サイバー攻撃とは

サイバー攻撃への必要な対策を実施するには、基本的な意味や近年の動向を押さえておくことが大事です。サイバー攻撃の現状について見ていきましょう。

サイバー攻撃の意味

サイバー攻撃とは、インターネット等のネットワークを介して、サーバ、パソコン、スマホ等の情報端末に対して、システムの破壊やデータの窃取、改ざん等を行うことを指します。サイバー攻撃は世界規模で発生しており、治安や安全、危機管理等に影響をおよぼす問題として注視されています。

実行者の特定が難しく、被害が潜在化する傾向が見られるため、サイバー攻撃の種類に応じたセキュリティ対策を行っていくことが重要です。年々、手口が巧妙化しているため、常に最新の情報を把握しておきましょう。

　

サイバー攻撃の動向

総務省が公表している「令和6年版　情報通信白書」によれば、多くのサイバー攻撃が行われている実態が明らかになっています。NICT（国立研究開発法人情報通信研究機構）が運用している大規模サイバー攻撃観測網（NICTER）が2023年に観測したサイバー攻撃関連の通信数は約6,197億パケットとなっており、2015年の約632億パケットと比較して、9.8倍という結果です。

2023年に観測されたサイバー攻撃関連の通信数は、各IPアドレスに対して14秒に1回の攻撃が行われている計算となっています。

　

サイバー攻撃の種類

情報処理推進機構（IPA）が公表している「情報セキュリティ10大脅威 2024[組織]」によれば、以下の結果となっています。

　

ここでは、サイバー攻撃の主な種類についてそれぞれ解説します。

1.マルウェア

マルウェア（Malicious Software）は、悪意のあるソフトウェアの略称を指します。ネットワークの脆弱性等を利用して攻撃を仕掛けるソフトウェア（コード）の総称であり、コンピューターウイルスと同じような意味で使われています。

厳密には、コンピューターウイルスのほかに、スパムやフィッシング詐欺、トロイの木馬、ワーム等のさまざまなマルウェアが存在している点を押さえておきましょう。

　

【関連記事】

マルウェアの脅威や種類、感染経路や対処方法等について解説しています。

　

2.トロイの木馬

トロイの木馬とは、正規のソフトウェアやファイルに偽装して、利用者に気付かれないように攻撃を行ってくるマルウェアの一種です。通常のウイルスのように自己増殖はせず、プログラム単体で実行可能なマルウェアであり、正規のものを装って内部に侵入します。

知らないうちに端末に入り込み、機密情報を窃取したり、ウイルス感染の踏み台にしたりするのが被害の主なパターンです。

3.ランサムウェア

ランサムウェアとは、コンピューターウイルスに感染したパソコンに保存しているファイル等を暗号化して使用ができない状態にした上で、復旧と引き換えに金銭（身代金）を要求するマルウェアをいいます。ただし、金銭を支払っても復旧されない場合があることや、金銭を支払うことで犯罪者に利益供与を行ったと見なされる場合があるため、支払いに応じないことが重要です。

また最近の事例として、企業等のネットワークに侵入し、データを暗号化する（ランサムウェアを用いる）ことなくデータを窃取して金銭を要求するケースが見られます。「ノーウェアランサム（No-ware Ransom）」による被害が確認されており、今後被害が増加していくことが予想されている点も押さえておきましょう。

ランサムウェアについて、さらに詳しく調べたい方は、以下の記事も参考にしてみてください。

【関連記事】

ランサムウェア攻撃との違いや特徴、対策について解説しています。

　

4.標的型攻撃

標的型攻撃とは、特定の組織をターゲットとして、機密情報や知的財産、IDやパスワード等の情報を窃取しようとする攻撃をいいます。標的型攻撃においては、ターゲットとする組織が取引を行っている企業を装ってメールを送り、添付ファイルやリンクをクリックさせることでマルウェアを配布するサイトに誘導させるといった手口が使われています。

三井住友海上では法人会員様へ、標的型メール訓練サービスを提供しています。興味のある方はこちらのソリューションページからご確認ください。

【関連記事】

標的型攻撃メールの特徴や対応方法等について解説しています。

　

