全ての記事
トレンド
セキュリティ
業務効率化
生産性向上
コスト削減
CSIRTとは?セキュリティ人材育成の必要性と構築支援活用のすすめ
- CSIRT
- セキュリティ
- CSIRT構築支援
- ../../../article/2024/01/csirt_seminar.html
サイバー攻撃とは、コンピュータシステムやネットワークに対する悪意ある侵入や破壊行為を指し、個人情報漏洩、金銭被害、社会インフラのシステム停止など、組織や個人、ときには社会全体に深刻な被害をもたらすおそれがあるものです。こうした攻撃に対処するためには、適切な対策を行う必要があります。
この記事ではサイバー攻撃の概要、種類、被害を防ぐための対策や事例について詳しく解説します。
サイバー攻撃とは
はじめに、サイバー攻撃における概要、目的、近年の動向について解説します。
サイバー攻撃とは|概要
サイバー攻撃とは、サーバ、PC、スマートフォンなどのIT機器に対し、インターネットなどのネットワークを介して攻撃(重要情報の窃取や改ざん、システムの破壊、脅迫など)を行うことを指します。攻撃対象は特定の相手(企業や組織、個人、国家など)だけでなく、不特定多数の場合もあり、その目的や手段はさまざまです。
近年はスマートフォンなどデジタルデバイスの普及が進んだこと、AIなどの発達もあってサイバー攻撃自体が高度化・巧妙化・多様化していること、企業などでもオンプレミスからクラウドへ移行が進んでいることから、従来の境界防御による手法ではサイバー攻撃を完全に防ぐことは難しくなっています。そのため従来型の境界防御に加え、内部に攻撃者が侵入することを前提としたうえで(この考え方を「ゼロトラスト 」と言います)、実被害を防ぐことに重点を置いた対策にシフトしています。
サイバー攻撃の目的と手段
サイバー攻撃の目的は単純な金銭詐取をはじめ、企業、団体、国家の経済力の弱体化を狙う場合や個人情報、機密情報の売買など多岐にわたります。その他にも営業妨害や企業、団体のイメージダウンを狙ったもの、個人的な復讐、社会への政治的主張、自己顕示欲の充足などを目的としたものもあります。また、それぞれが厳密に切り分けられるものではなく、「不特定多数にばらまきを行い、混乱に乗じて金銭獲得も狙う」「企業のビジネスを妨害した後、復旧・復号のために金銭を要求する」など、複数の目的をもつものやさまざまな手口が使われるケースも多くなっています。
攻撃手段としては、後述するフィッシングメールやスピアフィッシングによる認証情報の窃取、マルウェアやランサムウェアの送信、脆弱性を突いた不正アクセス、DDoS攻撃によるサービス停止などがあり、年々その手口は巧妙化・高度化しています。
サイバー攻撃を行う攻撃者
サイバー攻撃を行う攻撃者は、個人や小規模なハッカー集団から国家間で活動する犯罪集団、産業スパイなどさまざまです。中には、国家が別の国家の機密情報を盗むために諜報員を使っているケースもあります。
近年のサイバー攻撃の動向・件数推移
警察庁の発表(※1)によると、サイバー犯罪の検挙件数は平成27年から増加傾向にあり、令和6年 には13,164件と過去最高を記録しました。
サイバー犯罪の検挙件数の推移
※1:出典 警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」P21
サイバー攻撃の代表的な種類【ターゲット別】
現代のサイバー攻撃は多様化し、その手口や狙われる対象もさまざまです。ここでは、特に代表的な攻撃手法をターゲット別に分類し、それぞれの特徴や注意点を解説します。
(1)特定の標的を狙うサイバー攻撃
近年、企業や組織、個人など「特定の相手」を狙ったサイバー攻撃が増加しています。これらは攻撃者が事前に対象の情報を収集し、精巧な手口で侵入・操作・詐取を試みるもので、被害の規模も深刻化する傾向にあります。ここでは、ランサムウェアや標的型攻撃など、代表的な手法とその特徴について解説します。
ランサムウェア
マルウェアの一種で、サーバ・PC内のデータを暗号化し、元に戻すための条件として「身代金」を要求するものをランサムウェアと呼びます。感染経路は、電子メールのほか、VPN機器などの脆弱性が悪用されるケースもあります。ランサムウェアに感染すると、PCやシステムが利用できなくなり、業務停止に陥るなど、大きな被害が懸念されます。企業だけでなく、個人も標的となることがあります。
ランサムウェアについて詳しく知りたい方は、こちらの記事もぜひご覧ください。
