セキュリティ用語

サイバー攻撃とは?効果的な対策・検知方法・種類を解説

「サイバー攻撃」と一言で表しても、その手口や種類は様々です。

  • 標的型攻撃
  • マルウェア
  • ランサムウェア
  • フィッシング
  • DoS攻撃/ DDoS攻撃
  • フォームジャッキング攻撃

など、耳にしたことがある方も多いのではないでしょうか。
セキュリティに対し力を入れている事業者の方であれば「今更聞けない」と感じている場合もいるかもしれませんね。

この記事ではサイバー攻撃の種類を解説し、さらに果的な対策・検知方法もご紹介します。
お役に立てれば幸いです。

サイバー攻撃とは

サイバー攻撃とは、サーバやパソコンなどのコンピューターシステムに対し、ネットワーク経由で破壊活動やデータの窃取、改ざんなどを行うことです。

  • 特定の組織や企業、個人を標的にしたもの
  • 不特定多数を無差別に攻撃するもの

などがあり、金銭目的だけでなく愉快犯的な犯行も含まれ、目的は多岐にわたります。

補足ですが、

  • DDoS攻撃
  • 脆弱性をついた攻撃
  • 不正アクセス

などもサイバー攻撃に含みます。
メディアで取り上げられているのを、耳にした方も多いのではないでしょうか。

サイバー攻撃の手口を知ることが対策への第一歩

こういったサイバー攻撃の対策を行うには、手口を知ることが大切です。
どういった手口をとるのか理解できれば、何を強化すればいいのかが明確になります。

そこで次項から、

  1. 特定のターゲットを狙ったサイバー攻撃
  2. 不特定多数を狙ったサイバー攻撃
  3. 負荷をかけるサイバー攻撃
  4. OSやWebサイトの脆弱性を狙ったサイバー攻撃

と大きく4つに分けて、代表的なサイバー攻撃の種類と手口を解説します。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

特定のターゲットを狙ったサイバー攻撃の種類と手口

まずは特定のターゲットを狙ったサイバー攻撃の種類と手口です。

標的型攻撃

標的型攻撃とは、特定の組織やユーザー層をターゲットに限定して行うサイバー攻撃です。
ターゲットの知り合いや取引先になりすまし、悪意のあるファイルを添付したり、不正サイトへのURLリンクを送ったりして、端末をマルウェアに感染させます。

ランサムウェア

ランサムウェアとは、ユーザのデータを暗号化するなどして「人質」とし、データの回復のために「身代金(ransom)」を要求する手口です。
復元の対価を要求するだけでなく、悪意あるコードが読み込まれ、プログラムやファイルの追加・削除、パスワードの奪取、ネット上から悪意あるプログラムのダウンロードが行われるケースもあります。

サプライチェーン攻撃

大手企業や政府機関など大きな組織へのアプローチは不正者にとっても難しいものです。
サプライチェーン攻撃はその際に使われる手口で、比較的セキュリティ対策が手をかけていない取引先や子会社を狙うものです。
取引先や子会社を経由し、ターゲット企業で利用されているソフトウェア製品の更新プログラムに不正なコードをしかけます。

不特定多数を狙ったサイバー攻撃の種類と手口

次に不特定多数を狙ったサイバー攻撃の種類と手口です。

フィッシング

フィッシングとはクレジットカード会社やネットバンク事業者など正規サービスになりすまし、ユーザーからID・パスワードなどを盗み出す手口です。
フィッシングで盗取された情報は、クレジットカードの不正利用に活用されたり、ダークウェブで売買されたりします。

スミッシング

スミッシングとはスマートフォンなどのモバイル端末で利用できるSMS(ショートメッセージサービス)を利用した手口です。
昨今はSNSやオンラインサービスでSMS認証を設定している場合も多くあります。不正者はこれになりすまし、フィッシングサイト(正規サイトに似せた不正なサイト)や、不正なスマホアプリのダウンロードページへ誘導するのです。

ゼロクリック

ゼロクリックとは、Webページに突然「登録が完了しました」や「料金が発生しました」などのメッセージを表示し、訪問者に金銭を要求する手口です。
メッセージの中には不正者の電話番号が記載されているケースもあるのですが、そこかけてしまうと、こちらの電話番号を知られてしまうのはもちろん、金銭の要求が悪化する場合もあります。

