サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

サイバー攻撃とは?その種類・事例・対策を把握しよう



サイバー攻撃とは、サーバやパソコンなどのコンピューターシステムに対し、ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。

特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合があり、その目的も様々で、金銭目的のものもあれば、ただの愉快犯的な犯行も多くあります。

それでは、その攻撃の種類にはどのようなものがあるのでしょうか?外部からのサイバー攻撃に使われる攻撃の種類を下記に整理しました。

サイバー攻撃とは?

サイバー攻撃とは、PCやサーバーなどの情報機器を狙う攻撃です。ネットワークを経由し、情報の盗窃・改ざん、サービス停止、システムの破壊を行います。攻撃対象は個人や企業、官公庁などと幅広く、標的を定めず無差別に攻撃するケースも見られます。インターネットを利用する以上、個人・企業にかかわらず最新のサイバー攻撃対策が必要です。

【2022年最新】サイバー攻撃の目的と攻撃者の傾向・予測

最近のサイバー攻撃の目的と攻撃者には、どのような傾向があるのか見ていきましょう。

サイバー攻撃の目的

かつてのサイバー攻撃は、嫌がらせやスキルの誇示といった「愉快犯的な犯行」が多くを占めていました。しかし、IT技術の発達や情報資産の価値向上により、最近のサイバー攻撃 は「金銭目的」の犯行が増加しています。

警察庁発表(※1)によれば、2021年度はランサムウェアによる被害が拡大しました。ランサムウェアとは、企業のデータを不正に暗号化し、データを元に戻す代わりに身代金を要求する攻撃です。2021年度の被害件数は、146件に上りました。2021年上半期と前年同期を比較すると、約3倍に増加しています。

その他の目的として挙げられるのが、国家・企業の情報窃盗やイメージダウンを狙う「工作活動」、思想家の「政治的・社会的な主張」です。サイバー攻撃の目的は多様であるため、どのような組織でもターゲットになるリスクはゼロではありません。

攻撃者の傾向

サイバー攻撃を仕掛ける攻撃者は、主に犯罪者や犯罪グループが多いと言われています。他にも、特定の標的に悪意を持つ団体・個人、産業スパイや諜報員、同じ思想を持つハクティビストなど多岐にわたります。同じ思想を持つハクティビストの例で言えば、「Anonymous(アノニマス)」が有名です。

サイバー攻撃の実行ツールがダークウェブ上で簡単に購入できるようになり、攻撃者の低年齢化が指摘されています。2021年の総務省発表(※2)によると、 不正アクセス禁止法違反で検挙された14〜29歳の被疑者の割合は、全体の65.7%に上りました。14〜19歳だけでも20.9%を占めており、攻撃者の低年齢化が表れています。

※1 出典:警察庁「令和3年におけるサイバー空間をめぐる脅威の情勢等について

※2 出典:総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況

近年のサイバー攻撃の動向

総務省の「サイバー攻撃の最近の動向等について」を見てみると、サイバー攻撃の動向が時代ごとに変化しているのがわかります。

サイバー攻撃が一般的に認知され始めた2000年ごろは、愉快犯による嫌がらせが目立ちました。たとえば、無差別に送信したメールでコンピュータをウイルス感染させ、データの破壊や改ざんをするといったもの。このような脅威は、ウイルス対策ソフトによるスキャニングで充分予防できるレベルでした。言い換えれば、2005年ごろまでは仮に攻撃を受けてもすぐに発覚し、対策可能な「目立つ攻撃」が主流だったと言えます。

しかし、次第に攻撃手段は巧妙化し、2020年ごろまでには「目立たない攻撃」が主流となりました。身代金要求型ウイルスと呼ばれるランサムウェアや、不正アクセスによる不正送金被害などです。これらの攻撃は発覚するのが遅く、気づいた頃にはすでに被害を受けていることが多くあります。とりわけ、2021年はランサムウェアの被害例が多発し、2022年も被害が継続すると予測されています 。

こうした攻撃手段が広がった背景にあるのが、個人のWi-Fiやスマートフォンの普及、クラウドやIoTの登場といった、ITインフラの多様化です。システム環境の変化に合わせ、攻撃の手口も進化していきました。

IPAの発表から見るサイバー攻撃の変化

IPAが発表している「情報セキュリティ10大脅威」でも、近年のサイバー攻撃の変化傾向が見られます。これは、前年のセキュリティ上の脅威をランキング形式にまとめたものです。以下に、2013年版と2021年版の3位までを抜粋して表にしました。

2013年 2022年(個人向け) 2021年(組織向け)
1位 クライアントソフトの脆弱性を突いた攻撃 フィッシングによる個人情報等の詐取 ランサムウェアによる被害
2位 標的型諜報攻撃の脅威 ネット上の誹謗・中傷・デマ 標的型攻撃による機密情報の窃取
3位 スマートデバイスを狙った悪意あるアプリの横行 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 サプライチェーンの弱点を悪用した攻撃

