不正アクセスの有名事件6選|手口と今すぐできる対策を解説
大手企業や公的機関からの不正アクセス被害の事件が後を絶ちません。「自社で扱う個人情報は大丈夫なのか」「使っているサービスの安全性に問題はないか」と不安に感じている方も多いのではないでしょうか。
本記事では、不正アクセス事件に関心を持つ方に向けて、実態と対策をわかりやすく解説します。最新の事件事例から、今すぐできる対策までを網羅しています。
不正アクセスとは
不正アクセスとは、アクセスする権限を持たない第三者がサーバーや情報システム、個人のアカウントなどに不正に侵入する行為のことです。日本では不正アクセス行為の禁止等に関する法律(通称:不正アクセス禁止法)によって、このような行為は明確に禁止されています。
この法律は、IDやパスワードを盗み見てログインする行為だけでなく、他人のパスワードを無断で第三者に教える行為なども規制対象としています。
不正アクセスの目的は多岐にわたりますが、多くは金銭的な利益や情報の窃取を狙ったものです。例えば、盗み出した個人情報を闇市場で売買したり、クレジットカード情報を悪用して不正に買い物をしたりするケースが挙げられます。
また、企業の機密情報を盗んで競合他社に売却したり、ランサムウェアと呼ばれるウイルスを使ってシステムを人質に取り、身代金を要求したりする手口も深刻化しています。
参考:e-Gov 法令検索|不正アクセス行為の禁止等に関する法律
不正アクセスの主な手口
本章では、代表的な不正アクセスの手口を4つ紹介します。手口を知っておくことが、被害を防ぐための第一歩です。
フィッシング詐欺
フィッシング詐欺は、身近で被害の多い手口の一つです。攻撃者は、金融機関、ECサイト、公的機関などを巧みに装い、「アカウントの確認が必要です」「セキュリティ警告」といった件名で利用者の不安を煽ります。
送られてきたメールやSMSに記載されたリンクをクリックすると、本物そっくりの偽サイトに誘導され、入力したIDやパスワード、クレジットカード情報などがすべて盗まれてしまいます。最近では、生成AIの悪用により、日本語の文章が非常に自然になっているため、見分けるのが一層困難になっている状況です。
システムの弱点を突く攻撃
ソフトウェアやアプリケーションは、人間が作っている以上、どうしても設計上のミスやプログラムの不具合(脆弱性)が存在します。攻撃者はこの脆弱性を悪用して、システムに不正侵入します。
特にソフトウェアの提供元が脆弱性を認識し、修正プログラムを配布する前に攻撃を仕掛ける手法はゼロデイ攻撃と呼ばれ、防御が困難です。私たちが普段利用しているパソコンのOSやスマートフォンのアプリを常に最新の状態に保つことが、この種の攻撃から身を守るために重要です。
ウイルス感染を利用した攻撃
ウイルス(マルウェア)は、不正アクセスのための強力な道具として使われます。メールの添付ファイルや、改ざんされたWebサイトなどを通じて、私たちのデバイスに忍び込むため注意しましょう。
一度感染すると、キーボードの入力を記録してパスワードを盗んだり、遠隔操作でデータを盗み出したり、デバイスをロックして身代金を要求するランサムウェアに感染させたりと、さまざまな被害を引き起こします。信頼できない送信元からのファイルは開かない、怪しいサイトは閲覧しないといった基本的な注意が重要です。
第三者になりすます攻撃
古典的でありながら、今なお多発しているのが、なりすましによる不正ログインです。攻撃者は、フィッシング詐欺や他の事件で漏洩したID・パスワードのリストを使い、さまざまなサービスでログインを試みます(パスワードリスト攻撃)。
また、簡単なパスワード(例:password、123456)や、利用者の名前や誕生日から推測できるパスワードを片っ端から試すブルートフォース攻撃と呼ばれる手法も有名です。複数のサービスで同じパスワードを使い回していると、一つのサービスから情報が漏洩しただけで、他のすべてのアカウントが危険に晒されます。
最近起こった不正アクセスの有名事件6選
本章では、私たちの記憶に新しい、近年発生した大規模な不正アクセス事件を6つ紹介します。
事件1:KADOKAWAへの大規模サイバー攻撃
KADOKAWAは、2024年6月8日にグループ内の複数サーバーでアクセス不能となる障害が発生し、調査の結果、ニコニコ関連サービスを狙ったランサムウェアを含む大規模なサイバー攻撃を受けたと発表しました。被害はドワンゴ専用ファイルサーバーなどデータセンター内にも及んでいます。
取引先や面接応募者、学校法人角川ドワンゴ学園(N高など)の在校生・卒業生・保護者、従業員などに関する個人情報が計254,241人分漏えいしたことを確認しています。また、一部契約書などの企業情報や社内文書の漏えいも判明しました。
