「サイバー攻撃と一言で言っても、どのようなものがあるのだろう」
「多岐にわたるサイバー攻撃に対してどのような対策を講じればいいのだろう」
このように悩んでいる方もいるのではないでしょうか。
サイバー攻撃とは、サーバーやパソコンなどのコンピューターシステムに対し、ネットワーク経由でデータの破壊や窃取、改ざんなどを行う行為のことです。
目的は金銭や個人情報の不正取得や、システムの機能停止が挙げられ、企業などの組織や個人が攻撃対象になることもあります。
この記事では、
- サイバー攻撃の種類や手口
- サイバー攻撃の事例
- サイバー攻撃への対策
といった3つの観点から、サイバー攻撃を解説します。
サイバー攻撃を理解し、未然に防ぎたいと考えている方は、ぜひ最後までお読みください。
また、サイバー攻撃をはじめとするインターネットセキュリティに関する情報をまとめたお役立ち資料をご用意しています。こちらも合わせてご覧ください。
目次
サイバー攻撃とは?わかりやすく解説
サイバー攻撃とは、サーバーやパソコン、スマホなど情報端末に対して、ネットワークを使った手口でシステムやデータの破壊や窃取、改ざんを行う犯罪行為です。
対象は企業や個人、あるいは不特定多数を狙うなど、様々なパターンがあります。
ここでは、サイバー攻撃を行う目的や最近の動向を解説します。
サイバー攻撃の目的
サイバー攻撃の目的は金銭の詐取、機密情報の売買、企業や国家の弱体化など様々です。
その攻撃者は、単に世間を騒がせたい愉快犯や、攻撃対象である組織のイメージダウンを狙う組織犯罪や産業スパイなどが考えられます。
なかでも、サイバー攻撃を通して政治的・社会的な主張を行うことを目的とする者は「ハクティビスト」と呼ばれます。
個人が攻撃対象となることもありえるものです。IDやパスワードなどの個人情報の不正取得や、なりすましによるクレジットカードの不正利用などの被害が発生しております。攻撃内容によってはサービスを提供する企業の損害にもつながるため、対策が不可欠です。
最新のサイバー攻撃の動向
最近のサイバー攻撃の動向として、以下の2つの被害が増加しています。
- フィッシング詐欺
- ランサムウェア
フィッシング詐欺
フィッシング詐欺とは、実在する有名企業を装って電子メールを送信し、偽のWebサイトに接続させることで、クレジットカード番号やアカウント情報などの個人情報を窃取する犯罪行為のことです。
ここ数年で報告件数は急増しており、2021年には52万件を超え、2019年と比べると2年間で約9.4倍にまで増えていることがわかります。
引用:フィッシングターゲットの変遷|日本サイバー犯罪対策センター
フィッシングについて、詳しく知りたい方は以下記事もご一読ください。
ランサムウェア
ランサムウェアとは、暗号化などによってデータを使用できなくした上で、データを元に戻すことと引き換えに金銭などを要求する不正プログラムのことです。
ランサムウェアは2021年上半期で61件、下半期で85件の合計146件発生しており、前年下半期の21件と比べると急激に増加しています。
引用:令和3年におけるサイバー空間をめぐる脅威の情勢等について|警視庁
ランサムウェアについて、詳しく知りたい方は以下記事もご一読ください。
また、近年ではサイバー攻撃を通じて政治的な主張を行う「ハクティビスト」の活動も目につくようになりました。
なかでも「アノニマス」がロシアのウクライナ侵攻をめぐって、ロシアの国営メディアの放送を乗っ取ったという報道は、記憶に新しいという方もいるのではないでしょうか。
サイバー攻撃による個人情報の流出は、企業にとっても死活問題です。
個人情報が流出する原因や対策について詳しく知りたい方は、以下をご一読ください。
ここまで、サイバー攻撃の動向についてご紹介しました。フィッシング詐欺やランサムウェアに引っかかると、個人情報が流出する恐れがあり、企業の信頼感に悪影響を与えかねません。
また流出した個人情報からクレジットカード情報を不正取得・利用されるリスクがあります。クレジットカードを悪用されるとチャージバックが発生し、EC事業者は大きなリスクが発生します。
