1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. セキュリティ用語
  5. 不正アクセスとは-定義・件数・手口・目的・防止策を専門家が解説【2026年最新】

不正アクセスとは-定義・件数・手口・目的・防止策を専門家が解説【2026年最新】

セキュリティニュース

投稿日時: 更新日時:

不正アクセスとは 具体的な手口や被害事例を解説

ニュースやSNSで「不正アクセス」という言葉を頻繁に目にするようになりましたが、その定義や手口、被害事例について正確に把握している方はまだ少ないのが現実です。この記事ではセキュリティ対策Labが、不正アクセスとは何かを定義から解説し、最新の手口・被害事例・防止策まで網羅的に説明します。

不正アクセスとは

総務省の定義によると、不正アクセスとは「正当な権限を持たない者が、他人のPCやスマートフォン、ネットワークに侵入すること」を指します。

重要なのは、「侵入後に情報が漏洩したかどうか」は問わないという点です。侵入行為そのものが不正アクセスであり、機密情報の漏洩や個人情報の流出は「結果」として生じる事象に過ぎません。

不正アクセスは「不正アクセス禁止法」に該当

不正アクセスは「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」によって規制されています。同法は不正アクセス行為に加え、IDやパスワードなどの識別符号の不正取得・保管行為、不正アクセスを助長する行為を広く禁止しています。違反した場合、3年以下の懲役または100万円以下の罰金が科せられます。

不正アクセスの件数——最新統計(2025年)

警察庁が2025年3月13日に発表した統計によれば、2024年の不正アクセス認知件数は2023年比で約15.1%減少しました。

ただし、件数の減少が「脅威の低下」を意味するわけではありません。2025年9月に発表された「令和7年上半期サイバー空間をめぐる脅威の情勢等」では、以下の深刻な実態が明らかになっています。

  • フィッシング報告件数:2025年上半期で119万6,314件。2024年の171万8,036件から更に増加ペースを維持しており、このままでは2025年が過去最多になると見込まれています。
  • ランサムウェア被害:2025年上半期で116件、過去最多(2022年下半期と並ぶ)。調査・復旧費用が1,000万円以上を要した組織の割合は50%から59%に増加しています。
  • インターネットバンキング不正送金:2025年上半期で2,593件、被害総額は約42億2,400万円。特に法人口座の被害額は2025年上半期だけで22億7,500万円に上り、2024年通年(11億2,600万円)をすでに超過しています。
  • 不審なアクセス件数:1日・1IPアドレス当たり9,085.4件(前年比7.5%減)で、引き続き高水準。大部分が海外を送信元とするアクセスです。

※認知件数とは、不正アクセス被害の届出を受理して確認した事実のほか、余罪として新たに確認した不正アクセス行為の事実など、犯罪構成要件に該当する行為の数を指します。

不正アクセスの目的

不正アクセスの目的は大きく4つに分類されます。

目的1:金銭の窃取

対個人・対組織を問わず、不正アクセスの最大の目的は金銭の窃取です。

組織向けの不正アクセスでは、企業のネットワークに侵入して機密情報を暗号化(ランサムウェア)したり、フィッシングメールから社内システムへ侵入して機密情報を窃取・不正販売するケースが代表的です。

▶ 関連記事:生成AIが悪用された事例と対策

個人向けの不正アクセスでは、インターネットバンキングへの不正ログインによる口座の金銭窃取、仮想通貨ウォレットへの侵入と窃取、クレジットカード情報の不正取得による物品購入・転売などが横行しています。

▶ 関連記事:クレジットカード不正利用の原因と対策

2025〜2026年に急増している手口として特筆すべきは以下の3つです。

ボイスフィッシング」は、犯罪グループが企業に電話をかけ、ネットバンキングの更新手続きを騙ってメールアドレスを聞き出し、フィッシングメールを送付する手口です。警察庁によると2024年秋以降に急増し、1回あたり約4億円に上る高額な不正送金被害につながったケースも確認されています。