出典IPA(情報処理推進機構)「情報セキュリティ10大脅威2013」及び「2022

2013年版の脅威1位は、「クライアントソフトの脆弱性を突いた攻撃」でした。ソフトを最新に保ったり、セキュリティソフトを常駐させたりなどの対策で、比較的対処しやすいのが特徴です。

一方、2022年版の脅威1位は、個人向けが「フィッシングによる個人情報等の詐取」、組織向けが「ランサムウェアによる被害」でした。どちらも、最終的に金銭的な被害が生じる攻撃です。発覚するまでが遅く、その分被害が拡大しやすい傾向があります。

さらに、近年のサイバー攻撃の問題点として挙げられるのが、攻撃者の匿名化です。ダークウェブの利用や、複数の国のサーバーを介した接続といった技術を攻撃者側が身につけたため、特定がより困難になりました。サイバー攻撃の現状は、攻撃者側が圧倒的に有利だと言えるでしょう。

サイバー攻撃の種類・手口

サイバー攻撃には、様々な種類があります。具体的にそれぞれの方法について紹介させていただきます。
(サイバー攻撃は日々進歩しています。新しい攻撃が出てくるので、随時追加・更新させていただきます。)



特定のターゲットを狙った攻撃(標的型攻撃)

標的型攻撃

標的型攻撃とは、ターゲットを特定の組織やユーザー層に絞って行うサイバー攻撃です。

そのターゲットの関連団体、取引先のふりをして悪意のあるファイルを添付したり、悪意のあるサイトに誘導するためのURLリンクを貼り付けたメールを送信し、パソコンやスマートフォンなどの端末をマルウェアに感染させようとする攻撃です。

信頼関係のある相手の名前を騙るため、疑わずにURLリンクを開いてしまう人もいるでしょう。さらに、特定のターゲットを狙う性質上、長期にわたって追跡する傾向があります。

また、ターゲットのセキュリティが万全である場合、ターゲットの関連会社を利用するケースもあります。セキュリティに脆弱性のある関連会社を踏み台にして、ターゲットに侵入する手口です。踏み台とは、第三者のパソコンやサーバーを乗っ取り、サイバー攻撃の発信源や中継地点として利用すること。

詳細は下記の記事をご覧ください。

ランサムウェア

ランサムウェアとは、マルウェアの一種で、ユーザのデータを「人質」にとり、データの回復のために「身代金(ransom)」を要求するソフトウェアのことです。こうした特徴から、身代金要求型ウイルスとも言われます。

ランサムウェアの多くはトロイの木馬としてパソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりし
正常にデータにアクセス出来なくなってしまいます。

ユーザがデータにアクセスしようとすると、アクセスが不可能になったことを警告し、復元するための対価としてユーザに金銭の支払いを要求するものです。

また、近年のランサムウェアはさらに悪質化が進み、二重恐喝(ダブルエクストーション)被害の報告もされています。データの暗号化に加え、データそのものを盗み取るのが特徴です。身代金の要求と同時に「要求に従わなければデータを公開する」と脅す手法が取られます。

詳細は下記の記事をご覧ください。

Emotet(エモテット)

Emotet(エモテット)とは、情報窃取と他のコンピュータウイルスの媒介を行うマルウェアです。Emotetは端末に不正侵入すると、ランサムウェアなどの攻撃プログラムを自動でダウンロードします。マルウェアの侵入手段として悪用されており、2014年の発見以来深刻な被害事例が後を絶ちません。

Emotetの感染経路は、不正メールに添付されたWord・Excelファイルです。不正メールにマルウェアを添付する手口自体は珍しくありませんが、Emotetは「実在する関係者からの返信」を装います。本文も自然な文章であるため、騙される危険性が高く注意が必要です。

APT攻撃(高度標的型攻撃)

APT攻撃とは、特定の組織に対して長期間行われるサイバー攻撃の総称です。Advanced Persistent Threatの直訳「高度な継続的脅威」から、高度標的型攻撃とも。通常の標的型攻撃が金銭目的・短期間で行われるのに対し、APT攻撃は標的の活動妨害や損害を狙って持続的に攻撃します。そのため、敵対国家・企業に対する諜報活動といった側面が強い攻撃です。

水飲み場型攻撃

ターゲットがよく訪れるサイトを改ざんし、そこに不正なプログラムをしかけておき、これによって、ターゲットとなる攻撃対象者が改ざんされたサイトを訪れた際に、不正なプログラムが作動し、対象者の端末にウィルスなどを入れ込む待つタイプの攻撃です。

これは、自然界でライオンなど肉食の動物が獲物を捕らえる際に、水飲み場の近くで水を飲みに来る動物を待ち伏せしていることから名付けられたものです。

詳細は下記の記事をご覧ください。

クリックジャッキング

クリックジャッキングとは、Webブラウザを悪用して、ユーザーに不利益をもたらすセキュリティ上の攻撃手法の一つです。

具体的な特徴としては、ボタンやリンクなどを透明で見えない状態にして、通常のWebページの上にかぶせてしまい、クリックを促すというものです。

詳細は下記の記事をご覧ください。

ドライブ バイ ダウンロード

利用者が特定のWebサイトを訪問した際に自動的に悪意のある不正プログラムをダウンロードさせるようにしくむもの。「水飲み場型攻撃」と似ていますが、水飲み場型攻撃よりもターゲットを絞らずに、広い範囲での感染を促すもののことになります。