負荷をかけるサイバー攻撃の種類と手口

特殊なプログラムを使い、とにかく負荷をかけるといった手口もあります。

DoS攻撃/ DDoS攻撃

DoS攻撃とDDoS攻撃はどちらも攻撃用マシンを使って、特定のターゲットに一斉攻撃を行う手口です。
DoS攻撃は攻撃側と相手側の1対1、DDoS攻撃はターゲットを複数に分散(Distribute)して行うという特徴があります。

この2つを比較すると、DDoS攻撃の方が防御が難しいと言われています。
それは攻撃用マシンも複数に分かれ、攻撃開始まで完全な特定が厳しくなるためです。DDoS攻撃の対策には、どこからくるかわからない複数の攻撃にも耐えられるだけのシステムが必要になります。

F5アタック

F5アタックとは、キーボードのF5キーを利用しリロードを繰り返す比較的シンプルな攻撃手法です。F5攻撃、F5連続攻撃などと呼ばれる場合もあります。
リロードが繰り返されるとWebサーバに負荷がかかり、いずれ停止・ダウンさせられてしまいます。

OSやWebサイトの脆弱性を狙ったイバー攻撃の種類と手口

最後に、OSやWebサイトの脆弱性を狙ったサイバー攻撃の種類と手口です。

現在、脆弱性が全くない状態を維持するというのは現実的ではありません。
OSやWebサイトが実装される時には、脆弱性診断をし、セキュリティを保っている事業者がほとんどかと思います。

しかし、時代や使用者、OS、サーバソフト、データベース、環境などが変われば、その都度、新たな脆弱性が発生します。
その「運営の中でどうしても発生してしまう脆弱性」を不正者は狙っているのです。

ゼロデイ攻撃

ゼロデイ攻撃とは、脆弱性を悪用する攻撃を指します。

  • 攻撃者以外は知らない脆弱性を狙う攻撃
  • 脆弱性自体はメーカーや研究者などに指摘されていても修正プログラムが未公表な場合を狙う攻撃

どちらもゼロデイ攻撃と呼ばれています。

SQLインジェクション

SQLインジェクションとは、Webアプリケーションの設計上の欠陥・脆弱性を悪用し、悪意のあるSQL文をデータベース操作の一部に注入(Injection)する攻撃です。
これを受けてしまうと不正者にデータベースの操作をされ、情報やデータを不正に入手されてしまいます。

フォームジャッキング攻撃

フォームジャッキングとはECサイトや購入ページの入力フォームを改ざんし、クレジットカード情報などの個人情報を窃取する攻撃です。
直接ユーザーに入力させるため盗取した情報の精度が高く、クレジットカードの不正利用や不正ログインなど、さらなる被害が予想されます。

サイバー攻撃への対策方法

このように、サイバー攻撃の種類は非常に多く、Webサイトやアプリケーションは常に不正者に狙われていると言えます。
その不正者の手から重要な情報・プログラムを守るには対策が必要です。
ここからは、

  • 個人ができるサイバー攻撃対策
  • 事業者ができるサーバーに関するサイバー攻撃対策
  • 中小企業に取り入れてほしいサイバー攻撃対策

の3つに分けて対策をご紹介します。

個人ができるサイバー攻撃への対策

個人ができるサイバー攻撃への対策としては

  • WindowsやmacなどのOSやソフトウェアを最新版にアップデート
  • 怪しいメールは開かない、怪しいサイト・URLはクリックしない
  • マルウェアの検知が可能なセキュリティソフトの導入

などが挙げられます。

今からできる対策として効果的なのは、WindowsやmacなどのOSやソフトウェアを最新版にアップデートすることです。
OSやソフトウェアの更新は、見つかった脆弱性を修正している場合もあるためです。

また、不正者が送ってくる怪しいサイト・URLをクリックしないようにすることで、マルウェアの感染を防止できます。
仮にマルウェアに感染してしまった場合もいち早く気付けるよう、セキュリティソフトを導入しておくのもおすすめです。

事業者ができるサーバへのサイバー攻撃対策

自社でサーバーを管理している事業者の方は、

  • 利用しているOSやソフトウェアの脆弱性対策
  • OSやアプリケーション構成ファイルの監視
  • Webサーバーに対する不正な通信の検知・遮断
  • 運用アカウントの管理、各種システム・セキュリティに関するログの取得・監視

といった対策をぜひ行いましょう。
前項の手口の内容でも何度か触れたように、サーバーの脆弱性を狙ったサイバー攻撃も多いためです。

ですが、上記の対策を1つ1つ自社で対応するのは現実的ではない面もあります。
例えば各種システム・セキュリティに関するログの取得・監視を自社だけで行おうとすると、膨大な人的・時間的コストが発生します。
そこで、多くの事業者が不正検知システムを始めとした「セキュリティソフトの導入」を行っています。

