サイバー攻撃とは、サーバやパソコンなどのコンピューターシステムに対し、ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。
特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合があり、その目的も様々で、金銭目的のものもあれば、ただの愉快犯的な犯行も多くあります。

それでは、その攻撃の種類にはどのようなものがあるのでしょうか?
外部からのサイバー攻撃に使われる攻撃の種類を下記に整理しました。

サイバー攻撃とは?

サイバー攻撃とは、サーバやパソコンやスマホなどのコンピューターシステムに対し、ネットワークを通じて破壊活動やデータの窃取、改ざんなどを行うことです。
特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合があり、その目的も様々で、金銭目的のものもあれば、ただの愉快犯的な犯行も多くあります。

サイバー攻撃の種類

サイバー攻撃には、様々な種類があります。具体的にそれぞれの方法について紹介させていただきます。
(サイバー攻撃は日々進歩しています。新しい攻撃が出てくるので、随時追加・更新させていただきます。)

特定のターゲットを狙った攻撃(標的型攻撃)

標的型攻撃

標的型攻撃標的型攻撃とは、ターゲットを特定の組織やユーザー層に絞って行うサイバー攻撃です。

そのターゲットに関して知り合いや取引先のふりをして悪意のあるファイルを添付したり、悪意のあるサイトに誘導するためのURLリンクを貼り付けたメールを送信し、パソコンやスマートフォンなどの端末をマルウェアに感染させようとする攻撃です。

詳細は下記の記事をご覧ください。
参考標的型メール攻撃とは?種類・感染原因と対策を徹底解説

ランサムウェア

ランサムウェアランサムウェアとは、マルウェアの一種で、ユーザのデータを「人質」にとり、データの回復のために「身代金(ransom)」を要求するソフトウェアのことです。

ランサムウェアの多くはトロイの木馬としてパソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりし
正常にデータにアクセス出来なくなってしまいます。

ユーザがデータにアクセスしようとすると、アクセスが不可能になったことを警告し、復元するための対価としてユーザに金銭の支払いを要求するものです。

詳細は下記の記事をご覧ください。
参考ランサムウェアの感染経路把握からの対策方法まとめ
参考ランサムウェアの種類一覧!種類別対策方法まとめ

水飲み場型攻撃

ターゲットがよく訪れるサイトを改ざんし、そこに不正なプログラムをしかけておき、これによって、ターゲットとなる攻撃対象者が改ざんされたサイトを訪れた際に、不正なプログラムが作動し、対象者の端末にウィルスなどを入れ込む待つタイプの攻撃です。

これは、自然界でライオンなど肉食の動物が獲物を捕らえる際に、水飲み場の近くで水を飲みに来る動物を待ち伏せしていることから名付けられたものです。

詳細は下記の記事をご覧ください。
参考水飲み場型攻撃とは?事例や対策方法を徹底解説

クリックジャッキング

クリックジャッキングとは、Webブラウザを悪用して、ユーザーに不利益をもたらすセキュリティ上の攻撃手法の一つです。

具体的な特徴としては、ボタンやリンクなどを透明で見えない状態にして、通常のWebページの上にかぶせてしまい、クリックを促すというものです。

詳細は下記の記事をご覧ください。
参考クリックジャッキングとは?その攻撃の概要と対策方法を解説

ドライブ バイ ダウンロード

利用者が特定のWebサイトを訪問した際に自動的に悪意のある不正プログラムをダウンロードさせるようにしくむもの。「水飲み場型攻撃」と似ていますが、水飲み場型攻撃よりもターゲットを絞らずに、広い範囲での感染を促すもののことになります。

詳細は下記の記事をご覧ください。
参考ドライブ バイ ダウンロード とは?その概要と対策方法を解説

  

負荷をかける攻撃

DoS攻撃/ DDoS攻撃

DoS攻撃/ DDoS攻撃DoS攻撃は、攻撃側と相手側の1対1で行われますが、 DDoS攻撃とは、複数に分散(Distribute)した攻撃用マシンからの一斉に攻撃を行います。

