サイバー攻撃とは何か？被害事例から学ぶ攻撃の種類や対策について解説

サイバー攻撃の主な種類

現代では、サイバー攻撃の手法が多岐にわたるため、幅広い脅威に備えなければなりません。ここでは、主な攻撃の種類を確認しておきましょう。

マルウェア

マルウェアは、標的となる組織や個人のコンピュータ、ネットワークに被害を与えることを目的に作られた不正なソフトウェアの総称です。マルウェアに感染すると、コンピュータが起動できなくなる、動作が遅くなる、ハードディスク内のデータが消去されたり勝手に外部に送信されたりするなど、さまざまな不具合が生じます。代表的なマルウェアは以下の通りです。

ウイルス
ウイルスは、コンピュータに侵入する不正プログラムで、利用者がメールの添付ファイルを開くことやWebサイトを閲覧することで感染します。

ワーム
ワームは、コンピュータに感染して有害な動きをする点ではウイルスと同じですが、人がファイルを開くなどの動作をしなくても、侵入に成功すると爆発的な勢いで拡散してしまいます。さらに自己複製できる機能を持っているのが特徴で、メールソフトの連絡先に登録されている全てのアドレスにワームの複製が送信され、被害が拡大していくというケースもあります。

トロイの木馬
トロイの木馬は、「こっそりと悪さをする」プログラムを指します。一般的に、アプリケーションやスクリーンセーバ、文書ファイルなど、害のなさそうなプログラムを装い、利用者にダウンロードさせることでコンピュータに侵入します。感染に気づかれにくく、コンピュータに長期間侵入し続け、個人情報を盗んだり外部サイトを攻撃したり、勝手に大量のスパムメールを送信したりと、不正な動作を繰り返します。

スパイウェア
スパイウェアは、悪意を持ってコンピュータ内の情報や行動を盗み取り、別の場所に送るプログラムを指します。企業がマーケティング情報として利用するために、利用者の許諾を得た上で、閲覧履歴や購入履歴といった情報を取得しているものがあります。これはあくまでも消費者のニーズに合わせた商品・サービス情報を届けるためのもので、スパイウェアと呼ばれるものではありません。スパイウェアとされるのは、悪意を持って個人情報やWeb閲覧データなどを盗み、外部に送信するケースを指します。スパイウェアは、感染してもコンピュータの機能に不具合が生じることがなく、ウイルス対策ソフトでも検知されにくいため、被害が長期化する恐れがあります。

ランサムウェア
「身代金要求型不正ウイルス」「身代金要求型不正プログラム」と呼ばれることもあります。コンピュータに不正に侵入して機能をロックする、データを暗号化するなどをした後、制限や暗号化を解除することと引き換えに身代金を要求します。
▶関連記事：ランサムウェアとは　特徴・攻撃手法と対策をわかりやすくご紹介

Emotet（エモテット）
近年活発になったEmotetもマルウェアの一種です。悪意のある攻撃者によって送られる不正なメール（攻撃メール）によって感染します。自然なやり取りのメールに偽装されるため、受信者は不正なメールであることに気づかないまま誘導され感染するケースが多発しています。
▶関連記事：マルウェア「Emotet（エモテット）」の脅威を分かりやすく解説

SQLインジェクション

SQLとは、データベースに蓄積したデータを取得・検索するためのデータベース言語のことです。「structured（組立）」「query（命令文）」「language（言語）」の略で、「データベースを操作するための命令文」と言い換えることができます。データベースと連携した多くのWebサイトでは、利用者がWeb上のフォームに入力した情報をもとに、SQLを組み立て、データベースに命令を発します。

悪意のある第三者が、セキュリティの甘いWebサイトのフォームに、SQLの断片だと受け取られるコマンドを入力します。それにより不正な命令文を「インジェクション（注入）」するサイバー攻撃を、SQLインジェクションと呼びます。その結果、データベースの情報が漏えいしたり、改ざん・消去されたりする場合があります。

パスワードリスト攻撃

ユーザID、パスワードを何らかの方法で入手し、そのユーザIDとパスワードを利用して別のサイトなどで不正ログインを行うものです。利用者になりすましてアクセスするため、見破りにくいのが特徴です。また、Webサービスを利用する時にユーザIDとパスワードを使い回す人が多いため、ツールを使って多数の単語を組み合わせて不正ログインするような攻撃法と比べると、パスワードリスト攻撃の成功率は高くなってしまいます。この攻撃を受けると、個人情報の流出やWebサイトでの不正購入といった被害が生じる可能性があります。