ランサムウェアとは?感染経路と手口・被害への対策をわかりやすく解説|SCSK IT Platform Navigator
Emotet(エモテット)
主にメールの添付ファイルを通じて感染するマルウェアです。実際のメールの返信を装った自然な文面で受信者をだまし、悪意のあるマクロが仕込まれた添付ファイルを開封させます。感染すると、個人情報や認証情報が盗まれ、不正アクセスやスパムメールの踏み台にされるなど、さらなる攻撃や被害の拡大につながる恐れがあります。
Emotetについて詳しく知りたい方は、こちらの記事もぜひご覧ください。
マルウェアEmotet(エモテット)とは?攻撃の手口・感染対策を解説|SCSK IT Platform Navigator
標的型攻撃・APT攻撃
標的型攻撃とは、特定の個人や組織を狙って行われるサイバー攻撃で、取引先や社内関係者を装ったメールにマルウェアを添付したり、危険なURLを記載したりする手口が一般的です。マルウェアに感染すると、情報が盗まれる、外部からの遠隔操作が可能になるなど深刻な被害をもたらします。中でもAPT(Advanced Persistent Threat)攻撃は、内部ネットワークに長期間潜伏します。ログを改ざんしたり、正規の通信に偽装したりして痕跡を隠しながら、少しずつ重要情報を外部に送信するため、発見が困難です。国家レベルで実行されることもあり、政府機関や重要インフラ、企業の機密情報が標的となる重大な脅威です。
サプライチェーン攻撃
強固なセキュリティ対策を施す大企業や政府機関などを直接狙うのではなく、比較的セキュリティの脆弱な取引先や子会社、外部サービスを経由して本来の標的に侵入を試みるサイバー攻撃です。偽装メールの送信やソフトウェアの不正アップデートなどが手口として用いられます。近年では国内大手製造業の稼働停止を引き起こすなど、重大な被害事例も発生しており、サプライチェーン全体のセキュリティ対策の重要性が高まっています。
ビジネスメール詐欺(BEC)
企業の経営者や経理担当者などを装ったメールを送り、不正な送金や情報詐取を狙う詐欺です。取引先になりすましたり、経営者からの指示を装ったりして、緊急の送金依頼や機密情報の開示を促します。メールの内容が非常に巧妙であるため、注意が必要です。
(2)不特定多数を狙うサイバー攻撃
攻撃対象を限定せず、広く一般の利用者を無差別に狙うサイバー攻撃も依然として多く確認されています。これらの手口は、メールやSMS、Webサイト、USB機器など日常的な通信や接続手段を悪用し、個人情報や金銭をだまし取ることを目的としています。ここでは、フィッシング詐欺やジュースジャッキングなど、日常生活に潜む代表的な脅威について紹介します。
フィッシング詐欺
フィッシング詐欺とは、金融機関や公的機関などを装ってメールを送りつけ、偽のWebサイトへ誘導し、IDやパスワード、クレジットカード情報などの個人情報をだまし取るサイバー犯罪です。このうち、SMS(ショートメッセージ)を使って偽のメッセージを送り、偽サイトへ誘導する手口は「スミッシング」と呼ばれています。いずれの手法も、不正にIDやパスワード、クレジットカードなどの情報を不正に取得して悪用されるリスクが高く、特にスマートフォンの利用者が狙われやすい傾向にあります。偽のサイトは本物と見分けがつかないほど精巧に作られているため、だまされてしまうケースが後を絶ちません。
ビッシング・リバースビッシング
ビッシングとは電話を使ったフィッシング詐欺の一種で、攻撃者が金融機関や行政機関を装い電話をかけ、不正利用やトラブルを理由に個人情報や暗証番号を聞き出す手口です。一方、リバースビッシングは被害者に指定の電話番号へかけさせ、高額な通話料を発生させて金銭をだまし取る手法です。どちらも巧妙な話術で騙されやすいため、見知らぬ番号からの電話や不審な内容には慎重に対応し、身に覚えのない問い合わせには応じないことが重要です。
ジュースジャッキング
公共のUSBポートやケーブルに悪意のある細工を施し、それに接続した端末にマルウェアを感染させ、データを盗み取るサイバー攻撃です。細工されたUSBポートやケーブルは見分けがつきにくく、気づかないうちに被害に遭う可能性があります。こうしたリスクを避けるために、モバイルバッテリーや自前のケーブルを持ち歩くなどの対策が必要です。
ゼロクリック攻撃