DDoS攻撃の防御が難しい点は、この複数台の攻撃用マシンがどこにあるのか攻撃が始まるまで分からないことです。そのため、攻撃箇所すべてから守りきることが困難なことが挙げられます。

詳細は下記の記事をご覧ください。
参考DoS攻撃・DDoS攻撃とは?攻撃の目的や種類、事例、対策方法を解説

F5アタック

F5アタック「F5アタック」とは、「F5攻撃」、「F5連続攻撃」などとも呼ばれる攻撃で、キーボードの「F5」キーを押してリロードするだけの簡単でアナログな攻撃手法です。

ターゲットとなるWEBサイトなどにアクセスし、繰り返しF5キーを押すことで、Webサーバを過負荷の状態にして停止・ダウンさせるものです。

詳細は下記の記事をご覧ください。
参考F5アタックとは?F5で犯罪になる?その対策方法など解説

 

OS・ソフト・WEBサイトなどの脆弱性を狙った攻撃

ゼロデイ攻撃

修正プログラム(セキュリティ更新プログラム)などが未公表の脆弱(ぜいじゃく)性を悪用する攻撃のことです。

従来は、攻撃者以外は知らない脆弱性を狙う攻撃をゼロデイ攻撃と呼ぶことが多かったのですが、最近では脆弱性自体はメーカーや研究者などによって公表されていても、修正プログラムが未公表な場合にはゼロデイ攻撃と呼ぶことが多いです。

詳細は下記の記事をご覧ください。
参考ゼロデイ攻撃とは?種類・感染原因と対策を徹底解説

SQLインジェクション

SQLインジェクションDBサーバと連携したWEBシステムの場合、WEBサーバではユーザが入力した情報を基にSQL文を組み立てるものがあります。そのSQL文によってデータベースへのデータ追加・更新など行います。

このとき、WEBサーバがセキュリティ的に無防備な状態であると、ブラウザから入力された「悪意のあるSQL文」をそのままデータベース操作の一部に注入(Injection)される可能性があります。

詳細は下記の記事をご覧ください。
参考SQLインジェクションとは?種類・感染原因と対策を徹底解説

OSコマンド・インジェクション

OSコマンド・インジェクション独自開発のWEBアプリケーションの脆弱性を突いた攻撃の一種です。
不正な入力データによってOSコマンドを呼び出し、任意のファイルの読み出しや変更・削除などを不正にOSを操作する攻撃をいます。

詳細は下記の記事をご覧ください。
参考OSコマンド・インジェクションとは?種類・感染原因と対策を徹底解説

クロスサイトスクリプティング

クロスサイトスクリプティング掲示板やブログなどユーザが入力した内容をWEBページとして出力するWEBアプリケーションに対して多く行われる攻撃です。

例えば、掲示板に悪意のあるスクリプト(簡易的なプログラミング言語のこと)を埋め込んだリンクを貼り付け、そのページを閲覧したユーザのブラウザ上でスクリプト(プログラム)を実行させるという攻撃を行います。

詳細は下記の記事をご覧ください。
参考クロスサイトスクリプティングとは?種類・感染原因と対策を徹底解説

バッファオーバーフロー攻撃

バッファオーバーフロー攻撃バッファオーバーフロー攻撃とは、OSやアプリケーションプログラムの入力データ処理に関するバグを突いてコンピュータを不正に操作する攻撃をいいます。

BOF攻撃は、主にメモリのスタック領域で行われる攻撃をいいますが、その他にもヒープ領域で行われるヒープBOFやUNIX環境下でrootのSUID属性をもつコマンドを悪用して管理者権限を奪取するローカルBOF攻撃などがあります。

詳細は下記の記事をご覧ください。
参考バッファオーバーフローとは?攻撃・対策方法とDoS攻撃との違いを解説

セッションハイジャック

セッションハイジャックセッションハイジャックはなりすましの一種でクライアントとサーバの正規セッションに割り込んで、セッションを奪い取る行為をいいます。
セッションハイジャックにより行われる行為として以下のようなことが考えられます。

