インターネットが普及し、高性能なデジタルデバイスによって私たちの生活が便利になった反面、サイバー攻撃も多発しています。本記事では、サイバー攻撃の目的や情勢・トレンド、種類と手口を解説し、対策方法を紹介します。

サイバー攻撃とは、パソコンやスマホなどの情報端末、あるいはサーバーやネットワークに対する攻撃のことです。攻撃者はシステムに不正侵入し、データの盗取や改ざん、システムの機能停止を引き起こします。攻撃対象は個人にとどまらず、企業や組織も標的となり、甚大な被害を防ぐためにはしっかりとした対策が必要です。

サイバー攻撃の目的は、主に金銭的な利益を得ることです。システム内のデータにアクセスできないようにして身代金を要求するケースや、機密情報や顧客情報を盗み取って売却するケースがよく見られます。金銭目的以外にも、自己顕示欲、特定企業への私怨、愉快犯的行動、政治的主張など、動機は様々です。

大規模なサイバーテロでは、攻撃対象となる国家の重要なインフラの基幹システム、あるいは主要な金融機関のシステムをダウンさせるなどして、国力の弱体化や社会の混乱を狙います。

インターネットやデジタルデバイスが普及し、サイバー空間は個人の日常生活の一部となっています。現代社会におけるサイバー空間の重要性が高まるにつれ、犯罪行為の対象になることも増えました。

警察庁は、高度な技術を悪用したサイバー攻撃の情勢について、次のように指摘しています。

• 政府機関などにおいてDDoS攻撃と見られる被害が発生。
• 脆弱性探索行為などの不審なアクセス件数が増加（送信元の大部分が海外）。
• 令和6年上半期におけるランサムウェアの被害報告件数は114件であり、高水準で推移。

引用元：警察庁「令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について」

以上の中でも特に、2024年上半期のランサムウェア攻撃件数が前年同期と比較して増加していることから、組織や個人に対するリスクが依然として高い状況であるといえます。従来の単なるデータ暗号化による金銭要求に加え、窃取した情報の公開によって被害者を脅迫する二重脅迫型の手法が広がっており、攻撃者の手口はますます巧妙化しています。

ここでは、近年のサイバー攻撃でよく用いられる手口を紹介します。サイバー攻撃の種類を理解しておくことで、より効果的な対策を検討する際に役立ちます。

ランサムウェア攻撃

ランサムウェアは、サーバーや端末のデータを暗号化してアクセスできなくするマルウェアの一種です。データの復旧には身代金（ランサム）の支払いが必要なため、この呼称が付けられています。

悪意のあるWebサイトにアクセスしたり、メールに添付されたファイルを開いたりすることで、マルウェアに感染するケースが多いです。その後、ネットワーク上の端末やサーバーへと被害が拡大するおそれがあります。

近年はRaaS（Ransomware as a Service) ^※が台頭し、専門的な技術を持たない者でもランサムウェア攻撃を仕掛けることが可能となり、攻撃リスクが増大しています。

• ランサムウェアをサービスとして提供し、攻撃者が手軽に利用できる仕組み。

標的型攻撃

標的型攻撃とは、特定の組織や個人をターゲットにしたサイバー攻撃のことです。企業を標的とする場合には、攻撃者が従業員や顧客、取引先を装ってメールを送信し、添付ファイルや偽のURLリンクからマルウェアへの感染を試みます。最終的にはシステム内に不正侵入し、機密情報や顧客情報を盗むのが目的です。

標的型攻撃メールの見分け方については以下の記事をご覧ください。
「標的型攻撃メールの見分け方｜被害事例とリスクから学ぶ対策法」

フィッシング詐欺

フィッシング詐欺は、信頼できる組織や個人を装ったメール、もしくはWebサイトを通じて個人情報を盗み取る手口です。主に、メールに記載した誘導リンクからフィッシングサイトに誘導し、個人情報やパスワード、クレジットカード番号および暗証番号などを記入させて盗み取ります。近年は、比較的安全性が高いとされるSMSを悪用したフィッシング詐欺（スミッシング）も多発しています。

DDoS攻撃

DDoS攻撃（Distributed Denial of Service attack）は、ターゲットのWebサイトやサーバーに膨大なデータを送信して、機能不全にさせる行為です。

DDoS攻撃は以下のように分類できます。

• アプリケーションレイヤー攻撃
• プロトコル攻撃
• ボリューム攻撃

アプリケーションレイヤー攻撃

ユーザーからのリクエストを処理し、応答を生成するサーバーの「アプリケーションレイヤー」を狙った攻撃です。代表例は「HTTPフラッド攻撃」で、複数のIPアドレスを用いてターゲットに大量かつ多様なHTTPリクエストを送り続けます。リクエストそのものは正規のHTTP通信と同様の形式であるため、単純なパケットフィルタリング^※1や帯域制限^※2だけで対策するのは困難です。