チャージバックの現状については、以下からダウンロードできる無料のお役立ち資料にまとめました。クレジットカードの不正利用の現状について気になった方は、ダウンロードは無料なので、ぜひチェックしてみてください。
4つのサイバー攻撃の種類や手口
サイバー攻撃の被害に遭ってしまうと、金銭の窃取や業務停止などによる直接的な被害だけでなく、情報漏洩による信用失墜から顧客離れや取引停止といった被害まで及ぶ可能性があり、対策は企業にとって非常に重要な課題と言えます。
対策を講じるためには、まずサイバー攻撃にどのような手口があるのか知ることが重要です。
手口を知ることで、強化するべきポイントが明確になります。
そこで、ここでは多岐にわたるサイバー攻撃の種類を以下の大きく4つに分けて解説します。
- 特定のターゲットを狙ったサイバー攻撃
- 不特定多数を狙ったサイバー攻撃
- 負荷をかけるサイバー攻撃
- OSやWebサイトの脆弱性を狙ったサイバー攻撃
1.特定のターゲットを狙ったサイバー攻撃の11種類と手口
まずは、特定のターゲットを狙ったサイバー攻撃の11種類とその手口を紹介します。
- 標的型攻撃
- ランサムウェア
- サプライチェーン攻撃
- Emotet(エモテット)
- APT攻撃(高度標的型攻撃)
- 水飲み場型攻撃
- クリックジャッキング
- ドライブバイダウンロード
- キーロガー
- ガンブラー攻撃
- ビジネス詐欺メール
1.標的型攻撃
標的型攻撃とは、特定の組織やユーザー層をターゲットに限定して行うサイバー攻撃です。
ターゲットの知り合いや取引先になりすまし、悪意のあるファイルを添付したり、不正サイトへのURLリンクを送ったりして、端末をマルウェアに感染させます。
2.ランサムウェア
ランサムウェアとは、ユーザのデータを暗号化するなどして「人質」とし、データの回復のために「身代金(ransom)」を要求する手口です。
復元の対価を要求するだけでなく、悪意あるコードが読み込まれ、プログラムやファイルの追加・削除、パスワードの奪取、ネット上から悪意あるプログラムのダウンロードが行われるケースもあります。
ランサムウェアについて、詳しく知りたい方は以下記事もご一読ください。
3.サプライチェーン攻撃
大手企業や政府機関など大きな組織へのアプローチは不正者にとっても難しいものです。
サプライチェーン攻撃はその際に使われる手口で、比較的セキュリティ対策が手をかけていない取引先や子会社を狙うものです。
取引先や子会社を経由し、ターゲット企業で利用されているソフトウェア製品の更新プログラムに不正なコードをしかけます。
4.Emotet(エモテット)
Emotet(エモテット)は、メールのやりとりを経路とするサイバー攻撃の手口です。
侵入した端末からメール情報を盗み取り、取引先や顧客になりすまして偽装メールを送信します。
正規のメールに紛れるように送信されるため、気づかないうちに大量に感染しているケースが多く、重要な情報が盗まれたり、他の不正プログラムに感染したりするリスクが高まります。
5.APT攻撃(高度標的型攻撃)
APTとは「Advanced Persistent Threat」の略で、直訳すると「高度で持続的な脅威」となります。
特定の組織や企業に対して、長期間に渡って様々な手法で行われるサイバー攻撃のことです。
APT攻撃の目的は、金銭といった攻撃者の直接的な利益ではなく、対象者に損害を与えたり活動を妨害することです。軍や諜報機関など国家単位で行われるスパイ行為や妨害工作でみられます。
6.水飲み場型攻撃
自然界では、肉食動物が水飲み場で獲物となる動物を待ち伏せすることがあります。その様子になぞらえたのが、水飲み場型攻撃です。
手口としては、ターゲットがよく訪れるサイトを改ざんし、不正プログラムを仕掛けます。
ターゲットがそのサイトを訪れると端末に不正プログラムがインストールされてしまう仕組みです。
7.クリックジャッキング
クリックジャッキングは、Webブラウザを悪用して、ユーザーに不利益をもたらすセキュリティ上の攻撃手法の一つです。
