワードさえ手に入れば、ログイン画面からそのまま入れることがあります。

しかも、認証情報の入手方法はいくらでもあります。

たとえば、

• フィッシングメールでだます

• 偽のログイン画面に入力させる

• 他サービスから流出したパスワードを試す

• 使い回しパスワードを狙う

• 共有アカウントを悪用する

• 退職者アカウントが残っているところを突く

といった形です。

IPAの「情報セキュリティ6か条」でも、流出したID・パスワードの悪用による不正ログイン被害が増えているため、パスワードは「長く」「複雑に」「使い回さない」ことが重要だと明記されています。

「パスワード管理」が地味でも最重要な理由

セキュリティ対策というと、高度な仕組みや高価な製品に目が向きがちです。

ですが、現場で本当に差が出やすいのは、もっと基本的なところです。

それが認証情報の管理です。

なぜなら、攻撃者が正規ログインを狙うなら、守る側がまず整えるべきなのもログインまわりだからです。

たとえば、どれだけ高性能なセキュリティ製品を入れていても、

• 同じパスワードを何年も使っている

• 複数サービスで使い回している

• 社内で共有アカウントを使っている

• MFAを設定していない

• 誰がどの権限を持っているか把握していない

という状態だと、入口が開いたままになりやすいです。

Microsoftも、クラウド環境では「誰がどこにアクセスできるか」の把握が難しくなりやすく、その複雑さが攻撃者に悪用されると指摘しています。

つまり、パスワード管理は細かい運用の話ではなく、会社の入口の鍵をどう管理するかという話です。

中小企業ほど「うちは狙われない」が危ない

中小企業の現場では、こんな声をよく聞きます。

「うちは大企業じゃないから狙われない」

「そんな機密情報はない」

「小さい会社だから大丈夫」

ですが、攻撃者は必ずしも会社の知名度だけで相手を選んでいません。

入りやすいところを狙うことは普通にありますし、取引先への踏み台として使われることもあります。 実際、経済産業省のSCS評価制度は、サプライチェーン全体でセキュリティ対策を底上げするため、取引先に対して求める対策を可視化する仕組みとして設計されています。これは裏を返すと、中小企業の認証管理や基本対策が、取引継続の観点でも重要になるということです。

今すぐ見直したい5つのポイント

では、何から始めればよいのでしょうか。

まずは、次の5つを見直すだけでも意味があります。

1. パスワードの使い回しをやめる

同じパスワードを複数サービスで使っていると、どこか1か所の流出が他のサービスにも波及します。まずは、メール・クラウドストレージ・会計・EC・グループウェアなど、重要なものから分けるだけでも違います。IPAも「使い回さない」ことを推奨しています。

2. 長くて推測しにくいものに変える

短く単純なパスワードは、推測や解析に弱くなります。「覚えやすいけれど短いもの」より、長めで、他人が思いつきにくいものを使う方が現実的です。IPAの自社診断でも、長く複雑なパスワード設定が確認項目になっています。

3. MFA（多要素認証）を有効にする

IDとパスワードが漏れても、もう一段階の認証があれば止められる可能性が上がります。メール、Microsoft 365、Google Workspace、会計サービスなど、主要なクラウドは優先して設定したいところです。CrowdStrikeも有効なアカウント悪用への対策として、多要素認証の追加を挙げています。

4. 共有アカウントを減らす

「みんなで同じIDを使う」は、便利に見えてかなり危険です。誰が使ったのか分からず、退職・異動の管理もしづらく、漏えい時の影響も大きくなります。できるだけ個人単位に分けた方が、事故の切り分けもしやすくなります。

5. 使っていないアカウントを残さない

元社員、外部委託、短期利用のアカウントが残っていないか。この点検は地味ですが重要です。ログインできる入口が残っているだけで、リスクは消えません。

本当に怖いのは「特別な攻撃」ではなく「普通に入られること」

サイバー攻撃を難しく考えすぎると、「専門家にしか分からない話」に見えてしまいます。

でも実際には、かなりの部分がログインの管理をどうするかという身近な問題につながっています。

• パスワードを使い回していないか

• MFA（多要素認証）を設定しているか

• 共有アカウントが残っていないか

• 退職者のIDが生きたままになっていないか

• ログイン通知や履歴を見ているか

このあたりを整えることは、派手ではありません。

ですが、「侵入されない」ための対策というより、「勝手にログインされない」ための対策として考えると、優先順位がかなりはっきりします。

まとめ

これからの攻撃は、システムを壊して入るものだけではありません。

正しいIDとパスワードで、静かに入ってくる攻撃を前提にした方が現実的です。

だからこそ、パスワード管理は「基本だから後回し」ではなく、むしろ最初に整えるべき対策です。

もし今、

• パスワードの使い回しがある

• MFA（多要素認証）が一部しか入っていない

• 社内で共有アカウントが残っている

• クラウドの権限管理があいまい

という状態なら、そこは見直しどころです。

大がかりな対策の前に、まずは会社の入口の鍵を、ちゃんと管理できているか。

そこから確認してみるのがよいと思います。

「うちも少し不安かも」と感じたら、まずは今のID管理やパスワード運用を一度見直してみるのがおすすめです。

ITワークラボでは、中小企業向けに、アカウント管理・パスワード運用・多要素認証の整理など、現場に無理のない形で見直しをお手伝いしています。

「何から手を付ければよいか分からない」という段階でも大丈夫です。

気になることがあれば、お気軽にご相談ください。初回相談は無料です。

📖 あわせて読みたい

関連ページ

• IT・セキュリティ体制構築の支援内容は、「サービスページ」でご案内しています。

• 実際のご相談事例は、「導入事例」でもご紹介しています。

• ITワークラボの考え方は、「ITワークラボについて」をご覧ください。