• ネットワーク上の通信パケットを、あらかじめ設定したルールに従って検査し、許可されたものだけを通す技術。
• ネットワーク上のデータ転送速度や通信量に上限を設け、過負荷を防ぐための技術。

プロトコル攻撃

ネットワーク通信のプロトコル（主にTCPやIPなど）の仕組みを悪用し、サーバーやネットワーク機器のリソースを枯渇させようとする手法です。主に「SYNフラッド攻撃」が用いられ、偽装したIPアドレスからSYNパケット（接続要求）を大量に送るなどして、サーバーに接続確認のためのSYN-ACKパケットを返させた後、応答を待ち続ける状態を意図的につくります。攻撃側が応答しないため、サーバーは接続を確立できず、長時間この状態が続くとダウンしてしまいます。

ボリューム攻撃

代表的なボリューム攻撃の一例として、「DNSアンプ攻撃」があります。これは、DNSサーバーを経由して大量のパケットをターゲットに送り付け、システムを機能不全に陥れる攻撃手法です。攻撃者はターゲットのIPアドレスを偽装してDNSサーバーへリクエストを送信します。その結果、DNSサーバーから大量のレスポンスがターゲットに送られ、ネットワーク回線が過負荷となり、回線がパンクします。DNSサーバーにリクエストすると、よりデータ量の大きいレスポンスとして返ってくるため、小規模な攻撃でも威力を大幅に増幅（アンプリケーション）できるのが特徴です。

Webアプリケーション攻撃

Webアプリケーションの脆弱性を突いて、不正アクセスやデータの改ざん・消去、機密情報の取得などを試みます。

代表的な手口は、以下の3つです。

• SQLインジェクション
• OSコマンドインジェクション
• クロスサイトスクリプティング（XSS）

SQLインジェクション

Webアプリケーションに設けられた入力フォームや検索ボックスに、攻撃者が悪意のあるSQL文を注入してデータベースを不正操作する手口です。認証情報の改ざんや機密情報の窃取、データ消去など、深刻な被害を引き起こします。入力値のエスケープ処理^※1やプレースホルダ^※2の適切な使用、Webアプリケーションの更新といった対策が必要です。

• プログラミング言語などで特別な意味のある文字や記号が入力された場合に、別の文字列に置き換える処理。入力値によって想定外の挙動が発生するのを防ぐ。
• あとからデータを割り当てられる変数のこと。

OSコマンドインジェクション

Webアプリケーション内でシェルコマンドや外部プログラムを呼び出す処理を悪用し、攻撃者が任意のコマンドを実行させる手法です。この手口では、ファイル操作やシステム設定の変更など、本来許可されていない操作まで行われる可能性があります。最悪の場合にはWebサーバーを乗っ取られてしまうため、シェルを呼び出す関数の使用を避けるか、入力値のチェックやエスケープ処理などの防衛策が求められます。

クロスサイトスクリプティング（XSS）

攻撃者が仕掛けたスクリプトを閲覧者のブラウザ上で実行させることで、Cookie情報の盗窃やフィッシングサイトへの誘導などを行います。端末内のデータや個人情報などを盗まれるだけでなく、ECサイトで高価な商品を買われたり、SNSアカウントを乗っ取られたりするリスクもあります。ブラウザをはじめとしたWebアプリケーションを常に最新の状態にし、バリデーション処理^※で入力値に制限を設けるなどの対応が必要です。

• 値やデータについて、桁数や文字数、フォーマットなどが適切かチェックする処理。

ここでは、2024年に国内で発生したサイバー攻撃の被害事例を紹介します。それぞれ、Webアプリケーション攻撃、ランサムウェア攻撃、DDoS攻撃による被害があったと見られています。

ハウスメーカーにおける顧客情報の漏えい

あるハウスメーカーは、同社の運営する顧客向け会員サイトがサイバー攻撃による被害を発表しました。当時、運用していなかったページのセキュリティー設定に不備があり、SQLインジェクション攻撃を受けたとのことです。メールアドレスとログインID・パスワードが漏えいした、または漏えいの可能性がある顧客と従業員の数は80万人を超えており、会員サイトの運営停止にまで発展しました。

保険会社の委託先から個人情報が流出

ある保険会社では、複数の業務委託先がサイバー攻撃を受ける事態が発生しました。先に被害があったのは損害査定業務の一部を委託している税理士事務所で、その3ヶ月後には別の委託先である損害保険鑑定会社がサイバー攻撃の標的になりました。どちらもランサムウェアの被害であり、契約者や委託先従業員の氏名、住所、電話番号といった個人情報の漏えいしたおそれがあると発表しています。