  • 正規サーバになりますてクライアントの機密情報を盗む
  • 正規クライアントになりすまして、サーバに侵入する

セッションハイジャックの種類にはTCPセッションハイジャック、UDPセッションハイジャック、WEBセッションハイジャックなどがあります。

詳細は下記の記事をご覧ください。
参考セッションハイジャックとは?種類・感染原因と対策を徹底解説

バックドア

バックドアとは、英語で直訳すると「勝手口」「裏口」のことで、セキュリティの分野では「コンピューターへ不正に侵入するための入り口」のことです。

悪意を持った攻撃者が、ターゲットとなるコンピューターに侵入するための入り口を作るケースや、プログラムにあらかじめ入り口が作られており、侵入できるようになっているケースなどいくつかの種類があります。

詳細は下記の記事をご覧ください。
参考バックドアとは?その攻撃に対する効果的なセキュリティ対策を解説

ルートキット攻撃

ルートキット攻撃他人のコンピュータに不正侵入した攻撃者は、

  • 侵入を隠ぺいするためのログの改ざんツール
  • 侵入口が防がれても再び侵入できるようにする裏口(バックドア)ツール
  • 侵入に気づかれないための改ざんされたシステムコマンド群

などをインストールします。これらを素早く導入するための、パッケージにまとめたものがルートキットと呼ばれています。

詳細は下記の記事をご覧ください。
参考ルートキット攻撃とは?種類・感染原因と対策を徹底解説

 

パスワード関連のサイバー攻撃

ブルートフォースアタック

ブルートフォースアタックブルートフォースアタック(総当たり攻撃)とは、暗号解読方法のひとつであり、可能な組み合わせを全て試す方法です。

人間の操作では手間がかかりすぎる方法ではありますが、手軽に実行できるツールが普及しており、時間的制約がない限りは確実にパスワードを割り出して侵入することができる方法です。

詳細は下記の記事をご覧ください。
参考ブルートフォースアタック(総当たり攻撃)とは?その特徴と対策を整理

パスワードリスト攻撃

パスワードリスト攻撃とは、攻撃対象とは別のサイトから得たIDとパスワードの一覧(リスト)を用い、攻撃対象のサイトでログインを試行する攻撃方法のことです。

同一のパスワードを、複数のWEBサービスで使い回す利用者が多いという傾向を利用したもので、さまざまなWEBサービスでログインの試行を繰り返すものです。そして、ログインが成功したサイトから、最終的には利用者の個人情報や金銭などを詐取しようとします。

詳細は下記の記事をご覧ください。
参考パスワードリスト攻撃とは?被害の原因と対策方法

攻撃にはマルウェアを伴います。
上記のように数あるサイバー攻撃のほとんどで、情報を漏洩させるために攻撃ののちにマルウェアをしかけます。
マルウェアに感染することにより、情報が抜き取られるなどの被害を拡大させようとしますので、その攻撃の流れも把握しておきましょう。

マルウェアの分類には大きく分けて3種類あります。その特徴については下記の記事をご覧ください。
参考マルウェアとは?その種類・感染原因と対策を徹底解説

また、感染してしまった場合のチェックや駆除方法も下記に整理していますので、参考にしてください。
参考マルウェア感染?と感じた時に無料で確認・チェックする方法
参考マルウェアを確実に駆除する4ステップとフリーツール紹介

サイバー攻撃による被害事例

サイバー攻撃をする際に、マルウェア(ウイルス・ワーム・トロイの木馬)などに感染させる手口を使うものが多くあり、ターゲットとしては、特定の組織や集団、個人を狙ったものと、不特定多数を無差別に攻撃するものがあります。

近年のサイバー攻撃での不正アクセスで最も影響があったと言えるのは「日本年金機構」の情報漏洩事件ではないでしょうか?
下記にその事件の概要を整理いたします。

被害事例:日本年金機構(2015年6月)

