サイバー攻撃とは?概要や種類と事例や万が一に備えた対策を解説

近年はサイバー攻撃が増え、メディアなどでも取り上げられる機会が増えてきました。攻撃の背景にはいくつもの目的がありますが、金銭や個人情報を悪意を持って収集するケースが多くあります。また、システムを意図的に停止させることを目的とした攻撃も増えている状況です。

サイバー攻撃は個人や企業どちらにも大きな被害を与えるため、正しく理解して対策することが求められます。今回は、サイバー攻撃の概要から種類や手口、攻撃から身を守るための対策について解説します。

サイバー攻撃とは

最初にサイバー攻撃とはどのような事象を指すのか、概要や目的について解説します。

サイバー攻撃の概要

サイバー攻撃とは、サーバ・パソコン・スマートフォンなどの機器に対して、ネットワークを通じて被害を与える行為を指します。例えば、ハードウェアの破壊やデータの改ざん、サービス利用者への妨害行為などです。

一般的には、インターネット経由での攻撃を指しますが、ネットワーク経由であれば内部からの攻撃もサイバー攻撃に分類できると考えましょう。

後ほど解説しますが攻撃の種類は非常に多く、特定の企業や個人を狙うこともあれば、不特定多数の企業や個人をターゲットとする場合もあります。また、攻撃の目的も状況に応じて大きく異なるため、対策にあたってはいくつもの仮定・想定を用意して、それに準じたものとしなければなりません。

サイバー攻撃の目的

サイバー攻撃の目的は多岐にわたり、単純に金銭を脅し取ったり、機密情報を窃取したりすることが多くあります。ただ、このような目的にとどまらず、金銭を脅し取ることで企業としての経営力を弱体化させたり、機密情報を得ることで競争力を低下させたりすることもあるでしょう。どのような目的が背景にあるか、攻撃された側には分かりません。

また、システムの停止を目的としたものなど、いわゆる愉快犯のようなものも存在します。また、個人的な復讐やハッカーとしてのスキルを示すなど、金銭や機密情報など見返りを得ることを目的としていないものも存在します。

サイバー攻撃の動向

情報処理推進機構が発表している資料である「情報セキュリティ10大脅威組織編」を参考にすると、ランサムウェアなどサイバー攻撃が上位にランクインしています。標的型攻撃もランクインしていて、サイバー攻撃の増加が確認できる状況です。実際、2022年の情報と2024年の情報を比較すると、サイバー攻撃に分類される被害が増えています。

これは日本に限った評価ですが「情報セキュリティ白書」を参照すると、世界におけるサイバー攻撃による被害額は増加傾向にあるとされています。ドル建てベースでの比較にはなりますが、被害額が年々増えており、1回あたりの被害額も高額になっているため注意が必要です。

サイバー攻撃の種類・手口

サイバー攻撃の種類で主なものは下記の通りです。

• 特定の個人や企業に向けた攻撃
• 不特定多数に向けた攻撃
• サーバなどインフラを対象とした攻撃
• 脆弱性を悪用した攻撃
• パスワードを特定しようとする攻撃

どのようなものがあるのかまずは概要をおさえておきましょう。サイバー攻撃の種類ごとに様々な手口があるので詳細をご説明いたします。なお、詳細は情報セキュリティ白書2023を参考にしています。

特定の個人や企業に向けた攻撃

特定の個人や企業などに向けた攻撃は非常に多く見られます。サイバー攻撃の中でも、特に多いものであると理解すれば良いでしょう。例えば、以下のような種類が考えられます。

項目	詳細
標的型攻撃	特定の企業や個人などに攻撃を仕掛ける種類の攻撃全般
ランサムウェア	データを暗号化してそれを「人質」とし、身代金を要求する攻撃
Emotet	電子メールを介して遠隔操作を可能とし、情報の窃取やランサムウェアの侵入を容易にする攻撃
キーロガー	キーボードの入力情報を外部へ送信し、パスワードやクレジットカード情報などを窃取する攻撃
サプライチェーン攻撃	グループ会社や関連会社を経由して、大企業などセキュリティが強固なシステムへと進入する攻撃

不特定多数に向けた攻撃

特定の個人や企業ではなく、インターネットに参加している多くの人に向けて実行される攻撃です。何かしら特定の情報を得たいわけではなく、不特定多数から大量の情報を得たい場合などに利用されます。例えば、以下のような種類が考えられます。

項目	詳細
フィッシング詐欺	メールなどで大手企業や組織などを装って接触し、ログイン情報や支払い情報などを窃取する攻撃
ゼロクリック詐欺	Webサイトへアクセスした際に「登録が完了しました」などのポップアップを表示させ、金銭を詐取する攻撃
ジュースジャッキング	USBポートにマルウェアを埋め込み、そのポートを利用したユーザーの情報を盗み出す攻撃