詳細は下記の記事をご覧ください。

サプライチェーン攻撃

大手企業や政府機関など大きな組織への正面突破が難しい場合、比較的セキュリティ対策が手薄な取引先や子会社を経由しサイバー攻撃を仕掛けます。取引先のメールを偽装しターゲット企業に送付したり、ターゲットである企業で利用されているソフトウェア製品の更新プログラムを不正に仕掛けるなどの攻撃手法があります。

詳細は下記の記事をご覧ください。

ビジネスメール詐欺(BEC)

ビジネスメール詐欺とは、業務用メールを盗み見して経営幹部や取引先になりすまし、従業員をだまして送金取引などに係る資金を詐取するなどの金銭的な被害をもたらすサイバー攻撃です。実際に詐欺行為に及ぶ前に、企業内の従業員などの情報を窃取したりするために、マルウェアが使われることもあります。

詳細は下記の記事をご覧ください。

キーロガー

キーロガーとは、パソコンやキーボードの操作の内容を記録するためのソフトウェア等の総称で、悪意のあるものに個人情報などを盗み取られるなどの悪用されることがあるものです。キーの入力などを記録できることで、端末でどういった情報が取り扱われたか、入力されたのかといった情報を取得することが出来るため、悪意のある第三者によって不正に情報を取得する目的で使われるようになりました。

詳細は下記の記事をご覧ください。

ガンブラー攻撃

既存のWEBサイトを改ざんし、サイト訪問者をウイルス感染させるサイバー攻撃です。見た目は通常のサイトと変わらないため、訪問者は感染に気づきにくいという特徴があります。

詳細は下記の記事をご覧ください。

不特定多数のターゲットを狙った攻撃

フィッシング詐欺

フィッシング詐欺とはインターネット上で行われる詐欺行為です。クレジットカードやネットバンクなどの正規のサービスになりすまして、ユーザーからログイン情報などを盗み出します。

フィッシングは英語では「phishing」と綴ります。よく「fishing」と間違われるのですが、フィッシング詐欺では「魚釣り(fishing)」と洗練された「sophisticated」の2つを組み合わせて作られた造語であると言われています。

IPAの「情報セキュリティ10大脅威」でも2019年から2021年まで、3年連続で2位以上に位置しています。それだけ身近な脅威であり、被害が絶えない手口ということです。

フィッシング詐欺の被害にあうことで、クレジットカードを不正に利用されて買い物されたり、ログインが必要なサービスも悪用されたりします。さらにユーザーが気づかないうちにパスワードを変更されてしまうと、サービスの解約もできなくなります。

詳細は下記の記事をご覧ください。

スミッシング

スミッシングとはスマートフォンなどのモバイル機器のメッセージ機能であるSMS(ショートメッセージサービス)を利用して、メッセージの受信者をフィッシングサイトへと誘導する手口のサイバー攻撃のことです。

最近ではSNSなどのオンラインサービスの認証として、SMS認証を使用した二段階認証を導入するケースが増えてきています。TwitterやfacebookなどのSNSにログインする際に、スマートフォンに認証用を確認コードが送信されたことがある人もいるでしょう。

スミッシングを仕掛ける攻撃者は、これらのSNSなどのアカウントに成りすましてメッセージを送信してくることがあります。そのメッセージの中には、正規サイトに良く似せて作られたフィッシングサイトや、不正なスマホアプリをダウンロードさせるページなどに誘導させるURLが記載されています。つまりこれらはフィッシングサイトです。

「SMS」と「フィッシング」この2つを結び付けた言葉が「スミッシング」なのです。

詳細は下記の記事をご覧ください。

ビッシング・リバースビッシング

ビッシングとは、電話を使ってクレジットカード会社や銀行などの関係者を名乗り、クレジットカードの番号や銀行口座情報、パスワード、生年月日などの情報を巧みに聞き出し、不正使用しようとする詐欺行為のことです。被害者の情報を不正に盗み出す詐欺行為として、フィッシング詐欺が知られていますが、電話を使って仕掛けるフィッシングがビッシングであると言えるでしょう。

この「ビッシング」という言葉は、電話の声「Voice」の頭文字「V」をフィッシングの「Phishing」の先頭につけて「Vishing」という造語が作られたことが由来とされています。ビッシングが初めて出現したのは2006年6月ごろと言われています。当時の手口としては、PayPalや米国の銀行を名乗るなどビッシング詐欺が主流でした。

「リバースビッシング」はビッシングを変形したような詐欺行為です。リバースビッシングでは攻撃者が用意した電話番号に対して、被害者に電話をかけさせて、個人情報などを盗み出そうとする手口のことです。ビッシングでは攻撃者から被害者に電話を対して、リバースビッシングでは被害者の方から攻撃者に電話をかけさせることが特徴です。