日本年金機構の年金情報管理システムサーバが外部の不正アクセスにより情報漏洩。年金加入者の個人情報が約125万件流出しました。

流出した個人情報項目内訳は

  • 基礎年金番号、氏名(流出件数 約3.1万件)
  • 基礎年金番号、氏名、生年月日(流出件数 約116.7万件)
  • 基礎年金番号、氏名、生年月日、住所(流出件数 約5.2万件)

日本年金機構の福岡市内オフィスで職員がメールに添付されているファイルを開封した際にPCがマルウェアに感染。このPCから機構LANに接続され、細分化された複数のフォルダから情報を抜き取られたとされています。
参考日本年金機構情報漏洩事件のすべて<彼らは本当に生まれ変わったのか>

被害事例:GMOペパボ(2018年1月)

また、ECサイトでの大きな事例として「カラーミーショップ」を運営するGMOペパボの不正アクセス事件も、大きな影響があったと言えます。
こちらも概要を整理しました。

事件が起きたのは2018年1月7日。GMOペパボが独自で使用しているアプリケーション機能を狙ったサイバー攻撃が行われました。
GMOペパボが運営する「カラーミーショップ」が不正アクセスを受け、同サービスを利用しECサイトを運営しているオーナー及び利用者の個人情報が漏洩。
発表によると流出した情報は合計約9万件。内訳などは下記ページに整理されております。なお、同社発表によると、カード情報の不正利用被害は現在のところ確認されていないとのことでした。

参考最大約9万件の個人情報漏洩、GMOペパボ運営「カラーミーショップ」に不正アクセス

相当数のショッピングサイトを運営している、その元になるショッピングカートサービスが攻撃されることで、甚大な被害となりました。
カラーミーショップを利用している人は多いかと思います。その利用料金が安いことからも個人運営のショッピングサイトもあります。

このような事件が起こると、いつ自分が被害に遭ってもおかしくないことを実感してしまいますね。

2017年下期の不正アクセス事件まとめ

毎日のようにニュースとなっている不正アクセスによる情報漏洩事件ですが、2017年だけでも下記のようなニュースが世間をにぎわせました。

日付 法人・団体名 件数・人数 漏洩原因 漏洩内容・詳細・二次被害(悪用)など
2017/12/13 大阪大学 6万9,549名 サイバー攻撃 約8万人の情報が登録されていたデータベースへ1ヶ月半のサイバー攻撃が発生。その後海外のIPを経由し不正アクセス。6万9,549名分の情報がダウンロードされている事を確認。
2017/10/30 GMOインターネット株式会社 1万4,612件 不正アクセス 同社が手掛けるサイト売買仲介サービス「サイトM&A」にて、個人情報合計1万4,612件が流出。原因は外部からのサイバー攻撃による可能性が高いとのこと。流出情報には「氏名、住所、生年月日、電話番号、メールアドレス」が含まれていた。
2017/10/11 株式会社アドウィック 約60万件 不正アクセス 同社の管理サーバが不正を受け、サービス利用者の個人情報「氏名や電話番号、メールアドレス・医療機関の予約時間等」の約60万件という大規模流出。
2017/10/4 TOKYO MX 約37万件 不正アクセス 流出した個人情報はサービスの利用等に使われた氏名やニックネーム、メールアドレスなど。クレジットカード情報などの漏洩は確認されていない。
2017/8/29 ジェネシス・イーシー株式会社 最大9,458件 不正アクセス 漏洩したカード情報は最大で9,458件。漏洩したカード情報の内訳には、「クレジットカード番号、有効期限、セキュリティコード」といったセンシティブ情報が含まれており、既に一部のカードで不正被害が確認されている。
2017/8/22 株式会社エイチ・アイ・エス 最大1万1,975件 不正アクセス 首都圏発の国内バスツアーにサイトから予約を行い参加した顧客情報が流出。サイトリニューアル時のデータ移行作業において、誤って個人情報を含むデータが残ってしまい、今回の不正アクセスでダウンロードが行われてしまったことが原因。
2017/7/25 株式会社ゴゴジャン 9,822件 不正アクセス 自社が運営する投資関連サイト「fx-on」にて情報流出。カード決済システムに不審なソフトウェアが潜入しており、このソフトウェアが原因で情報流出が行われた可能性が高いとされている。
2017/7/17 マネースクウェア・ジャパン株式会社 約11万件 不正アクセス マネースクウェア・ジャパン株式会社が運営する外国為替証拠金取引サイト「M2JFX」において、不正アクセスによる情報漏洩が起きたことが判明。また、今回の不正アクセス以外に「2016年7月から11月にかけて攻撃を受け続けていた」という衝撃的な事実が判明。2016年中に合計11万2,364件の個人情報が流出した可能性があるとのこと。
2017/7/12 常磐興産株式会社 最大6,860件 不正アクセス 福島県のレジャー観光施設「スパリゾートハワイアンズ」を運営する、常磐興産株式会社は、ショッピングサイト「ハワイアンズモール」が不正アクセスを受け、一部のクレジットカード情報が最大で6,860件流出したと発表。このうち、約700万円の不正な買い物が確認されているという。
2017/7/10 日産化学工業 約4,500件 不正アクセス 日産化学工業株式会社が運営するウェブサイトの一部が、第三者による不正アクセスを受け、同サイトの問い合わせフォームに入力された個人情報、約4,500件が外部へ流出した可能性があることがわかった。

