2023年版！「サイバー攻撃」の概要、手口から対策までをわかりやすく解説

サイバー攻撃とは、サーバ、PC、スマートフォンなどのIT機器に対して、情報の窃取・改ざん、システムの破壊などを行う行為で、インターネットなどのネットワークを介して行われるものを指します。かつては、不特定多数を対象にマルウェア（悪意あるソフトウェアなど）を送りつける「ばらまき型」の攻撃が多く見られましたが、最近では特定の企業などを狙った攻撃も増加しています。
ある攻撃手法への対策が確立されると、それをかいくぐる新たな手法が編み出され、さらにその対策を行う“いたちごっこ”が繰り返され、近年は攻撃の巧妙化・多様化が進んできました。もはや攻撃を完全に防ぐのは難しいと言われ、内部に攻撃者が侵入することを前提に、実被害をどう防ぐかを重点に置いた対策が求められています

サイバー攻撃の目的は、「愉快犯」「金銭の獲得」「企業のビジネス妨害」の大きく3つに分けられます。かつては不特定多数にマルウェアを送り付け（ばらまき型）、混乱する様子を楽しむ愉快犯が中心でした。その後、PCのロック、データの暗号化などを行い、解除のために金銭を要求するものが増加。同時に特定の企業を狙い、ビジネスを妨害することを目的とした攻撃も多く見られるようになりました。
これらの目的は、それぞれが厳密に切り分けられるものではなく、近年では「不特定多数にばらまき、混乱に乗じて金銭獲得も狙う」「企業のビジネスを妨害し、回復のために金銭を要求」のように重なるケースが多くなっています。
この3つのほかに、「何らかの主義・主張を持つ組織などが、自らの主張を世に知らせるためにサイバー攻撃を行う」ケースもあります。

誰を狙った攻撃か？
サイバー攻撃はまず、「誰を狙うか」によって分類できます。

標的型攻撃
不特定多数ではなく、特定の企業などを標的とし、攻撃する手法です。その企業の業務内容、取引先などを調べ、「業務に関係のある内容を装ったメールでマルウェアを送付する」などの方法で、攻撃の成功率を高めます。

サプライチェーン攻撃
標的型攻撃の一種ですが、最終的なターゲットである大企業ではなく、その取引先など「サプライチェーン」を担う中小企業を狙って攻撃する手法です。強固なセキュリティ対策を講じている大企業を直接攻撃するのは難しいため、比較的対策の緩い中小企業を攻撃し、“踏み台”とすることで、大企業にダメージを与えることを目指すのです。

どうやって攻撃するか？
次に、ターゲットに対し、実際どのように攻撃を行うのかによって分類できます。さまざまな攻撃手法のうち、代表的なものを紹介します。

DDoS（Distributed Denial of Service attack）攻撃
Webサイトなどを公開するサーバに、一斉に大量のアクセスを行うことで負荷を高め、処理速度の低下・サーバの停止に陥らせる攻撃です。1台の端末から大量アクセスする「DoS攻撃」が進化し、複数の踏み台端末から攻撃を行い、短時間により多くのアクセスを送りつける手法もあります。DDoS攻撃では直接データを窃取されることはありませんが、Webサイトダウンによる企業の信用失墜、ビジネス機会の損失などにつながります。

不正アクセス
システムやサービスへのアクセス権限を持たない人が、不正な手段でログイン・アクセスすることを指します。流出したID・パスワードの悪用のほか、脆弱性を狙った攻撃で不正アクセスを行うケースも見られます。不正アクセスでシステムに侵入されると、機密情報などの漏えいにつながるほか、システム自体を破壊されるリスクがあります。

ランサムウェア
マルウェア一種で、サーバ・PC内のデータを暗号化し、元に戻すための条件として「身代金」を要求するものをランサムウェアと呼びます。感染経路は、電子メールなどのほか、VPN機器などの脆弱性が悪用されるケースもあります。ランサムウェアに感染すると、PCやシステムが利用できなくなり、業務停止に陥るなど、大きな被害が懸念されます。

フィッシング
実在する組織を装うことで、IDやパスワード、クレジットカード番号などの情報を詐取する手法です。実際にあるような案内メールを送付、本物と同じ見た目の偽サイトへ誘導し、ID・パスワードなどを入力させ、情報を詐取します。さらに、その場で振込やクレジット決済を促され、金銭的な被害を受けるケースもあります。

いずれの攻撃についても、年々、手口が巧妙になっているため、簡単には見抜けない攻撃も増えています。警察庁が発表するデータ（※1）でも、平成29年からサイバー犯罪の検挙件数は毎年増え続け、令和3年には12,209件と前年より2,000件以上も増加、サイバー攻撃が勢いを増していることがうかがえます。さらに、令和4年の上半期を見ても、前年を上回るペースで検挙されており、引き続き警戒が必要です。

図1：サイバー犯罪の検挙件数の推移
※1：出典　警察庁「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について（令和4年9月15日）」P24
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf

さまざまなサイバー攻撃の中でも、近年被害が増えているのがランサムウェアです。令和2年下半期には21件だった被害報告も、毎年増え続け、令和4年上半期には114件に上りました。また、ランサムウェアからの復旧に要した調査・復旧費用の総額についての調査では、1,000万円以上の費用を要したという回答が55％を占め、金銭的な負担も大きくのしかかってくることがわかります。

図2：（左）企業・団体等におけるランサムウェア被害の報告件数の推移、
（右）ランサムウェア被害に関連して要した調査・復旧費用
※1：出典　警察庁「令和４年上半期におけるサイバー空間をめぐる脅威の情勢等について（令和4年9月15日）」4P・6P
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_kami_cyber_jousei.pdf