証券口座への不正アクセス」は、証券会社を騙るフィッシングメールを経由して証券口座へ不正ログインし、不正取引を行う手口で、2025年3月〜5月に急増しました。

リアルタイム型フィッシング」は、被害者がフィッシングサイトに入力した情報を攻撃者が即座に正規サイトに入力し、送付されたワンタイムパスワードを被害者にフィッシングサイトへ入力させて多要素認証(MFA)を突破する手口です。

2026年には、日本国内の企業でも**ビジネスメール詐欺(BEC)**による被害が相次いでいます。メール文中にURLや添付ファイルを含まない純粋なテキストで送金を指示するため、アンチウイルスソフトやEDRに検知されにくく、人間の判断を直接的に狙う攻撃です。

▶ 関連記事:はてな(3930)で最大約11億円の資金流出——ビジネスメール詐欺(BEC)の典型的手口

目的2:企業の競争力確保(企業スパイ)

企業スパイが対象企業の機密情報を窃取するために不正アクセスを行います。窃取対象には新製品の設計図・マーケティング戦略・顧客リスト・製造プロセス・価格・内部告発情報などが含まれます。また、競合他社のコーポレートサイトを書き換えたり、ECサイトの管理者権限を奪取して運営を停止させるケースもあります。

目的3:国家の競争力確保

中国・ロシア・北朝鮮が自国の競争力向上や外貨獲得のために、対象国家や企業へ不正アクセスを行っています。

中国による不正アクセスは、軍事的優位性の確保・対象国の不安定化・経済的発展を目的としています。不正取得したSNSアカウントを利用した米国での世論誘導、APT31による欧州・米国のジャーナリストや政府機関員への監視目的のフィッシングメール送付、発展途上国や欧州政府機関へのアクセスなどが報告されています。

▶ 関連記事:台湾海底ケーブル切断事件——中国のグレーゾーン戦略・日本への安全保障上の影響

北朝鮮による不正アクセスは外貨獲得の主要手段です。国連委員会の2024年3月のレポートによれば、北朝鮮は約58件のサイバー攻撃で6年間に30億ドル(約4,500億円)を窃取し、外貨収入の約50%をサイバー攻撃で獲得しているとされています。仮想通貨取引所への不正アクセスも積極的に行われており、日本や西欧の仕事の下請けとして北朝鮮籍を隠して業務を行うケースも確認されています。

ロシアによる不正アクセスは、ウクライナ侵攻前にウクライナの電力・交通インフラを停止させた事例が有名です。また中国と同様にSNSを通じた米国の世論工作も行っています。

▶ 関連記事:英国が暴いたロシア深海工作部隊「GUGI」の脅威

目的4:政治的な主張の拡散

「アノニマス」などのハクティビズムグループは反監視・反権力の政治的主張のために不正アクセスを行います。

不正アクセスの原因

不正アクセスが発生する主な原因は以下のとおりです。推測可能なパスワードや漏洩したパスワードを使い続けること、多要素認証(MFA)を設定していないこと、フィッシングメール・フィッシングサイト・サポート詐欺でログイン情報を窃取されること、サーバ・端末・OS・システムの脆弱性を突かれること、悪意ある内部の人間がアクセス権限を悪用すること、そして個人情報や機密情報を管理しているにもかかわらずIDやパスワードを設定していないことが挙げられます。

不正アクセスの手口

フィッシングメール・フィッシングサイト

実在の人物やサービスを語ったフィッシングメールが個人・組織に大量送信されています。個人向けはAmazonなどを騙った「追加支払い・支払い不備」を装った内容、法人向けはMicrosoftやAWS・GCPの料金請求やサポートクレームを装った内容が一般的です。文中のURLをクリックするとフィッシングサイトへ誘導され、ログインIDとパスワードが窃取されます。

2025〜2026年には前述のボイスフィッシング(電話でメールアドレスを聞き出してフィッシングメールを送付)やリアルタイム型フィッシング(多要素認証を突破)が急増しており、従来のフィッシング対策だけでは不十分な状況になっています。

マルウェア

個人情報・認証情報の窃取を目的とする悪意あるソフトウェアです。フィッシングサイトから無害なソフトとしてダウンロードされる手口や、フィッシングメールに添付されたZIPファイルを開くことで端末に侵入し、社内ネットワーク全体に拡大する手口があります。