「不正検知システム」とは、独自のノウハウやユーザーの操作情報から不正を検知するツールです。
各システムによって詳細は異なりますが、UI/UXとセキュリティのバランスがとれたものも多く、サイバー攻撃の効果的な対策と言えます。

中小企業に取り入れてほしいサイバー攻撃対策

「サーバーの運用はしていない」「社内全体で1台のパソコンを使い顧客情報を管理している」という中小企業の方にも、不正検知システムを始めとしたセキュリティソフトの導入はぜひ行ってほしいと思います。
簡単なセキュリティソフトであっても、いざという時の備えになります。

また、社内で

  • 社外に機密情報を持ち出さない
  • ID・パスワードの管理を徹底する

といった共通認識をもち、セキュリティ意識をあげることも重要です。

不正検知システムの導入もサイバー攻撃には効果的

サイバー攻撃には様々な種類があり、常に危険が潜んでいるといっても過言ではありません。

先ほどまで使えていたパソコンが突然動かなくなったり、Webサイトが見れなくなったり、知らず知らずのうちに顧客情報が流出してしまっていたりといったケースも起こり得るのです。

その際、適切な処置をすることも大切ですが、未然に防げれば被害を最小限におさえられます。

その方法としては不正検知システムの導入が効果的です。
例えば、当サイトを運営するかっこ株式会社の不正検知システムは、端末を独自の技術で特定管理し、ユーザーの操作情報から不正傾向を判定が可能です。

詳しく知りたいという方は、ぜひこちらも参考にご覧ください。

\10万円でトライアルも受付中!/
トライアルのお申込はこちら

また、当サイトでは「漫画でわかるどこよりもわかりやすいWebセキュリティ入門」としてサイバー攻撃に対してのセキュリティ対策を解説しています。
こちらもぜひ併せてご一読ください。

漫画3匹の子豚でわかる大人も知らないインターネットセキュリティ 無料ダウンロード

ピックアップ記事

  1. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスクや対策も紹介
  2. キャッシュレスとは?増加で起こる消費者・事業者の変化を解説
  3. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説
  4. テレワーク時代における効果的なセキュリティ対策について
  5. クレジットカードにセキュリティコード(SC)がある理由を解説

関連記事

  1. 不正検知・ノウハウ

    代金未回収のリスクを回避できるキャリア決済。導入する場合のメリット・デメリット

    「キャリア決済」を利用すると、EC事業者は購入者が契約するキャリア(電…

  2. セキュリティ用語

    不正トラベルとは?その手口を図解・解説

    旅行サービス(宿泊施設・航空券・テーマパークのチケット等)を提供する事…

  3. 不正検知・ノウハウ

    PSPとは?決済サービスプロバイダーの導入メリットと契約手順

    自社サイトに複数の決済方法を導入しようと考えたときに、選択肢として挙が…

  4. セキュリティ用語

    サイバー保険とは何か?必要性やメリットについて

    サイバー保険とは、主に企業を対象として「サイバー攻撃」による損害を補償…

  5. 不正検知・ノウハウ

    不正転売とは?不正転売に関連するトラブルや、チケット不正転売禁止法について解説

    メディアでも採り上げられ、問題視されている「不正転売」。この記…

  6. 不正検知・ノウハウ

    クレジットカードにセキュリティコード(SC)がある理由を解説

    多くのクレジットカードに設定されているセキュリティコード(SC)は、悪…

おすすめ記事

  1. 個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスク…
  2. 通販サイトが攻撃を受ける原因とリスク!4つのセキュリティ対策…
  3. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5…
  4. 二要素認証とは?二段階認証との違いや活用事例、3つの要素を解…
  5. eKYCとは?注目が集まる3つの理由や、メリット・デメリット…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

2020年最新調査データ無料DL オンラインサービスの最新不正傾向と対策を!約20,000サイトの独自データから分析
  1. 不正検知・ノウハウ

    セミナーで学ぶ不正検知。参加するメリットや注意点を解説
  2. 不正検知・ノウハウ

    機械学習でクレジットカードの不正検知は可能か?現状や効果を解説
  3. ニュース・業界動向

    オリンピックに採用される顔認証システムのこれから
  4. ニュース・業界動向

    「ドコモ口座」不正利用にみる問題点と対策について
  5. 不正検知・ノウハウ

    AIが不正検知にも進出?メリットや注意点、ソリューション事例をご紹介
PAGE TOP