詳細は下記の記事をご覧ください。

ゼロクリック詐欺

ゼロクリック詐欺とは、スマートフォンでアダルトサイトなどを見ているとき、Webページが1秒ほど表示された後に、突然「料金をお振込みください」や「登録が完了しました」などのメッセージが表示され、訪問者に金銭を要求する詐欺行為です。

これらのメッセージには電話番号が記載されていることもあり、もしその番号に電話をかけてしまうと、電話先にこちらの電話番号を知られてしまうだけでなく、相手から電話を通じて、しつこく金銭の支払いを強制されることもあります。

詳細は下記の記事をご覧ください。

ジュースジャッキング攻撃

ジュースジャッキング(Juice Jacking)攻撃とは、USBポートに悪意のある第三者がマルウェアを仕込んだり、データを盗み出すための細工をしたりする攻撃のことを表します。

ジュースジャッキング攻撃は、公共の場に設置されているUSBポートに細工を行います。見た目には通常の充電用USBポートにしか見えませんが、接続することでマルウェアを仕込んだり、データを盗んだりすることが可能です。また、USBポートだけでなく、USBケーブルを始めとする充電ケーブルに細工をする手口も発見されています。

詳細は下記の記事をご覧ください。

ディープフェイク(フェイクビデオ攻撃)

ディープフェイクとはAIの技術を応用して作られた、偽の動画や音声のことです。政治家や芸能人が実際には行っていない行動や発言を、あたかも真実であるかのような動画や音声がインターネット上で公開されて話題となったことがあります。

特に動画はディープフェイクビデオ(フェイクビデオ)とも呼ばれ、特定の人物の顔の形やしわ、目や鼻などの動きをAIの技術を応用して、別の人物にかぶせ、異なる部分を精巧に修正して再現されています。これはフェイススワップ(顔交換)と呼ばれ、自然な動画を合成する技術として使われています。

詳細は下記の記事をご覧ください。

タイポスクワッティング

タイポスクワッティングは、ユーザーのURLの入力ミスや打ち間違いを利用し、攻撃者が用意したWebサイトへと不正に誘導する手法です。タイポスクワッティングの語源は、入力ミス・打ち間違いを意味する「タイポ(Typo)」と「占有する(Squatting)」から名付けられました。他にも「URLハイジャック」と呼ばれることもあります。

詳細は下記の記事をご覧ください。

中間者攻撃

中間者攻撃とは二者間の通信を特別なソフトウェアなどの不正な手段を用いて傍受、盗聴して内容を取得するといったものです。この攻撃には以下のような特徴があります。

  • 通信が暗号化されていない(平文通信)の場合に、被害を受けやすい
  • 十分なセキュリティ対策が行われていない通信機器を使うことで攻撃を受けやすい
  • 攻撃の検知が難しい

詳細は下記の記事をご覧ください。

負荷をかける攻撃

DoS攻撃/ DDoS攻撃

DoS攻撃/ DDoS攻撃DoS攻撃は、攻撃側と相手側の1対1で行われますが、 DDoS攻撃とは、複数に分散(Distribute)した攻撃用マシンからの一斉に攻撃を行います。

DDoS攻撃の防御が難しい点は、この複数台の攻撃用マシンがどこにあるのか攻撃が始まるまで分からないことです。そのため、攻撃箇所すべてから守りきることが困難なことが挙げられます。

DDoS攻撃は、他人のコンピュータを踏み台にする場合が少なくありません。踏み台にされたコンピュータは、攻撃の発信源や中継地点として悪用されます。つまり、他人のコンピュータを利用することで、攻撃元の偽装が可能になるわけです。踏み台となった被害者は、サイバー犯罪の犯人として嫌疑をかけられる可能性があるため、非常に悪質な手法と言えるでしょう。

詳細は下記の記事をご覧ください。

F5アタック

「F5アタック」とは、「F5攻撃」、「F5連続攻撃」などとも呼ばれる攻撃で、キーボードの「F5」キーを押してリロードするだけの簡単でアナログな攻撃手法です。

ターゲットとなるWEBサイトなどにアクセスし、繰り返しF5キーを押すことで、Webサーバを過負荷の状態にして停止・ダウンさせるものです。

詳細は下記の記事をご覧ください。

OS・ソフト・WEBサイトなどの脆弱性を狙った攻撃

ゼロデイ攻撃

修正プログラム(セキュリティ更新プログラム)などが未公表の脆弱(ぜいじゃく)性を悪用する攻撃のことです。

従来は、攻撃者以外は知らない脆弱性を狙う攻撃をゼロデイ攻撃と呼ぶことが多かったのですが、最近では脆弱性自体はメーカーや研究者などによって公表されていても、修正プログラムが未公表な場合にはゼロデイ攻撃と呼ぶことが多いです。

詳細は下記の記事をご覧ください。

SQLインジェクション

DBサーバと連携したWEBシステムの場合、WEBサーバではユーザが入力した情報を基にSQL文を組み立てるものがあります。そのSQL文によってデータベースへのデータ追加・更新など行います。

このとき、WEBサーバがセキュリティ的に無防備な状態であると、ブラウザから入力された「悪意のあるSQL文」をそのままデータベース操作の一部に注入(Injection)される可能性があります。