2017年だけでもこれだけのニュースがあります。
企業規模の大小に関わらず被害が多発しているのがわかります。

これらの情報を見て「明日は我が身」という気持ちで、セキュリティ対策を行って頂くきっかけになれば幸いです。

最新の漏洩事件はこちらにも整理してますのでご確認ください。
参考個人情報漏洩事件・被害事例一覧
参考近年のサイバー攻撃(サイバーテロ)による被害事例

サイバー攻撃の件数など統計情報

前述したような、実際の事例を見ると日々サイバー攻撃が怒っていることがわかりますね。
実際に被害がニュースとなっているもので上記の数があるのですが、ニュースにもなっていないようなサイバー攻撃は日本に対してどの程度行われているのでしょう?

その統計情報から、個人情報が漏洩した際の損害賠償額など、試算されている情報を整理しました。
企業としてサイバー攻撃の被害を受けることがどのくらい大変なことか、ご理解いただければ幸いです。

Iot機器への攻撃の増加

2017年に観測されたサイバー攻撃関連通信は、合計1,504億パケットとの数値が「国立研究開発法人情報通信研究機構」より「NICTER観測レポート」として発表されています。
想像の範囲を大きく超える数値かと思いますが、この数値は、2016年から急激に増えた数値となっております。
これは近年のIot機器への攻撃の大幅な増加が要因となっていることもわかっており、パソコンやスマートフォンだけでなく、普段使っている家電製品等のセキュリティも意識しないといけない時代となってきています。

家庭や職場で使用しているIoT機器の所在を正確に把握し、それらを適切に設定・アップデートするなど、IoT機器にもセキュリティ対策が必要であるという認識を高めていくことが重要です。

NICTERダークネット観測統計

日本国内企業の個人情報漏洩による損害賠償額

個人情報漏洩による影響を表す損害賠償額は、1人あたり平均想定損害賠償額が「3万1,646円」になっています。

漏えい人数 1,396万5,227人
インシデント件数 468件
想定損害賠償額 2,788億7,979万円
1件あたりの漏えい人数 3万1,453人
1件あたり想定平均損害賠償額 6億2,811万円
1人あたり平均想定損害賠償額 3万1,646円

さらに「高度なサイバー攻撃の発生頻度は3分に1回」「日本でも10秒に1人の割合でサイバー攻撃の被害者」や「業種別のインシデント件数」など、様々の統計情報がありますので、さらに興味のある方は下記ページをご覧ください。