5.水飲み場攻撃

水飲み場攻撃とは、肉食獣が水を飲みに来た獲物を待ち伏せする狩りの手法になぞらえた標的型攻撃の一種です。特定分野における企業や組織のユーザー等をターゲットとして、日ごろからよくアクセスするWebサイトを改ざんし、閲覧するだけでマルウェアに感染させるのが基本的な手口です。

改ざんされたWebサイトにアクセスすると、HTMLのリダイレクト設定や埋め込まれたJavaScriptによって異なるページに誘導され、その先でウイルスに感染させられます。ターゲットが特定の企業や組織に絞り込まれるため、改ざんされている事実を検知しにくく、発見までに時間がかかってしまうこともあるのが特徴です。

6.サプライチェーン攻撃

サプライチェーン攻撃とは、ターゲット企業に直接サイバー攻撃を行うのではなく、関連企業や取引先企業に攻撃を仕掛け、その企業を踏み台としてターゲット企業に不正侵入を行う攻撃をいいます。

サプライチェーンのうち一社がサイバー攻撃を受けることで、他社の事業活動の継続にも大きな影響がおよぶ恐れがあり、取引先等と連携した取組が必要だといえるでしょう。

【関連記事】

サプライチェーンが抱えるリスクや課題解決につなげるためのポイント、情報セキュリティ対策等を解説しています。

　

7.フィッシング詐欺

銀行やクレジットカード会社等の実在する金融機関やECサイト等を装った電子メールを送り、偽のサイトに誘導する手口を指します。本物そっくりのサイトを通じて、住所、氏名、銀行口座番号、クレジットカード番号等の重要な情報を入力させて詐取する行為のことです。

8.ゼロデイ攻撃

使用するソフトウェアの脆弱性が発見されたとしても、修正プログラムが作成され、配布されるまでには時間を要するケースがあります。そうした空白期間を狙った攻撃のことをゼロデイ攻撃といいます。

【関連記事】

ゼロデイ攻撃の概要と脆弱性の意味、対策のポイント等を解説しています。

　

9.DDoS攻撃

コンピューター等に不正なデータを送信して使用不能にしたり、ネットワークを麻痺させたりする行為をDoS攻撃と呼びます。また、複数のネットワークに分散しているコンピューターに対して、大量のデータを送ることで機能を停止させてしまう行為をDDoS攻撃といいます。

【関連記事】

DDoS攻撃の基本的な仕組みや手口、具体的なリスクについて解説しています。

　

10.ランダムサブドメイン攻撃

ランダムサブドメイン攻撃とは、比較的に新しいタイプのDDoS攻撃です。対象となるドメインを管理しているDNSサーバ（※）に対し、意味のないランダムなサブドメインを大量に問い合わせ、機能をストップさせる手法です。

※DNSサーバとは
Domain Name Systemの略でドメイン名とIPアドレスを紐づける仕組みを提供するサーバです。

DNSサーバが停止すれば、インターネットを通じたサービス提供が行えなくなり、企業の運営や事業の継続に大きな影響を与えます。ランダムサブドメイン攻撃の手口では、トロイの木馬等のマルウェアで複数の端末を乗っ取り、そこからキャッシュDNSサーバに攻撃を仕掛けるというパターンが代表的です。

実在しないドメインからアクセスされたキャッシュDNSサーバは、対象ドメインの権威DNSサーバに問い合わせを行うため、過度に集中すれば処理が間に合わずに機能が停止してしまいます。

11.ドメインハイジャック

ドメインハイジャックとは、他人のドメインを不正に取得して悪用するタイプのサイバー攻撃を指します。ドメインジャックによる被害が発生した場合、正規のURLでアクセスしていても、攻撃者が作成した詐欺サイトに誘導されるなどの被害が発生する恐れがあります。

12.ブルートフォース攻撃

ブルートフォース攻撃とは、同一のIDに対してパスワードを総当たりで試しながら、ログインを試みる攻撃のことです。同一IDへのログイン試行回数の制限を設けるといった対策を行う企業が増えています。

【関連記事】

FIDO Allianceが発表した米国と英国在住の2,000名を対象としたパスワードとパスキーに関する調査結果について解説しています。

　