ユーザーがクリックや操作を一切行わなくても、スマートフォンやデバイスに不正侵入される高度なサイバー攻撃です。OSやアプリの脆弱性を悪用し、メールやファイルの受信など、ごく一般的な動作だけで端末が乗っ取られる恐れがあります。偽リンクを開かせたり、添付ファイルを実行させたりする従来の手口とは異なり、ユーザーの操作を一切必要としないため、発見や防御が非常に困難です。特に企業や政府関係者が標的となるケースが多く、重大な情報漏洩につながる危険性があります。
(3)サーバなどに負荷をかけダウンを狙うサイバー攻撃
企業や組織のWebサイト、オンラインサービスに対して、意図的に過剰な負荷をかけて機能停止や遅延を引き起こす攻撃も存在します。これらの攻撃は、企業の信頼を失わせたり、業務を混乱させたりすることを目的としています。ここでは、DDoS攻撃やF5アタックなど、システムの可用性を脅かすサイバー攻撃について紹介します。
DoS攻撃/DDoS攻撃
DoS(Denial of Service attack)攻撃は、1台の端末からWebサイトなどを公開するサーバに対して大量のアクセスを送りつけ、処理能力を圧迫することで、サービスの遅延や停止を引き起こす攻撃です。このDoS攻撃が発展したのが、DDoS(Distributed Denial of Service attack)攻撃です。DDoS攻撃では、複数の端末(多くはマルウェアに感染したPCやIoT機器)を踏み台として遠隔操作し、一斉に大量のアクセスをサーバに送りつけます。これにより、サーバに過剰な負荷がかかり、処理速度の低下やサービスの完全停止といった深刻な影響を及ぼします。DDoS攻撃によって直接的に情報を盗まれることはありませんが、サーバのダウンによってWebサイトが利用できなくなり、企業の信用失墜やオンラインビジネスの機会損失といった大きな被害につながる可能性があります。
F5アタック(F5攻撃)
Webブラウザのリロード機能(F5キー)を繰り返し押すことで、特定のWebサイトに大量のアクセスを集中させ、サーバに過度な負荷をかけてサービス停止を狙う攻撃です。個人でも手軽に行えるため、抗議活動やいたずら目的で行われることがあります。
(4)OS・Webサイト・アプリケーションなどの脆弱性を狙うサイバー攻撃
近年、OSやWebサイト、アプリケーションの脆弱性を狙ったサイバー攻撃が急増しており、被害の規模や影響も拡大しています。これらの攻撃は、システムの制御権を奪い、不正な操作や情報の窃取、改ざんを目的としています。ここでは、ゼロデイ攻撃やSQLインジェクション、クロスサイトスクリプティング(XSS)など、代表的な脆弱性攻撃について紹介します。
フォームジャッキング攻撃
ECサイトなどの決済フォームに悪意のあるスクリプトを埋め込み、ユーザーが入力したクレジットカード情報や氏名・住所などの個人情報を第三者に不正送信・窃取するサイバー攻撃です。取引自体は正規のWebサイト上で通常通り完了するため、ユーザーが被害に気づきにくいのが大きな特徴です。攻撃者はサイト本体だけでなく、外部のJavaScriptライブラリなどを改ざんしてスクリプトを挿入するケースもあり、Webサイト運営者側の監視や対策も困難な場合があります。スクリプトの改ざん検知やコンテンツセキュリティポリシー(CSP)の導入など、継続的な対策が求められています。
ゼロデイ攻撃
ソフトウェアやシステムの脆弱性が発見された直後、まだ修正プログラムやパッチが提供されていない「無防備な状態(ゼロデイ)」を狙って行われる攻撃です。開発元やユーザーにとって未知の脆弱性を悪用するため、根本的な対策が難しく、被害に気づきにくいのが特徴です。修正プログラムがないため、攻撃の危険性は非常に高いですが、脆弱性の発見後は利用を控えることで、リスクを低減できます。
SQLインジェクション
Webサイトの入力フォームなどに、データベースを不正に操作するSQL文を埋め込むことで、データベース内の個人情報や機密情報を不正に取得・改ざんする攻撃です。Webアプリケーションのセキュリティ上の不備が原因で発生します。
OSコマンドインジェクション
Webサイトの入力フォームなどに、OS(オペレーティングシステム)のコマンドを不正に埋め込むことで、サーバ上で任意のコマンドを実行させ、システムを乗っ取ったり、情報を窃取したりする攻撃です。SQLインジェクションと同様に、Webアプリケーションの脆弱性を突く攻撃です。
クロスサイトスクリプティング(XSS)