通常のWebページの上に透明で見えない状態のリンクやボタンを設置し、コンテンツをクリックさせることで、ターゲットが意図していない処理を実行してしまうことになります。
被害としては、
- アカウントを乗っ取られる
- 不正プログラムをダウンロードさせられる
- 意図しない商品を購入させられる
- Webマイクやカメラを作動させられる
といったものが考えられます。
8.ドライブバイダウンロード
ドライブバイダウンロードとは、Webサイトを訪問した際に、本人の知らないうちに不正プログラムをダウンロード、そしてインストールするサイバー攻撃の手口です。
先に紹介した「水飲み場型攻撃」に似ていますが、攻撃対象者が閲覧するWebサイトを調査・厳選する水飲み場型攻撃に対し、ドライブバイダウンロードの方がターゲットの絞り込みが緩やかになっています。
9.キーロガー
キーロガーは、キーボードの操作内容を記録するツールのことです。もともとソフトウェアの開発現場などでよく使用されるソフトウェアで、使用そのものが犯罪になるわけではありません。
キーボードの操作内容を記録する機能を悪用し、あらかじめパソコンにキーロガーが仕掛け、情報を不正取得することに使われるケースがあります。
個人の場合はクレジットカード情報の不正取得や、企業の場合は取引先とのメール内容の不正取得などによる情報漏洩といった被害が発生するおそれがあります。
10.ガンブラー攻撃
ガンブラー攻撃では、攻撃者がWebサーバーへ不正に侵入し、サイトを改ざんしたうえで不正なプログラムを埋め込みます。
Webサイトを閲覧すると偽のWebサイトに誘導、あるいは自動転送してしまい、不正プログラムをダウンロードさせられてしまうのです。
見た目が正常なWebサイトと変わらないため、閲覧者がサイバー攻撃に気が付きにくいという特徴があります。
11.ビジネス詐欺メール
ビジネス詐欺メールとは、電子メールを盗み見して取引先や自社の経営者になりすまして偽の電子メールを送って入金を促す詐欺のことです。
この手口は海外の銀行口座を指定してくることが多く、一度送金してしまうとお金の改修が非常に困難になってしまいます。
2.不特定多数を狙ったサイバー攻撃の8種類と手口
次に、不特定多数を狙ったサイバー攻撃の種類と手口を8つご紹介します。
- フィッシング
- スミッシング
- ゼロクリック
- ビッシング・リバースビッシング
- ジュースジャッキング攻撃
- ディープフェイク(フェイクビデオ攻撃)
- タイポスクワッティング
- 中間者攻撃
1.フィッシング
フィッシングとはクレジットカード会社やネットバンク事業者など正規サービスになりすまし、ユーザーからID・パスワードなどを盗み出す手口です。
フィッシングで盗取された情報は、クレジットカードの不正利用に活用されたり、ダークウェブで売買されたりします。
フィッシングについて、詳しく知りたい方は以下記事もご一読ください。
2.スミッシング
スミッシングとはスマートフォンなどのモバイル端末で利用できるSMS(ショートメッセージサービス)を利用した手口です。
昨今はSNSやオンラインサービスでSMS認証を設定している場合も多くあります。不正者はこれになりすまし、フィッシングサイト(正規サイトに似せた不正なサイト)や、不正なスマホアプリのダウンロードページへ誘導するのです。
3.ゼロクリック
ゼロクリックとは、Webページに突然「登録が完了しました」や「料金が発生しました」などのメッセージを表示し、訪問者に金銭を要求する手口です。
メッセージの中には不正者の電話番号が記載されているケースもあるのですが、そこかけてしまうと、こちらの電話番号を知られてしまうのはもちろん、金銭の要求が悪化する場合もあります。
4.ビッシング・リバースビッシング
ビッシングは、クレジットカード会社や銀行関係者になりすまして被害者に電話をかけ、個人情報を盗み取ろうとする手口です。
フィッシングの「Phishing」に声を意味する「Voice」の頭文字を合わせた造語です。フィッシングの中でも、電話を使った手法がビッシングになります。