13.SQLインジェクション攻撃

SQLインジェクション攻撃とは、悪意のある攻撃者が特殊な文字列をWebサーバに入力することで、通常はあり得ない動作をWebアプリケーションに起こさせる行為をいいます。データベースに保存されているデータを盗み出すために行われる攻撃手法です。

14.セッションハイジャック

ホームページの閲覧等を行っている時に、利用者以外の第三者が通信を乗っ取る攻撃のことをセッションハイジャックといいます。セッションハイジャックが行われると、本来の利用者になりすました通信が行われることになるため、非常に危険だといえるでしょう。

15.中間者攻撃

中間者攻撃とは、通信を行っている当事者の間に第三者が割り込むことで、不正な攻撃をすることを指します。マン・イン・ザ・ミドル（Man-in-the-Middle）攻撃と呼ばれることもあります。

16.パスワードリスト攻撃

パスワードリスト攻撃とは、不正に取得したID・パスワードの組合せを用いて、システム等に不正アクセスを仕掛けるサイバー攻撃のことです。攻撃者はランダムに組み合わせたID・パスワードのリストを用いて、インターネットサービス等にログインを試みます。

その結果、個人情報の不正入手やWebページの意図的な操作、オンライン送金の不正利用等につながる恐れがあります。攻撃で利用されるリストは、必ずしも不正アクセスを行う対象のサービスから入手されるとは限りません。

その他のサービスで正規ユーザーが使っているID・パスワードを不正入手し、組み合わせながら転用されるケースもあります。そのため、複数のWebサービスで同一のID・パスワードを併用しているユーザーのほうが、被害に遭うリスクは高くなると考えられます。

【関連記事】

不正アクセスがもたらす主なリスクや被害の事例、必要な対策等を解説しています。

　

17.エモテット

エモテット（Emotet）とは、メールを主な感染経路とするマルウェアの一種です。メールアカウントやメールデータ等の情報を抜き取り、ほかのウイルスへの二次感染のために悪用されるケースが多く、2010年代の終わりから2020年代にかけて被害が拡大しています。

メールに添付される不正ファイル等をクリックすることで、気付かないうちに感染してしまうというのが基本的なパターンです。メールは過去の正規のやりとりを参考にして作成されるため、一見すると不正なものであるかどうか見分けがつかない点が特徴です。

一度感染すると、端末に残った個人情報やネットワーク認証情報等が抜き出され、そのまま不正アクセスに利用されてしまいます。その結果、従業員個人の端末から社内全体へと被害が拡大するケースもあります。

【関連記事】

メールを主な感染経路とするEmotetの基本的な特徴や主な攻撃の手口、感染した際に起こり得る被害のほか、感染や被害の拡大を防ぐために講じるべき対策について解説しています。

　

18.バッファオーバーフロー攻撃

バッファオーバーフロー攻撃とは、特定のサーバやパソコンをターゲットとし、過剰に大量のデータや悪意のあるコードを送り付け、メモリ領域内のバッファの許容量をオーバーさせる攻撃手法のことです。オーバーフローが起こると、実行中のプログラムが強制停止されたり、管理者権限を乗っ取られたりするなどのさらなるリスクが発生します。

その結果、サービス供給のストップやWebサイトの不正な改ざんといった被害につながるのです。バッファオーバーフローは、プログラムの開発時に、「許容量を超えたデータが入力されるリスクを想定していない」「許容量オーバーをチェックする仕組みがない」といったバッファオーバーフローの脆弱性がある場合に、攻撃を受けるリスクが高まるとされています。

また、不用意にプログラミングを行うことで、意図せず後天的な脆弱性が生じることもあります。

19.クロスサイトスクリプティング

クロスサイトサクリプティング（XSS）とは、悪質なスクリプトをWebサイトのHTMLに埋め込み、意図せずに実行させて異なるWebサイトに遷移させる攻撃手法のことです。まず、攻撃者は通常のWebサイトやWebアプリケーションにワナを仕掛けます。

そこにユーザーがアクセスをし、うっかりリンクをクリックしてしまうと、別のWebサイトに遷移させられます。その先で悪意のあるスクリプトが実行され、マルウェア感染や情報漏えい等が発生するのが基本的な手口です。

