サイバー攻撃はどう対策すべき？種類や事例を理解して対策を行おう！

サイバー攻撃の脅威について、ニュースで耳にすることは多いでしょう。サイバー攻撃は他人事ではなく、各企業が徹底的に対策しなければなりません。今回は、サイバー攻撃の種類や事例、対策について解説します。サイバー攻撃について正しく理解し、セキュリティ対策を行いましょう。

サイバー攻撃とは

サイバー攻撃とは、パソコンやスマートフォン、サーバーなどの情報機器に対して、ネットワークを経由して情報の窃取や改ざん、システム破壊などの攻撃を行うことです。特定の企業や官公庁を狙うケースだけではなく、無差別に攻撃するケースも見られます。サイバー攻撃の目的や種類はさまざまです。

個人か企業かにかかわらず、インターネットを利用する者ならば誰でもサイバー攻撃の危険性を理解し、対策を講じなければなりません。

サイバー攻撃の目的

サイバー攻撃の目的は、多岐にわたります。かつては愉快犯的な犯行が多く見られていましたが、近年金銭詐取を目的としたランサムウェアによる被害が増加しています。

ランサムウェアとは、企業のデータを暗号化し、データを戻す代わりに金銭を要求する攻撃のことです。金銭目的のサイバー攻撃が増えている背景には、IT技術の発達や情報資産の持つ価値の向上などがあります。

ほかにも、企業や官公庁の機密情報や個人情報の窃取・売買を目的としたサイバー攻撃、特定の企業の弱体化を狙ったもの、思想家の政治的・社会的な主張を目的としたものなど、その目的はさまざまです。

サイバー攻撃の動向

サイバー攻撃の動向は、時代とともに変化しています。

サイバー攻撃が認知され始めたのは、2000年ごろです。かつてはウイルス対策ソフトを利用すれば防げるものが多く、攻撃が発覚してもすぐに対策を講じられるような「目立つ攻撃」が主流でした。

しかし、IT技術の発展やインフラの増加とともに攻撃手段も多様化かつ巧妙化し、攻撃に気づきにくい「目立たない攻撃」が増えています。世界的にサイバー攻撃の件数は増加しており、特にランサムウェアによる攻撃が増えているのが現状です。警察庁が発表した資料によると、2022年上半期に報告されたランサムウェア件数は114件であり、2020年上半期以降、右肩上がりで増加しているのが特徴といえます。

参考：警察庁「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について」

サイバー攻撃の種類

サイバー攻撃には、目的や手口で分類すると以下のようなさまざまな種類があります。
​​​​​​​

• 特定のターゲットを狙ったサイバー攻撃
• 不特定多数を狙ったサイバー攻撃
• サーバーに負荷をかけるサイバー攻撃
• 脆弱性を狙ったサイバー攻撃
• パスワード関連のサイバー攻撃

サイバー攻撃に備えるためには、まずはどのようなサイバー攻撃が存在するのかを理解しましょう。

以下では、各サイバー攻撃の目的や手口について解説します。

特定のターゲットを狙ったサイバー攻撃

特定の企業や個人などを狙ったサイバー攻撃としては、以下のような手口があります。

• ランサムウェア
• 不正アクセス
• 詐欺メール

ランサムウェアは、ファイルの暗号化や端末をロックするウイルスで、復元の代わりに身代金（ランサム）を要求するサイバー攻撃です。

不正アクセスは、組織の情報端末に不正に接続するもので、機密情報の窃取や漏えいを目的に行われます。

詐欺メールとは、虚偽のメールで金銭を騙し取ろうとする攻撃のことです。取引先を装ったビジネスメール詐欺や架空請求などが挙げられます。

不特定多数を狙ったサイバー攻撃

サイバー攻撃には、不特定多数を狙った犯行も存在します。以下のような手口が代表例です。

• フィッシング詐欺
• SMSを利用したマルウェア感染
• 偽の警告画面

フィッシング詐欺とは、実在する組織を装った偽のサイトを作成し、個人情報やクレジットカード番号などを入力させて情報を窃取する攻撃です。クレジットカードの不正利用やパスワード変更といった被害が見られます。