参考:株式会社KADOKAWA|ランサムウェア攻撃による情報漏洩に関するお知らせ
事件2:大手テーマパーク「キッザニア」の情報流出
キッザニアのWebサイトが外部から不正アクセスを受け、キッザニア東京の予約時に登録された一部顧客の個人情報が流出したことが判明しました。2024年10月16日に不正アクセスを検知して防御措置を実施したものの、翌17日に個人情報流出のおそれが判明し、同日中に遮断措置を行っています。
10月22日に第一報を公表し、その後、外部専門機関の協力を得て調査を進めた結果、10月17日以前に予約登録された顧客のうち24,644件の情報が流出したと確定しました。流出した可能性があるのは、氏名、メールアドレス、電話番号、住所です。
参考:KCJ GROUP株式会社|不正アクセス発生による一部のお客様の個人情報流出に関するお詫びと調査結果のご報告
事件3:損害保険ジャパン子会社の顧客情報流出
損害保険ジャパンは2025年6月11日、社内システムが不正アクセスを受け、最大で約1,750万件の顧客情報が外部に閲覧・漏えいした可能性があると発表しました。第三者が外部から侵入し、4月17日〜21日の期間、顧客情報にアクセスできる状態になっていたということです。
漏えいの可能性がある情報には、契約者の氏名や連絡先、保険の証券番号などが含まれます。件数の内訳は、氏名や連絡先など個人情報が約727万件、損保ジャパンのデータベースと照合しないと個人を特定できないデータが約844万件で、重複データも含まれるとしています。
参考:損害保険ジャパン株式会社|当社システムに対する不正アクセスの発生及び情報漏えいの可能性について(第2報)
事件4:日本経済新聞社のSlackアカウント侵害
日本経済新聞社は、業務で使用しているビジネスチャットのSlackに外部から不正ログインが行われ、社員や取引先などの情報が流出した疑いがあると発表しました。原因は、社員が個人で使用していたパソコンがウイルスに感染し、Slackの認証情報が漏えいしたこととみられています。
第三者はその情報を使って社員アカウントに侵入した可能性があります。日経は9月に被害を把握し、パスワード変更などの対策を実施しました。流出した可能性があるのは、Slackに登録されていた氏名・メールアドレス・チャット履歴など、計1万7,368人分の情報です。
参考:日本経済新聞社|本社に不正ログイン、個人情報流出か 外部から「Slack」に
事件5:TOKAIコミュニケーションズのメールサービス被害
TOKAIコミュニケーションズは、法人向けメールサービスのOneOffice Mail Solutionでサーバーが不正アクセスを受け、一部情報が外部に漏えいした可能性があると発表しました。2025年12月3日、スパムメール隔離サービスであるOneOffice SPAM Filteringのサーバーで不審なアクセスを検知し、ベンダーのCiscoと連携して調査を実施しています。
その結果、Cisco製品の脆弱性を悪用され、スパム隔離サーバーのほか、アカウント情報を管理するLDAPサーバー、システムログ保管サーバーに不正アクセスの痕跡が確認されました。漏えいの可能性があるのは、隔離されたメール本文に含まれる情報や、ホワイトリスト/ブラックリストに登録された情報などです。
影響は最大で465ドメイン、78,382メールアドレス、隔離メール約356万通、リスト情報約29万件に及んでいます。
参考:株式会社TOKAIコミュニケーションズ|OneOffice メールソリューションにおける不正アクセスによる 新たな個人情報漏洩の可能性についてのお知らせとお詫び(第二報)
事件6:不正アクセスによる楽天モバイル契約締結
2025年3月、他人のID・パスワードを不正に使い、楽天モバイルのサーバーへ侵入して通信回線を契約したとして、警視庁と神奈川県警の合同捜査本部は17歳の少年を不正アクセス禁止法違反と電子計算機使用詐欺の疑いで逮捕しました。
また、横浜市の高校2年生の少年(17歳)も同容疑で書類送検される見通しです。捜査によると2人は闇サイトから他人のID・パスワードを数億件入手し、その中から楽天の情報を抽出するため、別事件で摘発された中学生が作成したプログラムを悪用した疑いがあります。
このプログラムはChatGPTなどを使って開発されたとされています。2人は昨年4月、6人分の楽天アカウントで不正ログインし、そのうち1人の情報を使って4回線を契約した疑いで容疑を認めました。
警察は約100回線を不正契約し、テレグラムで1回線約12,000円で転売していた可能性があるとみています。
参考:朝日新聞社|楽天モバイルへ不正アクセス容疑、少年ら摘発 通信回線を転売か
不正アクセス事件が起こる兆候と確認方法