20.OSコマンドインジェクション

Webアプリケーションによっては、何らかの原因により、外部からの攻撃を受けてWebサーバのOSコマンドを不正に実行されてしまう問題が起こる場合があります。この状態のことを「OSコマンドインジェクションの脆弱性」と呼び、脆弱性を悪用した攻撃手法がOSコマンドインジェクション攻撃です。

攻撃者はユーザーが想定していない命令文をシステム上で実行させ、データ流出やファイルの削除、マルウェア感染といったさまざまな被害を引き起こします。

21.ビジネスメール詐欺

ビジネスメール詐欺とは、虚偽のメールを企業等に送り付け、従業員を騙して攻撃者が用意した口座に送金させる詐欺のことです。送信元は正規の取引先企業や自社の経営陣などになりすますケースが多く、ときには数百万円以上の被害が発生することもあります。

なお、類似した手法に「ビジネスサポート詐欺」と呼ばれる手口もあります。こちらは、悪意のあるWebサイトを訪問した利用者に偽の警告画面を表示し、架空のサポートセンターに連絡をさせて金品を騙し取る詐欺のことです。

【関連記事】

メールやSMSを起因としたサイバー攻撃が増加傾向にある背景や要因、サイバー空間における安心・安全なコミュニケーションのポイントについて解説しています。

　

サイバー攻撃の被害事例

サイバー攻撃は年々巧妙化しており、それに伴って手口や被害の原因も多様化しているのが現状です。ここでは、サイバー攻撃の被害事例を四つご紹介します。

事例1：物流業_ランサムウェアによる情報の暗号化

ある物流会社では、ランサムウェアの被害により個人情報漏えいの可能性が生じ、声明を発表する事態となりました。サーバでのアクセス障害が確認され、原因について調査したところ、サーバ内のデータが暗号化されていることが発覚したのです。

その後、すぐにサーバ停止と外部ネットワークの遮断を行うものの、追加調査により個人情報が漏えいした可能性があることが明らかになりました。委託元の通販サイトの顧客情報や、物流会社に業務を委託していた企業の情報など、さまざまなデータが流出している可能性があるとされ、関係各社が相次いで声明を発表する事態にまで発展しました。

詳しい原因や被害内容については、外部専門家の助言を受けながら現在も調査中とされています。

【関連記事】

個人情報の流出件数や要因について解説しています。

　

事例2：医療_院内システムがランサムウェアに感染

ある病院がサイバー攻撃を受け、電子カルテ等の院内システムがランサムウェアに感染し、カルテが閲覧できなくなる大きな被害が生じました。調査復旧を請け負った事業者の作業、電子カルテ業者による仮システムの構築、電子カルテから必要に応じて抽出していたデータ等を利用し、被害発生から約2ヵ月後に通常診療を再開しました。

有識者によってまとめられた調査報告書によれば、「本事案はベンダーが昨今のセキュリティ事情を考慮せず、現在となっては極めて脆弱なシステムの販売と稼働を優先させたことにあった」と結論付けられています。

事例3：情報通信業_ブルートフォース攻撃による共有フォルダアクセス

サイバー攻撃の被害は、専門的な知見を備えているはずの情報通信業界でも発生しています。あるシステムインテグレーターでは、再委託先で管理されているPCがブルートフォース攻撃を受け、PCが乗っ取られるという事件が発生しました。

その後の調査により、乗っ取られたPCでランサムウェアが実行されて、PC内のファイルおよびクラウド上のファイル共有サービスの共有フォルダまでアクセスされたことが確認されます。ファイルのダウンロード形跡は見られなかったため、情報漏えいの恐れはないと判断されたものの、全委託先への対策状況の確認を実施する運びとなりました。

事例4：製造業_標的型攻撃によるメールアカウントの乗っ取り

【関連記事】

標的型攻撃メールの特徴や対応方法等について解説しています。

　

サイバー攻撃の対策

サイバー攻撃への対策は、複数の取組を組み合わせて進めていく必要があります。具体的にどのような対策があるのかを解説します。

　

ソフトウェアの更新

セキュリティの強化のためにウイルス対策ソフト等を導入しても、時間の経過とともに新たな脆弱性が発見される場合があります。そのため、情報管理の担当者はソフトウェアの状態を常に最新のものにアップデートしていく必要があるでしょう。