Webサイトの脆弱性を突いて悪意のあるスクリプトを埋め込み、ユーザーのブラウザ上で実行させるサイバー攻撃です。これにより、Cookieの窃取や偽のログインページへの誘導、マルウェア感染などの被害を受ける可能性があります。インターネット掲示板やECサイトなど、ユーザーからの入力を受け付けるWebサービスで特に発生しやすく、正規のサイト上で攻撃が行われるため、ユーザーは不正な操作が行われていることに気づかないまま被害に遭う可能性があります。
サイバー攻撃の被害を受けるとどうなるか
サイバー攻撃を受けると、企業や組織は多方面にわたる深刻な被害を受けることになります。最も多い被害が情報漏洩です。氏名・住所・クレジットカード情報などの個人情報や、企業秘密・機密文書が外部に流出し、不正利用やダークWeb上での売買といった二次被害に発展する可能性があります。また、DDoS攻撃やランサムウェアによってシステムやWebサービスが停止し、業務や顧客対応が滞ると、企業活動そのものが大きく妨げられます。こうした事態が発生すると、顧客や取引先、株主といった利害関係者からの信頼を失い、ブランド価値が著しく損なわれることも避けられません。
信頼の回復には多くの時間と努力が必要で、長期的な影響が残る場合もあります。さらに、被害を受けたシステムの復旧やセキュリティ対策の強化、情報漏洩に対する損害賠償や訴訟対応、業務停止による売上機会の損失など、企業が負担する金銭的コストは非常に大きくなります。
サイバー攻撃への対策
サイバー攻撃によって情報漏洩や業務停止など深刻な被害を受ける可能性がある中で、企業には的確な対策が求められます。では、そうした被害を防ぐために、具体的にどのような対策を講じるべきなのでしょうか。ここでは、企業が取り組むべき基本的なサイバー攻撃対策をご紹介します。
OS・セキュリティソフト・アプリケーションのアップデート
OS(WindowsやmacOSなど)やセキュリティソフト、アプリケーションは、常に最新の状態にアップデートすることが重要です。これらには定期的に脆弱性を修正するパッチが提供されており、適用することでサイバー攻撃のリスクを大幅に低減できます。特に最近は、修正前の脆弱性を狙うゼロデイ攻撃が増加しており、迅速な対応が求められます。アップデート通知が届いた際は、放置せず速やかに更新を行いましょう。
セキュリティ製品の導入
サイバー攻撃は日々進化しており、従来のウイルス定義に依存した対策だけでは、既知のマルウェアの検出には有効でも、未知の脅威や新種の攻撃には対応しきれなくなっています。OS標準のセキュリティ機能だけでは十分とはいえず、より高度な防御が求められます。そのため、Windows DefenderやMacの標準機能に加え、マルウェア対策ソフトなどのエンドポイントセキュリティ、認証基盤、ネットワークセキュリティ機器を導入することで、未知の攻撃にも対応できる強固な防御環境を構築することが重要です。
【関連記事】
EDRの導入を検討する企業が押さえておきたい。"その先"を見据えたセキュリティ対策としてのXDR
取り組むべきゲートウェイセキュリティ対策とは?「マルチスキャン」と「ファイル無害化」でゼロトラストを実現!運用担当者が語る!次世代エンドポイントセキュリティ導入の裏側と、1年間運用して実感した効果
サーバなどのデータバックアップ
万が一サイバー攻撃の被害に遭い、データが破壊されたり暗号化されたりしても、定期的にデータのバックアップを取得していれば、被害を最小限に抑え、迅速な復旧が可能になります。バックアップデータは、オフライン環境など、隔離された場所に保管することが推奨されます。
二段階認証
ログイン時にパスワードだけでなく、スマートフォンアプリで発行されるワンタイムパスワードや生体認証などを組み合わせた二段階認証(多要素認証)を導入することで、不正ログインのリスクを大幅に軽減できます。
セキュリティポリシーの徹底/社員への教育
情報の持ち出し制限など、明確なセキュリティポリシーを策定し、それを確実に実践できる仕組みを整えることは、組織の情報資産を守るうえで非常に重要です。加えて、社員一人ひとりのセキュリティ意識を高めるための教育も、サイバー攻撃を未然に防ぐ有効な手段です。不審なメールの開封、フリーWi-Fiの使用、安易なパスワード設定など、日常に潜むリスクへの対処方法を理解させることが求められます。定期的なセキュリティ研修や、標的型攻撃メールを想定した訓練を通じて、攻撃の手口や危険性、適切な情報管理方法を周知しましょう。
ガイドラインを参考に