リバースビッシングは攻撃者が設定した電話番号に対象者が電話をかけるように仕向け、個人情報を聞き出そうとする手口のことです。攻撃者と対象者、どちらが電話を発信するかがビッシングとリバースビッシングの違いになります。
5.ジュースジャッキング攻撃
ジュースジャッキング攻撃とは、公共のUSBポートに細工をすることで、接続した端末から情報を盗んだり、不正プログラムをインストールしたりするサイバー攻撃の手口です。
USBポートだけでなく、ケーブルに細工をする手口も発見されており、公共のツールに接続したり充電したりする場合には注意が必要です。
6.ディープフェイク(フェイクビデオ攻撃)
ディープフェイクとは、AIの技術を応用して作られた偽の動画や音声のことです。
その技術は年々進化しており、人間の目では判別できないものも作られています。
政治家や芸能人本人が発言しているように見せかけることで、本人の信用を傷つけるだけでなく社会情勢に大きな影響を与える可能性があります。
7.タイポスクワッティング
タイポスクワッティングは打ち間違いを意味する「Typo」と占有するという意味の「Squatting」を合わせた言葉です。
正規のURLに対してユーザーが打ち間違いしやすいURLで偽のサイトを作成し、ユーザーを不正に誘導する手法です。
2000年代前半から存在する古い攻撃の手法ですが、現在でも利用されています。
8.中間者攻撃
中間者攻撃とは、二者間の通信を特別なソフトウェアなどの不正な手段を利用して内容を取得する手口です。
金銭的な被害が発生するケースとしてオンラインバンキングの悪用があり、送金先を書き換えられて金銭を盗まれてしまう被害が発生しています。
暗号化されていない通信や、セキュリティ対策が不十分な通信機器を使用すると被害にあうリスクが高まるので注意が必要です。
3.負荷をかけるサイバー攻撃の2種類と手口
特殊なプログラムを使い、とにかく負荷をかけるといった手口もあります。
具体的には、以下の2つが挙げられます。
- DoS攻撃/ DDoS攻撃
- F5アタック
1.DoS攻撃/ DDoS攻撃
DoS攻撃とDDoS攻撃はどちらも攻撃用マシンを使って、特定のターゲットに一斉攻撃を行う手口です。
DoS攻撃は攻撃側と相手側の1対1、DDoS攻撃はターゲットを複数に分散(Distribute)して行うという特徴があります。
この2つを比較すると、DDoS攻撃の方が防御が難しいと言われています。
それは攻撃用マシンも複数に分かれ、攻撃開始まで完全な特定が厳しくなるためです。DDoS攻撃の対策には、どこからくるかわからない複数の攻撃にも耐えられるだけのシステムが必要になります。
2.F5アタック
F5アタックとは、キーボードのF5キーを利用しリロードを繰り返す比較的シンプルな攻撃手法です。F5攻撃、F5連続攻撃などと呼ばれる場合もあります。
リロードが繰り返されるとWebサーバに負荷がかかり、いずれ停止・ダウンさせられてしまいます。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
4.OSやWebサイトの脆弱性を狙ったイバー攻撃の5種類と手口
最後に、OSやWebサイトの脆弱性を狙ったサイバー攻撃の種類と手口です。
以下の5つが挙げられます。
- ゼロデイ攻撃
- SQLインジェクション
- フォームジャッキング攻撃
- OSコマンドインジェクション
- クロスサイトスクリプティング
1.ゼロデイ攻撃
ゼロデイ攻撃とは、脆弱性を悪用する攻撃を指します。
- 攻撃者以外は知らない脆弱性を狙う攻撃
- 脆弱性自体はメーカーや研究者などに指摘されていても修正プログラムが未公表な場合を狙う攻撃
どちらもゼロデイ攻撃と呼ばれています。
2.SQLインジェクション
SQLインジェクションとは、Webアプリケーションの設計上の欠陥・脆弱性を悪用し、悪意のあるSQL文をデータベース操作の一部に注入(Injection)する攻撃です。
これを受けてしまうと不正者にデータベースの操作をされ、情報やデータを不正に入手されてしまいます。
3.フォームジャッキング攻撃
フォームジャッキングとはECサイトや購入ページの入力フォームを改ざんし、クレジットカード情報などの個人情報を窃取する攻撃です。