情報漏えい
サイバー攻撃による直接的な被害のひとつが、機密情報・個人情報などの漏えいです。漏えいした情報が悪用され、ビジネス上の不利益につながるほか、インターネット上で公開されるケースもあります。特に、個人情報保護法で対象とされる個人情報が漏えいした場合、個人情報保護委員会への報告・本人への通知が義務化されました。顧客の個人情報を扱う企業では、謝罪だけでなく賠償を求められることもあり、大きな負担になります。

業務・サービス停止
サイバー攻撃の種類によっては、データが破壊される・アクセスできなくなる・システムが停止してしまうなどの事態に陥ることがあります。デジタル化が進む今、システムやサーバにアクセスできなければ、業務は停止。また、業種・業態によっては顧客へのサービス提供に支障をきたす恐れもあります。

顧客や利害関係者からの信頼喪失
情報漏えいや業務・サービスの停止は、企業としての信頼低下につながります。また、漏えいした情報が、取引先や顧客企業への攻撃に悪用される、自分の環境が“踏み台”にされて他社を攻撃していたなど、自身が加害者になってしまうリスクもあります。

金銭的な負担
上述したとおり、サイバー攻撃の被害から回復するにはかなりのコストがかかります。個人情報が漏えいした際には対象者への賠償が必要になり、サービス停止の場合などはビジネスの機会損失による金銭的な被害も発生します。

では、サイバー攻撃によってどのような被害が発生しているのでしょう。ここ数年、報道された国内の被害事例を紹介します。

医療機関事例
2021年10月、地方のある病院がランサムウェアに感染し、電子カルテシステムなどが利用できなくなり、2ヶ月に及び正常な病院業務が滞る結果になりました。メンテナンスのためのVPN機器の脆弱性を悪用された可能性が高いとされています。

部品製造業事例
2022年2月、大手製造業に部品供給を行っていた企業がランサムウェアに感染、全システムを停止する事態に陥りました。それを受け、大手製造業グループにおいてすべての工場を1日停止することに。サプライチェーン攻撃により重大な被害につながった事例で、大規模な生産停止により大きな影響が出たケースです。

自治体事例
2022年9月、地方自治体の関連事業のホームページが改ざんされました。ホームページの管理ページに不正アクセスがあり、新着情報欄に外部から書き込みがされていました。原因として、管理ページのアクセス制限設定が不適切だったこと、管理ページにログインするID・パスワードが類推しやすいものであったことなどが挙げられています。

では、こういった被害に遭わないために、企業ではどのような対策を講じればよいのでしょうか？

組織での対策
企業としての対策を考える際は、まず、組織として環境・体制の整備を行うことが不可欠です。行うべき対策は多岐にわたり、企業の規模や事業内容、扱うデータの種類、社員の働き方などによって異なりますが、下記に最低限行いたい基本的なポイントをまとめます。

セキュリティ製品の導入マルウェア対策ソフトなどエンドポイントセキュリティや、認証基盤、ネットワーク上に設置するセキュリティ機器などを導入し、サイバー攻撃を防ぐための基本的な環境を整備します。

OS・セキュリティソフト・アプリケーションのアップデート
WindowsなどのOSやアプリケーション、またセキュリティ機器は、随時セキュリティに関するアップデートなどが配信されています。適切に更新し、常に最新の状態を維持する必要があります。

サーバなどのデータバックアップ
万が一、データを破壊された場合にも自社で復旧できるよう、定期的にバックアップすることが強く推奨されます。

適切なID管理
平易なパスワードが使えないようポリシーを設定するほか、異動者のアクセス権限の変更、退職者のアクセス権削除などに抜け・漏れがないよう管理することが重要です。

セキュリティポリシーの徹底/社員への教育
情報の持ち出し制限などのセキュリティポリシーを定めるとともに、ポリシーを徹底できるように仕組みを整えることが大切です。また、サイバー攻撃やセキュリティの基本的な知識について、社員への教育・周知も行いましょう。

社員1人ひとりの対策
組織としてどれほど対策したとしても、最終的には社員がそれぞれ気を付けるしかないこともあります。個人が意識すべきポイントとしては下記が挙げられます。

• 不審なメールやファイルを開かない/不審なURLにアクセスしない。
• おかしいと思った場合には、すぐに社内のセキュリティ担当者や部門に報告する。
• 組織のルール/ポリシーに従い、OSやアプリのアップデートを適切に実施する。

ガイドラインを参考に
ここで挙げたのは、あくまでも基本として押さえておきたいポイント。企業全体を網羅した対策を行う際に参考になるのが、経済産業省が公開している「サイバーセキュリティ経営ガイドライン（※2）」です。セキュリティはITや情報システム部門だけが検討するものではなく、もはや“経営問題”であるとして、経営者が認識すべき3原則、実務責任者に指示すべき項目などがまとめられています。サイバー攻撃への対策を行うにあたって、意識すべきポイントが網羅されているため、よい指針になります。
※2：参考　経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
https://www.meti.go.jp/policy/netsecurity/mng_guide.html

サイバー攻撃は「気を付ければ大丈夫」といったものではなく、「大企業だけが狙われる」といったものでもありません。むしろ、対策しきれていない中小企業が狙われるようになっています。どの企業もいつ被害に遭ってもおかしくなく、ダメージは大きくなるもの。最新の動向や情報を注視しながら、できる限りの対策を行うべきと言えるでしょう。