サーバなどインフラを対象とした攻撃

情報や金銭を得ようとするのではなく、競争力の低下や嫌がらせのためにシステムを停止させることを目的としたものがあります。システムが停止してしまった場合、利用者へ悪影響が出ることは免れません。例えば、以下のような種類が考えられます。

項目	詳細
DoS攻撃/DDoS攻撃	1台もしくは複数台のパソコンやサーバから大量のアクセスをおこない相手先サーバの負荷を極端に高める攻撃
F5アタック	DoS攻撃/DDoS攻撃の簡易版であり、データのリロードを繰り返すことでサーバなどの負荷を高める攻撃

脆弱性を悪用した攻撃

インフラやアプリケーション、OSなど幅広い脆弱性を対象とした攻撃が増えています。どれだけテストしても脆弱性をゼロにすることは難しいため、悪意のある人に見つかると攻撃の対象となりかねません。例えば、以下のような種類が考えられます。

項目	詳細
ゼロデイ攻撃	脆弱性が発見されてから修正されるまでの間に、脆弱性を悪用して展開される攻撃
SQLインジェクション	データベースを使用するアプリケーションにおいて、不正にSQLを実行する攻撃
クロスサイトスクリプティング	標的となるWebサイトに悪意のあるプログラムなどを配置して、サイトを訪問したユーザへマルウェアなどを感染させる攻撃

パスワードを特定しようとする攻撃

パスワードを特定しようとする攻撃も数多く存在します。ユーザーIDとなりやすいメールアドレスなどが流出した際に、それとセットになるパスワードを見つけ出そうとするものです。いくつもの手法があり、例えば以下が挙げられます。

項目	詳細
総当り攻撃	パスワードのヒントが存在しないため、可能な限りすべのパターンを試してログインできるものを見つける攻撃
パスワードリスト攻撃	流出したパスワードなどを利用して、同じパスワードを利用しているユーザーのアカウントへ不正にログインする攻撃

サイバー攻撃に備えた4つの対策

今の時代、いつサイバー攻撃の対象になっても不思議ではありません。そのため、万が一に備えて下記の対策を行っておくことが重要です。

• OSやソフトウェアのアップデート
• IDやパスワードの管理・複雑化
• サイバー攻撃に対処できるツールの導入
• ITリテラシーの向上

対策の詳細をご説明いたします。

OSやソフトウェアのアップデート

脆弱性があると攻撃の対象になりかねないため、利用しているOSやソフトウェアのアップデートを心がけましょう。例えば、OSにWindowsを利用しているならば、最新の脆弱性対策が毎月のように公開されています。定期的にこのプログラムを適用することによって、サイバー攻撃を防ぎやすい端末にすることが可能です。

また、多くのソフトウェアは脆弱性が発見されると、それを修正した最新バージョンが公開されます。開発ベンダーの最新情報を確認し、重要なアップデートがある場合は適用するようにしましょう。

IDやパスワードの管理・複雑化

IDやパスワードが流出しないように、厳重な管理が必要です。システムに格納する場合は、情報を暗号化するなど、王道の対策を取り入れていきましょう。また、IDやパスワードを紙にメモして貼り付けるなど、第三者に見えるような状況にすることも避けるべきです。

また、パスワードを複雑化させておくことも重要です。例えば、6桁のパスワードではなく10桁のパスワードへと変更します。パスワードが長くなればなるほど、総当たり攻撃では短時間でパスワードを見つけられないため、サイバー攻撃の被害を受けづらくなります。

サイバー攻撃に対処できるツールの導入

外部から攻撃されることを前提とし、これを防ぐためのツールを導入することも重要です。例えば、外部からの不正なアクセスを検知できる仕組みを導入すれば、仮にサイバー攻撃の被害にあっても速やかに対処できます。セキュリティを高めるためのツールはいくつも存在するため、すでに導入されているものや社内のセキュリティ状況を踏まえて、必要なものを追加で導入しましょう。

なお、ツールは一度導入して終わりではなく、継続的にメンテナンスしたりアップデートしたりしなければなりません。陳腐化してしまうと意味が薄れてしまうため、担当者をアサインしたり運用をアウトソーシングしたりしましょう。

ITリテラシーの向上

サイバー攻撃に対して冷静に対応できるように、ITリテラシーを向上させる活動が必要です。例えば、社内研修の一環で情報セキュリティを扱い、見知らぬ宛先からの添付ファイルは開かないように指導します。セキュリティ対策ツールを利用しても、個人的なミスが起きてしまう可能性はあるため、ツールと人間の両面からミスをなくすようにすることが重要です。