SMSを通じたマルウェア感染とは、SMSで送られたURLをクリックすると、自動的にマルウェアがインストールされてしまう攻撃のことです。マルウェアとは、ユーザーに不利益をもたらす悪意のあるプログラムやソフトウェアの総称で、ネットワークで繋がっているほかのデバイスにも感染が広がる危険性があります。警察庁や宅配業者などを偽ったSMSから感染するケースが見られるため注意が必要です。

ほかにも、「このパソコンはウイルスに感染しています」のように、偽の警告画面と連絡先を表示し、金銭を騙し取ろうとする攻撃も存在します。

サーバーに負荷をかけるサイバー攻撃

サーバーに負荷をかける攻撃には、以下の2つがあります。

• DoS攻撃
• DDoS攻撃

DoS攻撃とは、1つのコンピューターを使用し、1つのIPからサーバーに大量のデータを送りつけてパンクさせる攻撃のことです。

DDoS攻撃とは、複数のIPから大量のデータを送りつけてサーバーを攻撃するもので、DoS攻撃よりも大きな負荷をかけます。攻撃者は、不正に乗っ取った複数のコンピューターを利用して一斉に攻撃を仕掛けるため、攻撃者を特定しにくくて対処も難しいのが特徴です。

脆弱性を狙ったサイバー攻撃

OSやWebサイトの脆弱性を狙ったサイバー攻撃も見られます。具体例は、以下のとおりです。

• SQLインジェクション
• OSコマンドインジェクション
• クロスサイトスクリプティング

SQLインジェクションとは、データベースを操作する言語であるSQLを利用し、不正な操作を行うSQL文を意図的に注入する攻撃のことです。データの消去や改ざんなどを行います。

OSコマンドインジェクションは、OSへの命令文をウェブサーバーへのリクエストに不正に注入し、データの消去や情報漏えいなどを狙う攻撃です。

クロスサイトスクリプティングとは、HTMLに悪質なスクリプトを埋め込むもので、クッキーの漏出や個人情報の漏えいといったリスクが考えられます。

パスワード関連のサイバー攻撃

パスワードを特定し、不正にログインする以下のようなサイバー攻撃にも注意しましょう。

• ブルートフォース攻撃
• パスワードリスト攻撃
• パスワードスプレー攻撃

ブルートフォース攻撃は、可能な組み合わせをすべて試し、パスワードを特定する攻撃のことです。ツールの発展により、短いパスワードであればすぐに特定できてしまうようになりました。

パスワードリスト攻撃とは、ログインが成功したサイトのIDとパスワードを利用して、ほかのサイトへのログインを試みる攻撃です。同じパスワードを複数のサイトで使い回すユーザーが多い傾向を利用しています。

パスワードスプレー攻撃は、ブルートフォース攻撃の一種です。単一ユーザーではなく、複数のユーザーに同じパスワードでログインを試みることで、不正ログインとして検知されることを避けます。

サイバー攻撃の被害事例3選

サイバーセキュリティ主要事業者であるCheck Pointによると、2022年に1組織が受けた週平均のサイバー攻撃数は、2021年に比べて世界的には38%増加、日本では29%増加しています。

このように、サイバー攻撃の被害は拡大しており、日本も例外ではありません。ここでは、日本におけるサイバー攻撃の被害事例として、以下の3つをご紹介します。

• 2015年6月：日本年金機構
• 2018年1月：GMOペパボ
• 2020年12月：PayPay

参考：CHECK POINT「Check Point Research Reports a 38% Increase in 2022 Global Cyberattacks」

2015年6月：日本年金機構

日本年金機構は、2015年6月に年金情報管理システムサーバーを狙ったサイバー攻撃を受けました。年金加入者の氏名や年金番号、住所といった個人情報が約125万件流出したとされています。