直接ユーザーに入力させるため盗取した情報の精度が高く、クレジットカードの不正利用や不正ログインなど、さらなる被害が予想されます。
4.OSコマンドインジェクション
OSコマンドインジェクションとは、不正なコマンド、つまり命令文を入力することで被害を発生させるサイバー攻撃の手口です。
攻撃者は入力フォームをもつWebサイトを通じて、データや数値に不正なOSへの命令文を紛れ込ませて送信します。
この命令を受け取ったサーバーがOSに誤った命令をしてしまうことでサーバー内のファイルが改ざんされたり、削除や流出するといった被害が発生する可能性があります。
5.クロスサイトスクリプティング
クロスサイトスクリプティングとは、ユーザーからの入力内容を元にWebページを作成するサイトやアプリケーションの脆弱性を利用したサイバー攻撃です。
ブログや掲示板、Twitterなどがターゲットとなります。
攻撃者やこれらのサイトやアプリケーションに罠を設置し、ユーザーがリンクをクリックすると別のWebサイトに遷移させて悪意のある内容が実行されてしまうのです。
サイバー攻撃の3つの事例
ここからは、実際に発生したサイバー攻撃とその被害をご紹介します。
- 日本年金機構
- GMOぺポパ
- コインチェック
【事例1】日本年金機構
2015年5月に発生した日本年金機構の不正アクセスによる情報流出では、約125万件の顧客情報が流出しました。
きっかけは、職員宛てに送信された標的型攻撃メールのファイルを開封してしまったことで不正プログラムの侵入を許したことにあります。
さらに、本来設定されるべきパスワードが一部未設定であったことや、事後対応の不手際から被害が拡大してしまいました。
【事例2】GMOぺポパ
2018年1月、GMOパペポ株式会社が運営するネットショップ運営サービス「カラーミーショップ」で不正アクセスが確認されました。
独自アプリケーションの機能を悪用したもので、ショップオーナーおよび購入者のクレジットカード情報など約9万件が流出した可能性があるとのことです。
【事例3】コインチェック
大手仮想通貨取引所のコインチェックは、2018年1月に不正アクセスにより、利用者から預かっていた仮想通貨「NEM(ネム)」のほぼ全額を不正に流出させてしまいました。
総額は約580億円分にものぼり、当時過去最大の仮想通貨の流出として報道されています。
原因は従業員の端末を経由した不正プログラムの侵入によるものとのことです。
2022年4月には、東京地裁においてコインチェックに対し、顧客21人に約174万円相当のNEMの返還が命じられました。
サイバー攻撃への対策3選
このように、サイバー攻撃の種類は非常に多く、Webサイトやアプリケーションは常に不正者に狙われていると言えます。
その不正者の手から重要な情報・プログラムを守るには対策が必要です。
ここからは、
- 個人ができるサイバー攻撃対策
- 事業者ができるサーバーに関するサイバー攻撃対策
- 中小企業に取り入れてほしいサイバー攻撃対策
の3つに分けて対策をご紹介します。
【対策1】個人ができるサイバー攻撃への対策
個人ができるサイバー攻撃への対策としては
- WindowsやmacなどのOSやソフトウェアを最新版にアップデート
- 怪しいメールは開かない、怪しいサイト・URLはクリックしない
- マルウェアの検知が可能なセキュリティソフトの導入
などが挙げられます。
今からできる対策として効果的なのは、WindowsやmacなどのOSやソフトウェアを最新版にアップデートすることです。
OSやソフトウェアの更新は、見つかった脆弱性を修正している場合もあるためです。
また、不正者が送ってくる怪しいサイト・URLをクリックしないようにすることで、マルウェアの感染を防止できます。
仮にマルウェアに感染してしまった場合もいち早く気付けるよう、セキュリティソフトを導入しておくのもおすすめです。
【対策2】事業者ができるサーバへのサイバー攻撃対策
自社でサーバーを管理している事業者の方は、
- 利用しているOSやソフトウェアの脆弱性対策