ここで紹介した内容は、あくまでもセキュリティ対策の基本として押さえておきたいポイントにすぎません。より包括的に企業全体の対策を進めるうえで参考になるのが、経済産業省が公開している「サイバーセキュリティ経営ガイドライン(※2)」です。このガイドラインでは、セキュリティはIT部門や情報システム部門だけの課題ではなく、経営全体の問題であるという視点から、経営者が認識すべき3つの原則や、実務責任者に指示すべき具体的な項目が整理されています。サイバー攻撃に備えるうえで、企業が意識すべき要点が網羅されており、実効性の高い指針として活用できます。
(注)※2:経済産業省:サイバーセキュリティ経営ガイドラインと支援ツール
サイバー攻撃の被害事例
サイバー攻撃による国内の被害事例を紹介します。
金融機関事例
2023年以降、大手金融機関の顧客を狙ったフィッシング詐欺が全国で多発しています。2025年には、大手証券会社の顧客口座が不正アクセスにより乗っ取られ、本人の許可なく株式が勝手に売買される被害が全国で相次ぎました。これを受けて、複数の証券会社は緊急の注意喚起と被害拡大防止のためのセキュリティ強化を実施するとともに、顧客に過失がない場合には被害前の株式を返還する原状回復措置を講じました。
金融庁によると、2025年1月から5月の間に不正取引件数は約6,000件、被害総額は5,000億円を超えており、金融業界全体でセキュリティ対策と補償体制の整備が急務となっています。
政府機関・研究機関事例
2019年以降、中国系ハッカーグループ「MirrorFace」による日本国内の政府機関や企業、研究機関を標的としたサイバー攻撃が相次いでいます。攻撃者は実在する職員を装ったスピアフィッシングメールを送り、受信者が添付ファイルを開くことでマルウェアに感染させました。これによりネットワークへ不正侵入され、日本宇宙航空開発研究機構(JAXA)、防衛省、内閣官房などで機密情報の漏洩が懸念される深刻な事態となりました。従来のウイルス対策やメールフィルタでは検知が困難であるため、標的型メールへの対応力強化、職員へのセキュリティ教育、多層的なアクセス制御の見直しなど、新たな情報管理体制の構築が急務とされています。
出版・メディア業界事例
2024年初頭、国内の大手出版・メディア企業がランサムウェア攻撃を受け、社内ネットワーク全体が暗号化される事態が発生しました。この攻撃により、複数の基幹システムやサービスが長期間にわたり停止し、業務に深刻な支障をきたしました。攻撃の原因は、フィッシングにより従業員の認証情報が盗まれ、不正アクセスされたことにあります。システムの完全復旧には数週間を要し、サービス提供の遅延や顧客からの信頼低下など、企業に多大な影響を及ぼしました。本事例は、情報セキュリティ体制の再点検と早急な強化の必要性を浮き彫りにしました。
まとめ
今回は、サイバー攻撃の概要や代表的な攻撃手法、そしてそれぞれに対する基本的な対策について解説しました。サイバー攻撃は日々進化しており、完全な防御は難しいものの、適切な対策を講じることでリスクを大きく軽減できます。近年は高機能なセキュリティ製品やサービスも充実しており、企業規模を問わず導入しやすくなっています。これを機に、自社のセキュリティ体制を見直し、継続的な強化に取り組むことが重要です。
サイバー攻撃の巧妙化・複雑化が進む現在、企業にはこれまで以上に柔軟かつ高度なセキュリティ対策が求められています。SCSKでは、こうした時代のニーズに応えるため、最新の技術と豊富な専門知見を活かした総合的なセキュリティサービスをご提供しています。
たとえば、セキュリティアセスメントやCSIRT構築支援、脆弱性診断などを通じて、企業ごとの課題やフェーズに応じたコンサルティングを実施。まずは「どこにリスクがあるのか」を明確にし、その診断結果に基づいて最適な技術や運用の導入までを一貫して支援します。さらに、24時間365日体制のSOC(セキュリティオペレーションセンター)を活用した運用サービスでは、ログの監視・分析からアラート対応までを専門チームが担い、迅速な初動対応を可能にします。
加えて、経験豊富なセキュリティアナリストが対応するアドバイザリサービスや、万が一のインシデント発生時に備えて事前に対応内容を定義しておくリテイナーサービスも提供しています。平常時から有事対応までを視野に入れた支援により、セキュリティの質を継続的に高めていくことが可能です。
私たちSCSKは、単なる製品・サービスの提供にとどまらず、お客様のビジネスに寄り添い、継続的な成長と安心を支える「セキュリティのパートナー」として、ともに歩んでいきます。
セキュリティに関するお悩みやご相談がございましたら、どうぞお気軽にお問い合わせください。
サービス一覧 – SCSKセキュリティ株式会社