詳細は下記の記事をご覧ください。

OSコマンド・インジェクション

独自開発のWEBアプリケーションの脆弱性を突いた攻撃の一種です。
不正な入力データによってOSコマンドを呼び出し、任意のファイルの読み出しや変更・削除などを不正にOSを操作する攻撃をいます。

詳細は下記の記事をご覧ください。

クロスサイトスクリプティング

掲示板やブログなどユーザが入力した内容をWEBページとして出力するWEBアプリケーションに対して多く行われる攻撃です。

例えば、掲示板に悪意のあるスクリプト(簡易的なプログラミング言語のこと)を埋め込んだリンクを貼り付け、そのページを閲覧したユーザのブラウザ上でスクリプト(プログラム)を実行させるという攻撃を行います。

詳細は下記の記事をご覧ください。

バッファオーバーフロー攻撃

バッファオーバーフロー攻撃とは、OSやアプリケーションプログラムの入力データ処理に関するバグを突いてコンピュータを不正に操作する攻撃をいいます。

BOF攻撃は、主にメモリのスタック領域で行われる攻撃をいいますが、その他にもヒープ領域で行われるヒープBOFやUNIX環境下でrootのSUID属性をもつコマンドを悪用して管理者権限を奪取するローカルBOF攻撃などがあります。

詳細は下記の記事をご覧ください。

セッションハイジャック

セッションハイジャックはなりすましの一種でクライアントとサーバの正規セッションに割り込んで、セッションを奪い取る行為をいいます。
セッションハイジャックにより行われる行為として以下のようなことが考えられます。

  • 正規サーバになりますてクライアントの機密情報を盗む
  • 正規クライアントになりすまして、サーバに侵入する

セッションハイジャックの種類にはTCPセッションハイジャック、UDPセッションハイジャック、WEBセッションハイジャックなどがあります。

詳細は下記の記事をご覧ください。

セッションID固定化攻撃

セッションID固定化攻撃は、正規ユーザー(あなた)のセッションIDを乗っ取り、正規ユーザーになりすます攻撃手法です。「セッションフィクセーション」や「セッションIDの強制」とも呼ばれます。

正規ユーザーは、Webサービスにログインする際にセッションIDを発行しますが、そのセッションIDを事前に用意して、正規ユーザーに使わせることによってセッションの乗っ取りが行われます。セッションの乗っ取りによってあなたになりすますことで、次に挙げるような被害を受ける可能性があるのです。

  • クレジットカード番号の盗み出し
  • ネットショッピングサイトなどで無断の買い物をする
  • 他ユーザーへの迷惑行為
  • 犯罪行為

ネットショッピングサイトを利用するなかで、クレジットカード番号などを登録している人も多いのではないでしょうか。あなたになりすますことで、それらの情報が盗み出せるようになり、無断で買い物することも可能となります。
詳細は下記の記事をご覧ください。

バックドア

バックドアとは、英語で直訳すると「勝手口」「裏口」のことで、セキュリティの分野では「コンピューターへ不正に侵入するための入り口」のことです。

悪意を持った攻撃者が、ターゲットとなるコンピューターに侵入するための入り口を作るケースや、プログラムにあらかじめ入り口が作られており、侵入できるようになっているケースなどいくつかの種類があります。

詳細は下記の記事をご覧ください。

ルートキット攻撃

他人のコンピュータに不正侵入した攻撃者は、

  • 侵入を隠ぺいするためのログの改ざんツール
  • 侵入口が防がれても再び侵入できるようにする裏口(バックドア)ツール
  • 侵入に気づかれないための改ざんされたシステムコマンド群

などをインストールします。これらを素早く導入するための、パッケージにまとめたものがルートキットと呼ばれています。

詳細は下記の記事をご覧ください。

フォームジャッキング攻撃

ECサイトや購入ページに設定されている入力フォームを改ざんし、クレジットカード情報などの個人情報を窃取する攻撃です。正規サイトの入力フォームに悪意のあるスクリプトを埋め込み、フォームの送信内容を第三者に不正に送信します。

詳細は下記の記事をご覧ください。

ドメイン名ハイジャック攻撃

ドメイン名ハイジャックとは既存のドメイン名を何らかの方法で乗っ取る行為のことを言います。

ブラウザでWebサイトを閲覧する時、アドレスバーにドメインを入力します。入力されたドメインはコンピュータ内部で対応するIPアドレスへと変換されます。このIPアドレスとドメイン名の対応を行っているのが「DNSサーバー」です。DNSサーバーに登録されているWebサイトに関する情報を不正に書き換えることで、特定のドメイン名にアクセスした時に、正規のWebサイトではなく偽のWebサイトへと誘導する手口が「ドメイン名ハイジャック」です。

詳細は下記の記事をご覧ください。

パスワード関連のサイバー攻撃

ブルートフォースアタック

ブルートフォースアタック(総当たり攻撃)とは、暗号解読方法のひとつであり、可能な組み合わせを全て試す方法です。

人間の操作では手間がかかりすぎる方法ではありますが、手軽に実行できるツールが普及しており、時間的制約がない限りは確実にパスワードを割り出して侵入することができる方法です。