ソフトウェアの開発元から配布されている修正プログラムがないかを確認し、定期的なメンテナンスを実施していくことが重要です。

ネットワークの防御

サイバー攻撃からネットワークを防御するには、ファイアウォールの導入が欠かせません。ファイアウォールとは、外部と内部のネットワークを結ぶ箇所に導入するものであり、外部からの不正なアクセスを防ぐシステムのことを指します。

セキュリティをより強化するには、ファイアウォールを二重化したり、ファイアウォール以外にも侵入検知システム（IDS）や侵入防止システム（IPS）を導入したりする方法が考えられます。ファイアウォールはソフトウェアとして提供されているものや、システムとしてあらかじめ組み込まれているもの等さまざまです。

利用している製品の開発元に確認をした上で、不足しているセキュリティ対策がないかを確認してみましょう。

バックアップの運用

企業内で保有する情報資産を守るには、万が一に備えてバックアップを取っておくことが重要です。業務に必要なデータのバックアップがあれば、パソコンやネットワークに障害が起こったり、システムの操作ミス等が発生したりした場合でも、業務に与える影響を最小限に抑えられるでしょう。

バックアップは定期的に行う必要があるため、どのようなルール（対象となるデータの分類や保存期間、バックアップを行う頻度等）で運用するかを検討しておくことが大切です。また、バックアップの保管場所についても考えておきましょう。

サイバー攻撃によるリスクを考慮し、バックアップデータはネットワーク上での隔離を行うことが大事です。

従業員教育の実施

「つい、うっかり」といった過失（ヒューマンエラー）によって、サイバー攻撃を誘発する可能性があります。サイバーリスクに強い企業をめざすには、従業員自身のサイバーセキュリティに関する知識の向上や訓練を図っていくことが大切です。

新たな従業員が入社するタイミングや人事異動等が行われる時期に社内研修を行ったり、管理職向けの研修等を実施したりしてみましょう。

業務用端末の管理

情報漏えいに関するリスクを軽減させるための対策は、従業員だけでは困難なことも多くあります。そのため、情報管理担当者が中心となり、組織全体のルールを決めておくことが大切です。

業務で使用するパソコンやスマートフォン等の端末の管理、アクセス権限の付与、ソフトウェアをインストールする時の許可申請といった点で、適切な管理を行っていくことが重要だといえます。

まとめ

サイバー攻撃の手口は多様化しており、既に導入しているセキュリティ対策だけでは不十分な部分もあるでしょう。そのため、どのような種類のサイバー攻撃があるかを把握した上で、一つずつ必要な対策を講じていくことが欠かせません。

近年ではサイバー攻撃の手口が巧妙化しており、複数の対策を組み合わせて自社のセキュリティを強化していく必要があります。使用しているソフトウェアやシステム等を最新の状態に保ち、従業員への教育等も実施しながら、セキュリティを強化してみましょう。

【参考情報】

2024年10月25日付　福岡県警察　「サイバー攻撃対策」
2024年10月25日付　総務省　「令和6年版　情報通信白書」
2024年7月29日付　独立行政法人情報処理推進機構　「情報セキュリティ10大脅威　2024」
2024年10月25日付　総務省　「安心してインターネットを使うために　国民のためのサイバーセキュリティサイト」
2005年11月付　米国国土安全保障省　「マルウェアによるインシデントの防止と対応のためのガイド」
2015年5月付　総務省　「電気通信事業におけるサイバー攻撃への 適正な対処の在り方に関する研究会 第二次とりまとめ （案）」
2014年11月　総務省　「「ドメイン名に関する情報通信政策の在り方について」（案） に対して提出された御意見及びそれらに対する考え方」
2013年12月　総務省　「リスト型アカウントハッキングによる不正ログインへの対応方策について」
2024年10月25日付　独立行政法人情報処理推進機構　「Emotet（エモテット）関連情報」
独立行政法人情報処理推進機構　「AppGoatを利用した集合教育補助資料-クロスサイトスクリプティング編」
2024年10月25日付　独立行政法人情報処理推進機構　「安全なウェブサイトの作り方 - 1.2 OSコマンド・インジェクション」
2023年2月9日付　独立行政法人情報処理推進機構　「ビジネスメール詐欺（BEC）対策特設ページ」
2024年10月25日付　総務省　「サポート詐欺とは？」