本章では、自身のデバイスやアカウントに不審な点がないか確認するためのチェックリストと、兆候に気づいた際の初期対応について解説します。
確認すべき兆候チェックリスト
以下の項目に一つでも当てはまるものがあれば、不正アクセスの被害に遭っている可能性があります。定期的に確認する習慣をつけましょう。
【アカウント関連】
-
身に覚えのないログイン通知や、パスワード変更のメールが届いた
-
オンラインサービスの購入履歴や利用履歴に、見覚えのないものがある
-
SNSなどで、自分が投稿していないはずの書き込みがされている
-
登録していたメールアドレスや電話番号が、いつの間にか変更されている
【デバイス(PC/スマートフォン)関連】
-
デバイスの動作が急に重くなった、または頻繁にフリーズするようになった
-
バッテリーの減りが異常に早くなった
-
データ通信量が、特に何もしていないのに急増している
-
インストールした覚えのないアプリが存在する
-
カメラやマイクが、意図しないタイミングで勝手に作動することがある
【その他】
-
知人などから「あなたから不審なメールやメッセージが送られてきた」と連絡があった
-
クレジットカードの明細に、身に覚えのない請求がある
兆候に気づいたときにまずやるべきこと
もし上記のチェックリストで当てはまる項目があった場合、慌てず冷静に対処することが重要です。被害の拡大を防ぐために、以下の手順で行動してください。
【ネットワークからの切断】
不審な動作をしているデバイスを、Wi-Fiや有線LANから切断します。これにより、攻撃者が外部からデバイスを操作したり、情報を盗み出したりするのを防ぎます。
【パスワードの変更】
別の安全なデバイス(感染の疑いがないPCなど)を使って、不正ログインが疑われるサービスのパスワードをただちに変更します。他のサービスでも同じパスワードを使い回している場合は、それらすべてのパスワードも変更してください。
【証拠の保全】
不審なメール、SMS、ログイン履歴のスクリーンショットなど、被害の証拠となるものを可能な限り保存しておきます。これらの情報は、後でサービス提供会社や警察に相談する際に役立ちます。
不正アクセス事件の被害者にならないための対策7選
不正アクセスは、日々の少しの心がけで、そのリスクを大幅に減らせます。本章では、専門家でなくても今日からすぐに実践できる、効果的な7つの対策を紹介します。
1. パスワードの使い回しをやめ、複雑なものにする
パスワード管理は、セキュリティ対策の基本的な要素です。サービスごとに異なる、推測されにくいパスワードを設定しましょう。
複雑なパスワードを作成し、安全に管理するためのポイントは以下のとおりです。
【複雑さ】
-
12文字以上の長さを推奨
-
英大文字、英小文字、数字、記号をすべて組み合わせる
【推測されにくさ】
-
名前、誕生日、電話番号、辞書に載っている単語などは避ける
【管理方法】
-
パスワード管理ツール(アプリ)を利用する
-
ブラウザのパスワード保存機能も便利だが、マスターパスワードを設定して保護する
2. 多要素認証(MFA)を設定する
多要素認証(MFA)は、不正ログインに対する非常に強力な防御策です。IDとパスワードによる知識情報に加えて、SMSで送られてくる確認コード(所持情報)や、指紋認証(生体情報)など、2つ以上の要素を組み合わせて本人確認を行います。
万が一パスワードが漏洩しても、攻撃者は次の認証を突破できないため、アカウントを乗っ取られるリスクを劇的に低減できます。主要なオンラインサービスや金融機関の多くが対応しているので、必ず設定しておきましょう。
3. OSやアプリは常に最新の状態に保つ
使用しているPCやスマートフォンのOS、インストールしているアプリケーションは、常に最新のバージョンにアップデートしてください。ソフトウェアのアップデートには、新機能の追加だけでなく、発見された脆弱性を修正するためのセキュリティパッチが含まれています。
アップデートを後回しにすることは、攻撃者に対して「どうぞ侵入してください」と玄関の鍵を開けているのと同じ行為です。自動アップデート機能を有効にしておくことを強く推奨します。
4. 怪しいメールやSMSのURLは絶対にクリックしない
フィッシング詐欺から身を守るための基本原則です。「緊急」「重要」「当選」といった言葉で不安や欲望を煽るメッセージには特に注意が必要です。
送信元のメールアドレスが公式なものと少しでも違う、日本語の表現が不自然であるなどの違和感があれば、それは詐欺の可能性が高いです。本文中のリンクはクリックせず、ブックマークや公式アプリからサービスにアクセスする習慣をつけましょう。
5. 公共のフリーWi-Fi利用時は個人情報を入力しない