2025年には「海外動画を無料で視聴できる」と称して販売されるセットトップボックス等のIoT機器にマルウェアが仕込まれており、インターネット接続と同時にプロキシとして動作し、攻撃者の踏み台にされるケースが警察庁から注意喚起されています。

ゼロデイ攻撃

メーカーや開発者が気づいていない未対策の脆弱性を利用した攻撃です。公表前の脆弱性情報はダークウェブ上でも高額取引されており、実際にランサムウェアグループのロックビットがゼロデイ脆弱性を購入して攻撃に利用していたことが確認されています。

既知の脆弱性を悪用した攻撃

ソフトウェアやOSには必ず脆弱性が存在し、対策のためのパッチが提供されています。しかし利用者側が能動的にパッチをインストールしなければ意味がなく、攻撃者は既知の脆弱性が修正されていない端末を機械的に探索して攻撃します。

ブルートフォース攻撃(総当たり攻撃)

パスワードの組み合わせを機械的にすべて試行する攻撃です。大量アクセスの検知・遮断といった基本的な対策をしていれば防御できますが、中小企業ではそのような対策が未整備なケースも多く、現在も有効な攻撃手段として使われています。

クラウドサービスやSaaSの設定ミスを悪用

誤って公開設定になっているGoogleドライブのURLやGitHubに混入した秘密鍵などを機械的に収集してログインする手口です。2024年4月にはクラウドサーバの誤設定により15万人分のマイナンバーや住所などが含まれる重要個人情報が漏洩する事案も発生しています。CAMPFIREの事案(2026年4月)でも、GitHubアカウントへの不正アクセスを起点として内部データベースへの侵入が発生し、最大22万5,846件の個人情報漏洩が判明しています。

▶ 関連記事:CAMPFIRE GitHub不正アクセス——最大22万5,846件の個人情報漏洩の可能性

不正アクセスの被害事例

2026年に国内で発生した主な不正アクセス被害の事例を紹介します。

**はてな(3930)**では2026年4月20〜21日、第三者からの虚偽の送金指示に従い従業員が外部口座へ最大約11億円を送金する被害が発生しました。ビジネスメール詐欺(BEC)の典型的な手口とみられます。

CAMPFIREでは2026年4月、GitHubアカウントへの不正アクセスを起点として内部データベースへの侵入が発生し、最大22万5,846件(うち口座情報含む82,465件)の個人情報漏洩の可能性が判明しました。

市立奈良病院では2026年4月21日深夜、外部からのサイバー攻撃とみられる異常な通信が検知され、電子カルテシステムが停止。救急受け入れの全面停止・外来の原則制限が発生しました(4月24日に全面復旧)。

▶ 関連記事:市立奈良病院 サイバー攻撃——4月24日より救急含む通常診療を全面再開

不正アクセスを防ぐには

多要素認証(MFA)を有効にする

サービスやシステムへのログイン後に、SMS・メール・認証アプリなどで再度認証を行う設定です。多要素認証は個人・組織の双方にとって最も効果的な不正アクセス対策の一つです。ただし、前述のリアルタイム型フィッシングによるMFA突破の手口も増加しており、SMS認証よりもFIDO2/パスキーやハードウェアセキュリティキーの利用が推奨されています。

複雑なパスワードを設定し使い回しを避ける

大文字・小文字・数字・記号を組み合わせた推測しにくいパスワードを設定し、サービスごとに異なるパスワードを使用します。パスワードマネージャーの利用が管理の実効性を高めます。

組織でセキュリティポリシーを策定・更新し続ける

個人情報に関するダウンロード・閲覧の権限を役割に応じて変化させること、パスワードを紙に書いて放置しないこと、デスクトップを離れる際はロックすること、端末を暗号化処理することなど、一般的な情報セキュリティの環境を整備します。ポリシーは定期的に見直し・更新することが重要です。