航空会社にシステム障害が発生

ある航空会社は、外部との通信量の急激な増加によって、ネットワーク機器や手荷物預かりシステムなどに不具合が発生したことを発表しました。国内線・国際線の多くが欠航または遅延し、航空券の一時販売停止といった影響が出ました。同社は警視庁にサイバー攻撃を受けたとして相談し、当局ではDDoS攻撃の可能性も含めて捜査を進めています。

年々、サイバー攻撃は巧妙化し、被害件数も増加しているのが現状です。情報漏えい、復旧までの長期休業といった被害を受けると、企業の価値や信用が下がり、業績にも大きな影響が出ます。

ここでは、サイバー攻撃への有効な対策方法を解説します。

パスワード管理の徹底

パスワード管理はサイバーセキュリティーの基本であり、最重要事項のひとつです。同じパスワードを複数のサービスで使い回さないことは言うまでもありません。大文字小文字を含む英字、数字、記号を組み合わせて10文字以上の複雑なパスワードを作成すれば、ブルートフォース攻撃（総当たり攻撃）でも簡単に突破されなくなります。

さらに、二段階認証の導入も有効な対策です。SMSかメールによる追加認証が必要になるため、万一パスワードが漏えいしても不正アクセスを防げます。

最新状態へのアップデート

OSやブラウザのアップデートを行い、セキュリティーレベルを最新の状態に保つことが求められます。特にセキュリティーパッチは新たに発見された脆弱性を修正するもので、攻撃者に侵入する隙を与えないためにも早急に対応しましょう。

アップデートを忘れてサイバー攻撃の被害に遭うことがないよう、主要なソフトウェアとOSは自動更新の有効化をおすすめします。

ネットワークセキュリティーの向上

企業のネットワークセキュリティーを高めるには、ファイアウォールの設定や侵入検知システムの導入、セキュリティーソフトの活用、暗号化技術の利用などが推奨されます。これらの対策によって不正アクセスやデータ詐取を防ぐことができ、信頼性の高い通信を保証します。ネットワークセキュリティーをさらに強化するため、DDoS攻撃対策としてWAF^※を導入するのも有効です。

• WAF（Web Application Firewall）はWebアプリケーション攻撃に強いセキュリティーツール。SQLインジェクションやXSSなどの検出・防御に役立つ。

データバックアップの実施

データの定期的なバックアップによって、サイバー攻撃やシステム障害による被害が発生しても迅速な復旧が可能です。重要なデータを複数の場所に保存したり、クラウドサービスを利用したりすることで、データの損失リスクを最小限に抑えられます。特にランサムウェア対策としては、3-2-1ルール^※に基づいたバックアップシステム構成が有効です。

• 「データを3カ所で保持する」「異なる2種類のデバイスに保存する」「1つをオフサイト（遠隔地）に設置する」という3つのルールのこと。バックアップの基本とされている。

従業員の訓練・教育

従業員の訓練・教育は、サイバーセキュリティー対策の重要な柱です。全従業員に社内研修を実施し、サイバー攻撃のリスクと対策方法への理解を通じて、ヒューマンエラーによる被害を防げます。定期的に最新の攻撃手法や被害事例を共有するなどして、セキュリティー意識が高い企業文化を築くことが重要です。

従業員教育には、サイバー攻撃に対する知見を持ったセキュリティー対策企業の訓練サービスを活用するとよいでしょう。

当社は、従業員ひとりひとりのセキュリティー意識向上をサポートする「標的型メール訓練サービス」を提供しています。マルウェアの感染リスク自体を低減するだけでなく、感染した場合にも被害を極小化することが可能です。標的型攻撃メールを模した「訓練メール」を訓練対象者に送信し、攻撃メールへの意識向上と初動対応の強化を図ります。

標的型メール訓練サービス

当社では、AIを活用して最新の脅威に対応できる、オーダーメイド型の「標的型攻撃対策訓練・教育サービス」も提供しています。「企画→訓練→教育→評価分析」のサイクルを通じて、従業員のセキュリティー訓練・教育を継続的に実施できるサービスです。

標的型攻撃対策訓練・教育サービス

近年のサイバー攻撃は分業化やサービスとして提供されるようになり、手口の種類も多様化し、ますます巧妙化しています。サイバー攻撃への対策方法はいくつかありますが、その中でも最も重要なのは従業員のセキュリティー訓練です。従業員がサイバー攻撃に関する知識を得て、高いセキュリティー意識を持つことによって、ヒューマンエラーを防ぐことが可能になります。

当社では従業員のセキュリティー訓練に関する詳しい資料（ホワイトペーパー）をご用意しています。以下のリンクからダウンロードして、是非、ご活用ください。