- OSやアプリケーション構成ファイルの監視
- Webサーバーに対する不正な通信の検知・遮断
- 運用アカウントの管理、各種システム・セキュリティに関するログの取得・監視
といった対策をぜひ行いましょう。
前項の手口の内容でも何度か触れたように、サーバーの脆弱性を狙ったサイバー攻撃も多いためです。
ですが、上記の対策を1つ1つ自社で対応するのは現実的ではない面もあります。
例えば各種システム・セキュリティに関するログの取得・監視を自社だけで行おうとすると、膨大な人的・時間的コストが発生します。
そこで、多くの事業者が不正検知システムを始めとした「セキュリティソフトの導入」を行っています。
「不正検知システム」とは、独自のノウハウやユーザーの操作情報から不正を検知するツールです。
各システムによって詳細は異なりますが、UI/UXとセキュリティのバランスがとれたものも多く、サイバー攻撃の効果的な対策と言えます。
【対策3】中小企業に取り入れてほしいサイバー攻撃対策
「サーバーの運用はしていない」「社内全体で1台のパソコンを使い顧客情報を管理している」という中小企業の方にも、不正検知システムを始めとしたセキュリティソフトの導入はぜひ行ってほしいと思います。
簡単なセキュリティソフトであっても、いざという時の備えになります。
また、社内で
- 社外に機密情報を持ち出さない
- ID・パスワードの管理を徹底する
といった共通認識をもち、セキュリティ意識をあげることも重要です。
不正検知システムの導入もサイバー攻撃には効果的
サイバー攻撃には様々な種類があり、常に危険が潜んでいるといっても過言ではありません。
先ほどまで使えていたパソコンが突然動かなくなったり、Webサイトが見れなくなったり、知らず知らずのうちに顧客情報が流出してしまっていたりといったケースも起こり得るのです。
その際、適切な処置をすることも大切ですが、未然に防げれば被害を最小限におさえられます。
その方法としては不正検知システムの導入が効果的です。
例えば、当サイトを運営するかっこ株式会社の不正検知システムは、端末を独自の技術で特定管理し、ユーザーの操作情報から不正傾向を判定が可能です。
明らかな不正アクセスに対しては、O-MOTIONが自動でブロックしてくれます。また怪しいアクセスであれば、二要素認証を実施しつつ、管理者に通知メールを送信可能です。
正規の利用者はいままで通り利用できるため、追加の負担なく利用を続けられます。
O-MOTIONについて詳しく知りたいという方は、ぜひこちらも参考にご覧ください。
不正アクセスレポートを作成して、リスク確認も可能!
今なら期間限定の初期費用キャンペーン中
O-MOTIONのトライアルはこちら!
また、当サイトでは「漫画でわかるどこよりもわかりやすいWebセキュリティ入門」としてサイバー攻撃に対してのセキュリティ対策を解説しています。
こちらもぜひ併せてご一読ください。
まとめ:サイバー攻撃の理解を深め的確な対策を講じよう
サイバー攻撃の種類と手口、実際に発生した事例をご紹介しました。ここで、紹介した内容をまとめます。
- サイバー攻撃とは、ネットワーク経由でシステムやデータの破壊や窃取、改ざんを行う行為のこと
- サイバー攻撃の種類は大きく4つあり、手口も多く存在する
- 事業者向けのサイバー攻撃対策として、不正検知システムの導入がおすすめ
サイバー攻撃の被害に遭った場合、金銭や情報、信用など非常に大きな損害を被る可能性があります。
億単位の損害が発生している事例もあり、企業の規模によっては事業の継続が危うくなることもあるため、そうなる前に対策を講じることが重要です。
なかでも、不正アクセス検知システムの導入は有効な対策の一つです。導入を検討するのであれば、O-MOTIONはいかがでしょうか。
AIや人による不正アクセスを検知し、メール通知やシステム連携でリアルタイムに把握可能です。気になる方は、ぜひ以下をクリックし資料をチェックしてください。
不正アクセスレポートを作成して、リスク確認も可能!
今なら期間限定の初期費用キャンペーン中
O-MOTIONのトライアルはこちら!