詳細は下記の記事をご覧ください。

パスワードリスト攻撃

同一のパスワードを、複数のWEBサービスで使い回す利用者が多いという傾向を利用したもので、さまざまなWEBサービスでログインの試行を繰り返すものです。そして、ログインが成功したサイトから、最終的には利用者の個人情報や金銭などを詐取しようとします。

警察庁の発表資料によれば、2020年の不正アクセスの手口で最も多かったのが、識別符号窃用型(IDやパスワードの盗用)でした。全体の90%以上を占めており、パスワード管理が甘い人の多さがわかります。

詳細は下記の記事をご覧ください。

パスワードスプレー攻撃

パスワードスプレー攻撃とはIDやパスワードを組み合わせて連続的に攻撃するブルートフォース攻撃の一種です。ログイン制御を持つシステムでは、一定期間に一定の回数のログインエラーが起こると、アカウントが一定時間ロックされる仕組みを持つものがありますが、パスワードスプレーは、このアカウントロックを回避する手法を持つパスワード攻撃です。

アカウントロックを回避することで、不正なログイン試行を検知されないという特徴があります。パスワードスプレー攻撃は「low-and-slow」攻撃とも呼ばれます。

詳細は下記の記事をご覧ください。

クレデンシャルスタッフィング攻撃

クレデンシャルスタッフィング攻撃とは、インターネット上に流出したIDとパスワードの組み合わせを使って、他のWebサイトへのログインを自動的に試みる攻撃手法のことです。この攻撃の特徴として、流出したIDとパスワードの組み合わせは、流出元以外の他のWebサイトでも使われていることを前提としている点があげられます。ユーザーは同一のIDとパスワードの組み合わせを使いまわしていることが多いという習慣を悪用した攻撃が、クレデンシャルスタッフィング攻撃です。

IDとパスワードの組み合わせを用いて、標的のWebサイトに不正ログインを試みる攻撃として「パスワードリスト攻撃」が知られています。パスワードリスト攻撃は手動で行う攻撃ですが、bot(不正なプログラム)を使って大量かつ自動的に試行する攻撃がクレデンシャルスタッフィング攻撃と言われています。

詳細は下記の記事をご覧ください。

攻撃にはマルウェアを伴います。
上記のように数あるサイバー攻撃のほとんどで、情報を漏洩させるために攻撃ののちにマルウェアをしかけます。
マルウェアに感染することにより、情報が抜き取られるなどの被害を拡大させようとしますので、その攻撃の流れも把握しておきましょう。マルウェアの分類には大きく分けて3種類あります。また、感染してしまった場合のチェックや駆除方法も下記に整理していますので、参考にしてください。

サイバー攻撃による被害事例

サイバー攻撃をする際に、マルウェア(ウイルス・ワーム・トロイの木馬)などに感染させる手口を使うものが多くあり、ターゲットとしては、特定の組織や集団、個人を狙ったものと、不特定多数を無差別に攻撃するものがあります。

近年のサイバー攻撃での不正アクセスで最も影響があったと言えるのは「日本年金機構」の情報漏洩事件ではないでしょうか?
下記にその事件の概要を整理いたします。

被害事例:日本年金機構(2015年6月)

日本年金機構の年金情報管理システムサーバが外部の不正アクセスにより情報漏洩。年金加入者の個人情報が約125万件流出しました。

流出した個人情報項目内訳は

  • 基礎年金番号、氏名(流出件数 約3.1万件)
  • 基礎年金番号、氏名、生年月日(流出件数 約116.7万件)
  • 基礎年金番号、氏名、生年月日、住所(流出件数 約5.2万件)

日本年金機構の福岡市内オフィスで職員がメールに添付されているファイルを開封した際にPCがマルウェアに感染。このPCから機構LANに接続され、細分化された複数のフォルダから情報を抜き取られたとされています。

被害事例:GMOペパボ(2018年1月)

また、ECサイトでの大きな事例として「カラーミーショップ」を運営するGMOペパボの不正アクセス事件も、大きな影響があったと言えます。こちらも概要を整理しました。

事件が起きたのは2018年1月7日。GMOペパボが独自で使用しているアプリケーション機能を狙ったサイバー攻撃が行われました。GMOペパボが運営する「カラーミーショップ」が不正アクセスを受け、同サービスを利用しECサイトを運営しているオーナー及び利用者の個人情報が漏洩。発表によると流出した情報は合計約9万件。内訳などは下記ページに整理されております。なお、同社発表によると、カード情報の不正利用被害は現在のところ確認されていないとのことでした。

相当数のショッピングサイトを運営している、その元になるショッピングカートサービスが攻撃されることで、甚大な被害となりました。カラーミーショップを利用している人は多いかと思います。その利用料金が安いことからも個人運営のショッピングサイトもあります。

被害事例:PayPay(2020年12月)

QRコード決済サービス会社「PayPay」は、2020年12月に不正アクセス被害を受けました。加盟店や従業員の個人情報など、約2000万件の情報が流出した恐れがあると公表しています。11月末にブラジルからの不正アクセス履歴があり、被害が発覚しました。同社は、不正アクセスの原因を「アクセス権限の設定不備」としています。