被害の原因となったのは、メールの添付ファイルを経由したマルウェア感染でした。職員のパソコンから年金情報管理システムサーバーに不正アクセスし、情報が抜き取られたとされています。

2018年1月：GMOペパボ

GMOペパボが運営するECサイト「カラーミーショップ」は、2018年1月に不正アクセスによるサイバー攻撃を受けました。ショップオーナーのカード情報や購入者情報など、約9万件の情報が流出した可能性があると発表されています。同社が独自で使用しているアプリケーション機能を狙った犯行であり、同社によると、攻撃が確認された時点で侵入経路を遮断し、アプリケーションを停止させました。

2020年12月：PayPay

二次元コード決済サービスである「PayPay」は、2020年12月に不正アクセスによるサイバー攻撃を受けました。加盟店や従業員の情報をまとめたデータベースのうち、銀行口座を含む約2,000万件の情報が流出した恐れがあると公表しています。不正アクセスの履歴により、被害が明らかになりました。

攻撃を受けた原因は、アクセス権限の設定ミスだとしています。

サイバー攻撃への対策方法

サイバー攻撃は身近なものとなっており、各企業の対策は必須です。ここでは、サイバー攻撃への有効な対策方法として、以下の4つをご紹介します。

• カスタマイズの自由度が低い
• セキュリティリスクがある
• 利用制限や停止などの影響を受けやすい

サイバー攻撃は、他人事ではありません。明日は我が身と捉え、日頃から意識的に対策を講じましょう。

サーバーへの対策

自社でサーバーを運用している場合、サーバーへの対策は欠かせません。以下のような対策が挙げられます。

• Webサーバーに対する不正な通信の検知・遮断
• システムログやセキュリティログの取得、ログ監視の強化
• Webサーバーで使用しているOSやソフトウェアの脆弱性対策
• ファイルの変更監視

さまざまな対策が考えられるため、できる取り組みから着実に進めていくことが大切です。

メールセキュリティの強化

メールに記載されたURLや添付ファイルからマルウェアに感染したり、フィッシング詐欺に遭ったりするケースが多く見られます。そのため、社員に対するメールセキュリティ教育が重要です。

さらに、迷惑メールの受信を防いだり、添付ファイルやURLをスキャンできたりするメールセキュリティサービスを活用することで、被害を抑えられます。

Webブラウザセキュリティの強化

Webブラウザ使用中に不正なサイトに接続したり、情報を入力したりして被害を受けるケースも見られます。セキュリティ教育を通じて、「怪しいサイトに接続しない」「安易に情報を入力しない」といった基本的な事項を意識させましょう。

危険なサイトへのアクセスを防止するフィルタリングサービスや、Webサイトからのウイルス感染を防止するゲートウェイ装置の導入なども効果的です。

セキュリティサービスの導入

ウイルスは多様化しており、個人の心がけのみでは対処が難しくなっています。ウイルスを検知し、対策を施してくれるセキュリティサービスを導入しましょう。

セキュリティサービスのなかでも、内部ネットワークを信用しない「ゼロトラスト」に基づいたサービスがおすすめです。

また、現代の多様化かつ巧妙化したサイバー攻撃に対応できるよう、外部との不正通信を遮断する機能や、感染後の監視型駆除といった機能を搭載した新しいサービスを積極的に活用しましょう。

まとめ

今回は、サイバー攻撃の種類や目的、被害事例、対策方法について解説しました。サイバー攻撃の手口は多様化かつ巧妙化しており、被害も拡大しています。明日は我が身と捉え、徹底的なセキュリティ対策が必須です。この記事を参考に、サイバーセキュリティについて考え直してみましょう。

サイバーセキュリティ対策を推進するうえでは、情報システムやセキュリティに詳しい人材の確保も重要です。専門人材の不足に悩んでいる方は、ぜひとも当社にお気軽にお問い合わせください。