UTM・EDR・アンチウイルスソフトを導入する

組織の場合はネットワーク全体を防御するUTM、個人・組織の双方ではアンチウイルスソフトやEDRを端末に導入し、不正アクセスやマルウェア感染を監視します。

セキュリティ教育を継続的に実施する

フィッシングメールや標的型攻撃メールによるマルウェア・ランサムウェア感染対策として、セキュリティ教育の実施は最重要対策の一つです。集合教育に加え、Eラーニングによる定期的なセキュリティ教育が重要です。特にボイスフィッシングやBECは「緊急性・権威性・秘密保持」を演出して確認手順を省略させる心理的手口であるため、「経営幹部からの緊急指示でも手順をスキップしない」という組織文化の醸成が不可欠です。

攻撃者がAIを活用してソーシャルエンジニアリングのシナリオを量産・高度化する中、自社の教育訓練もAIで自動化・継続化することが現実的な対策となりつつあります。

よくある質問(FAQ)

Q. 不正アクセスとサイバー攻撃の違いは何ですか? サイバー攻撃はコンピュータやネットワークシステムを対象とした悪意ある行為の総称で、不正アクセス・マルウェア感染・DDoS攻撃などが含まれます。不正アクセスはサイバー攻撃の一種であり、権限なく他人のシステムに侵入する行為を指します。

Q. 不正アクセス被害に遭ったらどうすればいいですか? まず被害の拡大を防ぐため、侵害されたアカウントのパスワードを変更し、不審なセッションをログアウトします。組織の場合は情報システム担当者に即報告し、必要に応じてネットワークを遮断します。被害が確認された場合は警察への届出と個人情報保護委員会への報告を行います。

Q. 中小企業でも不正アクセスの被害は起きますか? はい、むしろ中小企業はセキュリティ対策が手薄なことも多く、攻撃者にとって狙いやすい標的です。警察庁の2025年上半期レポートでも中小企業へのランサムウェア被害の増加と復旧費用の高額化が指摘されており、基本的な対策(MFA・EDR・セキュリティ教育)から着手することが重要です。

Q. 多要素認証を設定していても不正アクセスされることはありますか? はい、リアルタイム型フィッシングの手口ではSMSやメールによるワンタイムパスワードを用いたMFAを突破されるケースが増えています。より強固な対策としてFIDO2/パスキーやハードウェアセキュリティキーの採用が推奨されています。

参考情報

関連記事

市立奈良病院にサイバー攻撃—電子カルテシステムが大規模システム障害、救急・外来診療を休止市立奈良病院にサイバー攻撃—が大規模なシステム障害で電子カルテが停止し救急・外来診療を休止 社長になりすましビジネスチャットで5,000万円詐取-群馬・前橋市の建設設備会社がビジネスメール詐欺(BEC)の被害社長のなりすましビジネスチャットで5,000万円詐取-群馬・前橋市の建設設備会社がビジネスメール詐欺(BEC)の被害 社長のなりすましビジネスチャットで3,000万円詐取-ビジネスチャット詐欺やビジネスメール詐欺(BEC)に注意社長のなりすましビジネスチャットで3,000万円詐取-ビジネスチャット詐欺やビジネスメール詐欺(BEC)に注意 迷惑メールとは-企業のセキュリティを揺るがす現代の脅威迷惑メールとは-企業のセキュリティを揺るがす現代の脅威 フィッシングメールとは 概要や手口を解説フィッシングメールとは 概要や手口を解説 市立奈良病院、サイバー攻撃で救急を4月22日午前3時より全面 停止、外来は原則制限、手書き運用で診療継続市立奈良病院、サイバー攻撃で救急を4月22日午前3時より全面 停止、外来は原則制限、手書き運用で診療継続 フィッシング詐欺とは 手口や対策を解説フィッシング詐欺とは? 手口や対策を解説 サイバー攻撃とは? 意味や種類、対策などを解説サイバー攻撃とは? 種類・目的・企業への影響と対策を2026年最新データで解説 JR九州 グループ会社ネットワークへ不正アクセス-従業員1万4638人分の個人情報漏洩の恐れJR九州 グループ会社ネットワークへ不正アクセス-従業員1万4638人分の個人情報漏洩の恐れ