被害事例:オリエンタルコンサルタンツ(2021年8月)

建設コンサルティング会社「オリエンタルコンサルタンツ」は、2021年8月にランサムウェアによる攻撃を受けました。サーバー内の業務データが暗号化され、さらなる被害防止のため複数のサーバーを停止させる事態となっています。同社は、復旧や調査費用として、同年9月期の連結業績に約7.5億円の特別損失を計上しました。また、復旧作業により納期遅延が発生したため、売上高予想も下方修正しています。

被害事例:小島プレス工業(2022年3月)

2022年3月、自動車大手トヨタの取引先メーカー「小島プレス工業」は、ランサムウェアによるシステム障害と脅迫被害に遭いました。ランサムウェアによる攻撃ですが、大手企業の関連会社を狙う「サプライチェーン攻撃」と推測されています。システム障害により納品データを扱えなくなったため、トヨタは国内全工場を稼働停止させました。翌日には、全工場の稼働が再開しています。

【2022年最新】不正アクセス事件まとめ

情報漏洩事件は毎日のようにニュースになっています。
2022年の被害1千件以上の最新事件を日々更新していますので、下記サイトをご確認下さい。

サイバー攻撃の件数など統計情報

実際の事例を見ると、日々サイバー攻撃が発生しているとおわかりいただけたかと思います。報じられているサイバー攻撃の被害例は、全体の一部です。ニュースにもなっていないサイバー攻撃は、日本に対してどの程度行われているのでしょうか。

ここでは、統計情報を調査し、個人情報が漏洩した際の損害賠償額などの情報を整理しました。サイバー攻撃被害に関する具体的な数値を紹介します。

Iot機器への攻撃の増加

国立研究開発法人情報通信研究機構は、「NICTER観測レポート2021」にてサイバー攻撃関連通信を報告しています。同報告によれば、2021年に観測されたサイバー攻撃関連通信は、年間5,180億パケットに及びました。

2016年頃から急激に数値が伸びており、要因の1つとしてIot機器への攻撃増加が挙げられます。IoT機器を狙うマルウェア「Mirai」は2016年に猛威を振るい、その後も多数の亜種が確認されています。2021年のMirai感染デバイス数は前年よりも半減しましたが、5〜10万件ものデバイスが感染している状況です。

サイバー攻撃のリスクを回避するためには、PCやスマートフォンだけでなく家電製品のセキュリティ対策も求められます。まずは、家庭や職場で使用しているIoT機器の所在を正確に把握し、適切な設定・アップデートをしましょう。インターネットに接続する以上、IoT機器にもセキュリティ対策が必要だと再認識することが重要です。

日本国内企業の個人情報漏洩による損害賠償額

NPO法人日本ネットワークセキュリティ協会は、個人情報漏洩による統計情報を以下のように集計・分析しています。

漏えい人数 561万3,797人
インシデント件数 443件
想定損害賠償額 2,684億5,743万円
1件あたりの漏えい人数 1万3,334人
1件あたり想定平均損害賠償額 6億3,767万円
1人あたり平均想定損害賠償額 2万9,768円

出典NPO法人日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書

サイバー攻撃を可視化できるサイト紹介

サイバー攻撃が実際どの程度行われているのか?を数値で見てもなかなかイメージがつきにく方は、リアルタイムの可視化ツールをご覧いただくと、良いかと思います。
ビジュアル化されることで、とてもイメージがつきやすくなりますね。

その可視化のツールとして有名なのが、「Atlas」です。
日本の「情報通信研究機構」が公開している、純日本製の可視化ツールで、ダークネットトラフィックを可視化してリアルタイム表示しています。

img_free-tool01-02
URLhttp://www.nicter.jp/atlas

ダークネットとは?
インターネット上の未使用IPのこと。
このダークネットにはパケットを送っても届かないはずですが、マルウェアによる感染活動や何らかのネットの不正な活動によってパケットが到達することがあり、これを観測することにより不正活動の傾向が把握できるので、その情報を可視化しています。

さらに多くのツールを見て見たい方は、下記にて日本国内にかかわらず世界中に公開されている6つのツールを紹介してますので、ぜひご覧ください。

サイバー攻撃への対策方法

これまで整理したように、サイバー攻撃は日々進化をしており、毎日のようにインターネットを通じてパソコン、サーバを狙って攻撃をしてきています。サイバー犯罪の検挙件数は年々増加傾向で推移しおり、手口の多様化も進んでいます。
そのような中でどのような対策をすれば良いのでしょう?