カフェや駅などで提供されているフリーWi-Fiは非常に便利ですが、セキュリティ上のリスクも伴います。通信が暗号化されていないWi-Fiを利用すると、同じネットワークに接続している悪意のある第三者に通信内容を盗み見られる可能性があります。
フリーWi-Fi利用中は、ネットバンキングへのログインや、クレジットカード情報、ID・パスワードの入力といった重要な操作は避けるべきです。どうしても利用する必要がある場合は、VPN(仮想プライベートネットワーク)を利用して通信を暗号化しましょう。
6. セキュリティソフトを導入する
PCやスマートフォンに信頼できる総合セキュリティソフトを導入することは、ウイルス感染やフィッシング詐欺を防ぐうえで非常に効果的です。セキュリティソフトは、既知のウイルスを検知・駆除するだけでなく、不審なWebサイトへのアクセスをブロックしたり、未知のウイルスの疑わしい振る舞いを検知したりする機能も備えています。
有料のソフトはより多機能でサポートも充実しているため、より安全性を高めるには導入を検討する価値があります。
7. 使わなくなったサービスは退会(アカウント削除)する
過去に登録したものの、現在はもう使っていないオンラインサービスのアカウントはないでしょうか。放置されたアカウントは、自分では気づかないうちに不正アクセスの被害に遭い、情報漏洩の原因となることがあります。
定期的に利用しているサービスを見直し、不要になったものは速やかに退会(アカウント削除)手続きを行いましょう。これにより、管理すべきパスワードが減り、情報漏洩のリスクを根本から減らせます。
不正アクセス事件の被害に遭ってしまった場合の対処法
万全の対策をしていても、被害に遭ってしまう可能性はゼロではありません。もし不正アクセスの被害に遭ってしまったら、どこに連絡して何をすべきなのか、以下に示します。
ステップ1:サービス提供会社への連絡
最初に、不正アクセスされたと思われるサービスの提供会社に連絡します。多くの企業は、不正アクセス専用の問い合わせ窓口やヘルプデスクを設けています。
被害の状況を正確に伝え、アカウントの一時停止や、不正な取引の取り消しが可能かなどを相談してください。迅速な連絡が、被害の拡大を防ぐ鍵を握っています。
ステップ2:警察への相談
不正アクセスは犯罪です。最寄りの警察署、または各都道府県警察のサイバー犯罪相談窓口に相談しましょう。
被害届を提出することで、正式な捜査が開始される可能性があります。相談する際には、事前に保存しておいた被害の証拠(スクリーンショットなど)や、サービス提供会社とのやり取りの記録を持参すると、話がスムーズに進みます。
以下に、相談窓口ごとの特徴をまとめました。
【最寄りの警察署】
直接訪問して相談できます。緊急性が高い場合に適しています。
【都道府県警察のサイバー犯罪相談窓口】
電話やWebサイトのフォームから相談できます。「#9110」に電話すると、最寄りの相談窓口につながります。
【サイバー警察局(警察庁)】
全国のサイバー犯罪に関する情報が集約されています。情報提供も受け付けています。
ステップ3:クレジットカード会社・金融機関への連絡
もし、不正アクセスによってクレジットカードが不正利用されたり、銀行口座から不正な送金が行われたりした場合は、ただちに利用しているカード会社や金融機関に連絡してください。カードの利用停止手続きを行い、不正利用された分の支払いについて補償が受けられるかを確認します。
多くのカード会社では、不正利用に対する補償制度を設けていますが、連絡が遅れると対象外になる場合もあるため、一刻も早い対応が求められます。
まとめ:不正アクセスは他人事ではない|正しい知識で組織を守ろう
本記事では、不正アクセスの基本的な知識から、近年発生した具体的な事件、私たち一人ひとりが実践できる対策までを詳しく解説しました。KADOKAWAやキッザニアのような大企業でも被害に遭う現実を見れば、不正アクセスがもはや他人事ではないことが理解できたと思います。
攻撃の手口は日々巧妙化しており、個人だけでなく、企業や組織全体でセキュリティ意識を高め、対策を講じていくことが不可欠です。特に企業においては、個人の対策だけでは防ぎきれない組織的な攻撃に備える必要があります。
VPN機器の脆弱性管理、サプライチェーンリスクの評価、従業員への継続的なセキュリティ教育、そして万が一の事態に備えたインシデント対応計画の策定など、取り組むべき課題は山積しています。しかし、どこから手をつければ良いかわからない、専門的な知識を持つ人材がいないといった悩みを抱える企業も少なくありません。
自社の不正アクセス対策に課題を感じている場合は、TDCソフトにご相談ください。導入して終わりではなく、日々の運用から万が一のインシデント対応まで、現場で本当に機能し長く任せられるセキュリティ対策を提供いたします。