参考サイバー攻撃(サイバーテロ)の統計情報

サイバー攻撃を可視化できるサイト紹介

サイバー攻撃が実際どの程度行われているのか?を数値で見てもなかなかイメージがつきにく方は、リアルタイムの可視化ツールをご覧いただくと、良いかと思います。
ビジュアル化されることで、とてもイメージがつきやすくなりますね。

その可視化のツールとして有名なのが、「Atlas」です。
日本の「情報通信研究機構」が公開している、純日本製の可視化ツールで、ダークネットトラフィックを可視化してリアルタイム表示しています。

img_free-tool01-02
URLhttp://www.nicter.jp/atlas

ダークネットとは?
インターネット上の未使用IPのこと。
このダークネットにはパケットを送っても届かないはずですが、マルウェアによる感染活動や何らかのネットの不正な活動によってパケットが到達することがあり、これを観測することにより不正活動の傾向が把握できるので、その情報を可視化しています。

さらに多くのツールを見て見たい方は、下記にて日本国内にかかわらず世界中に公開されている6つのツールを紹介してますので、ぜひご覧ください。
参考サイバー攻撃リアルタイム可視化ツール集

サイバー攻撃への対策方法

これまで整理したように、サイバー攻撃は日々進化をしており、毎日のようにインターネットを通じてパソコン、サーバを狙って攻撃をしてきています。
そのような中でどのような対策をすれば良いのでしょう?

パソコンへの対策

まずお使いのパソコンに対してのセキュリティは、下記の点が挙げられます。

  • WindowsやmacなどOSを最新版にアップデート
  • その他利用しているソフトウェアを最新版にアップデート
  • 怪しいメールは開かない、怪しいサイト・URLはクリックしない
  • マルウェアの検知が可能なセキュリティソフトの導入

サーバへの対策

さらに自社でサーバを運用している企業にとっては、サーバに対しても下記のような対策が必要になります。

  • WEBサーバで利用しているOSやソフトウェアの脆弱性対策の徹底
  • OSシステムファイルやアプリケーション構成ファイルに対する変更監視
  • WEBサーバに対する不正な通信の検知・遮断
  • 運用アカウント管理の徹底、各種システムログ、セキュリティログの取得
  • ログ監視の強化

上記の対策のうち、可能なところから実施を進めていく必要があります。

中小企業に必要な対策

「サーバの運用はしていないし、パソコンは一人一台あるだけ」という中小企業の方は、いきなり高額なツールを入れたりする必要はありません。
まずは普段使っているパソコンやスマホなどにセキュリティソフトを入れておきましょう。
参考セキュリティソフトの選び方と売れ筋ソフト徹底比較

それ以外にはまずは、従業員のセキュリティ意識をあげることが重要です。

セキュリティを他人事ではなく、「明日は我が身」と考えて、普段から意識をしておくことが重要です。
サイバー攻撃だけでなく、「情報漏洩させない」ことが重要です。
セキュリティ対策のはじめの第一歩として、下記の5つの点をしっかりと踏まえておきましょう。

  • 会社パソコンのセキュリティ対策
  • 会社スマホのセキュリティ対策
  • 会社のパソコン、USBの感染・紛失防止
  • 私用パソコンの持ち込み・紛失防止対策
  • 情報セキュリティポリシー策定で意識の向上

上記の5つのセキュリティ対策については、下記の記事で詳細を紹介しているので、ぜひご確認ください。
参考中小企業で必須の5つのセキュリティ対策

まとめ

いかがでしたでしょうか?
サイバー攻撃の概要から、事例、統計、対策方法まで、幅広く整理させていただきました。
さらに知りたい方は、各項目につけてあるリンク先の記事をご確認いただけると、詳細の情報までご確認いただけますので、ぜひご覧いただければと思います。

パソコンが使えなくなったり、会社のホームページが見れない、メールが使えないという状況になったら、業務もストップしてしまい大きな影響を受けます。
そのような状況になりかねないサイバー攻撃が日々起きています。
何度も言いますが「明日は我が身」という意識を持って、セキュリティ対策を進めていきましょう。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。