パソコンへの対策

まずお使いのパソコンに対してのセキュリティは、下記の点が挙げられます。

  • WindowsやmacなどOSを最新版にアップデート
  • その他利用しているソフトウェアを最新版にアップデート
  • 怪しいメールは開かない、怪しいサイト・URLはクリックしない
  • マルウェアの検知が可能なセキュリティソフトの導入

サーバへの対策

さらに自社でサーバを運用している企業にとっては、サーバに対しても下記のような対策が必要になります。

  • WEBサーバで利用しているOSやソフトウェアの脆弱性対策の徹底
  • OSシステムファイルやアプリケーション構成ファイルに対する変更監視
  • WEBサーバに対する不正な通信の検知・遮断
  • 運用アカウント管理の徹底、各種システムログ、セキュリティログの取得
  • ログ監視の強化

上記の対策のうち、可能なところから実施を進めていく必要があります。

中小企業に必要な対策

ウイルス対策に適したセキュリティ製品を導入する

ウイルスは1日に100万種超の勢いで増殖し続けており、セキュリティソフトによるウイルス対策も限界を迎えつつあります。従来のセキュリティソフトで防御できるウイルスは全体の約45%と言われており、ウイルスの侵入を防ぐセキュリティ対策で、ウイルスに対処することは不可能といっても過言ではありません。

しかし、現代のウイルスに対応したセキュリティ製品は一定数存在しています。たとえば、ウイルス感染後の監視型駆除や、外部との不正通信を遮断する新しい機能を持ったセキュリティ製品であれば、ウイルスへの対策が可能です。おすすめ製品については、下記の記事で紹介しています。

社内のセキュリティ意識を向上する

セキュリティ製品の導入以外にも、従業員のセキュリティ意識をあげることが重要です。システムによる対策強化と並行して、従業員の訓練が必要となります。従来の訓練は、データの紛失や漏えい対策が中心でした。しかし、これからはサイバー攻撃に備えた情報共有や、攻撃を受けた際の対応指導も必須となるでしょう。

セキュリティを他人事ではなく、「明日は我が身」と考えて、普段から意識をしておくことが重要です。
サイバー攻撃だけでなく、「情報漏洩させない」ことが重要です。
セキュリティ対策のはじめの第一歩として、下記の5つの点をしっかりと踏まえておきましょう。

  • 会社パソコンのセキュリティ対策
  • 会社スマホのセキュリティ対策
  • 会社のパソコン、USBの感染・紛失防止
  • 私用パソコンの持ち込み・紛失防止対策
  • 情報セキュリティポリシー策定で意識の向上

上記の5つのセキュリティ対策については、下記の記事で詳細を紹介しているので、ぜひご確認ください。

サイバー攻撃被害の調査方法

サイバー攻撃を受けた場合、その被害実態を正確に突き止めたい方には「フォレンジック調査」をおすすめします。

フォレンジックとは、デジタル機器(PCやサーバー、スマートフォン)の通信ログや操作履歴を調査・解析する手法で、主にサイバー攻撃による被害状況などを解明し、法的証拠を収集することに使用されます。なお、サイバー攻撃にまつわるフォレンジック調査は、すでに世界中で行われており、様々なインシデントの解明に大きく貢献しています。

フォレンジック調査については下記のページで詳しく説明しています。

おすすめのフォレンジック調査会社

おすすめの「フォレンジック調査会社」として「デジタルデータフォレンジック」を紹介します。

デジタルデータフォレンジック

サイトデジタルデータフォレンジック

デジタルデータフォレンジックは国内売上No.1のデータ復旧業者が提供しているフォレンジックサービスです。

  • 端末、ネットワーク解析
  • 損害保険の鑑定業務
  • 各種インシデント対応
  • 警察への捜査協力
  • パスワード解除

サイバー攻撃調査マルウェア感染、不正アクセス、ハッキング)など法人を対象とした社内インシデントに対応している専門性の高い業者であり、年中無休で無料相談も受け付けているため、突然のトラブルにもスムーズに対応することが出来ます。また警視庁からの捜査依頼実績も多数あることから実績面でも信頼ができ、費用面でも安心といえるでしょう。

費用 電話かメールにてお見積り
調査対象 パソコン、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など
サービス 退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、ハッキング・不正アクセス調査、データ改竄調査、マルウェア・ランサムウェア感染調査など
特長 年中無休で無料相談が可能
11年連続国内売上No.1のデータ復元サービス
警視庁からの捜査協力依頼実績が多数あり

まとめ

サイバー攻撃の概要から、事例、統計、対策方法まで、幅広く整理させていただきました。さらに知りたい方は、各項目につけてあるリンク先の記事をご確認いただけると、詳細の情報までご確認いただけますので、ぜひご覧いただければと思います。

パソコンが使えなくなったり、会社のホームページが見れない、メールが使えないという状況になったら、業務もストップしてしまい大きな影響を受けます。そのような状況になりかねないサイバー攻撃が日々起きています。何度も言いますが「明日は我が身」という意識を持って、セキュリティ対策を進めていきましょう。

 

よくある質問

サイバー攻撃への対策方法は?

サイバー攻撃への対策方法は、パソコンやサーバへの対策が必要で、ウイルス対策ソフトを導入したり、社内のセキュリティ意識を向上させる必要があります。詳細はこちら

サイバー攻撃の種類・手口は?

サイバー攻撃には、様々な種類があります。また、サイバー攻撃は日々進歩しています。34のサイバー攻撃について説明しています。詳細はこちら


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。