標的型攻撃

主に機密情報を入手することを目的に、特定の企業を狙うサイバー攻撃のことを標的型攻撃と言います。手口はさまざまですが、マスメディアからの取材依頼、採用に関する問い合わせなど、受信者が思わず開いてしまうような内容のメールにウイルス付きのファイルを添付する方法が主です。受信者のコンピュータが感染すると、攻撃者はそこからネットワークに関する情報を盗み、さらに他のコンピュータへの不正アクセスを繰り返します。最終的には重要な機密情報が流出する可能性があります。

ゼロデイ攻撃

一般的に、OSやアプリケーションなどのソフトウェアにセキュリティ上のバグ（欠陥）が見つかると、販売元企業は、バグを修正するためのアップデート版を利用者に提供します。アップデート版が配布される日を1日目（ワンデイ）とした場合に、0日目（ゼロデイ）、すなわちまだ修正プログラムがない時期に、第三者によってソフトウェアの脆弱（ぜいじゃく）性を突いて行われる攻撃を「ゼロデイ攻撃」と呼びます。

攻撃者はソフトウェアの脆弱性を利用するマルウェアを開発し、標的に添付ファイル付きのメールを送信してマルウェアに感染させます。その他に、特定のWebサイトに不正プログラムを組み込んで、サイトを訪れる不特定多数の利用者を感染させるというばらまき型の手口もあります。ソフトウェアを使った利用者のコンピュータがマルウェアに感染する、標的とされた企業のシステムがコントロールされる、企業の機密情報が流出するといった被害が考えられます。

セッションハイジャック

Webアプリケーションは、Webサイトにアクセスした利用者を識別するため、個別にセッションIDという情報を付与しています。攻撃者がこのセッションIDを何らかの方法で入手したり推測したりして、利用者に代わってWebサイトに不正にアクセスすることを「セッションハイジャック」といいます。セッションハイジャックを受けると、個人情報やクレジットカードの情報を盗まれる恐れがあります。

バッファオーバーフロー攻撃

コンピュータのメモリの容量以上のデータを不正に送りつけ、不具合を起こさせる攻撃のことです。プログラムの管理者権限を奪われて機密情報が流出したり、ほかのWebサイトへの攻撃の踏み台にされたりすることもあります。

DoS

DoS攻撃とは、「Denial of Service attack」の略称で、直訳すると「サービス妨害攻撃」という意味になります。攻撃者が、WebサイトやWeb上のサービスに対し、メールを大量に送信する、F5キーを何度も押してページを繰り返し再読み込みするなどの方法で過大な負荷をかけ、システムの動作や機能を停止させる攻撃です。

DDoS攻撃

「Distributed Denial of Service attack」の略称で、「分散型サービス妨害攻撃」を意味します。標的のWebサイトやサービスに負荷をかけてサービスを妨害する点ではDoS攻撃と同じですが、DoS攻撃がひとつの端末から行われるのに対し、DDoS攻撃は、まず多数のコンピュータや機器に侵入し、それらの機器から一斉に攻撃が行われます。攻撃者を特定しづらく、攻撃の規模がより大きくなります。

APT攻撃

「APT」は「Advanced Persistent Threat」の略称で、「高度かつ継続的な脅威」を意味します。APT攻撃とは、特定の組織に対して継続的に行われるサイバー攻撃のことです。さまざまな手法が使われますが、大きく分けると、標的のシステムに侵入するための「共通攻撃手法」と、情報を改ざん・盗むことを目的とした「個別攻撃手法」の2つがあります。APT攻撃には、その他のサイバー攻撃に多く見られる金銭目当ての犯罪行為は少なく、国家ぐるみのスパイ行為または妨害工作が中心だと考えられています。ロシアによる2016年のアメリカ大統領選挙に対するサイバー攻撃も、APT攻撃ではないかといわれています。

サプライチェーン攻撃

サプライチェーンとは、原材料の調達から製造、在庫管理、配送、販売までの、製品が消費者に届くまでの一連の流れを指します。「サプライチェーン攻撃」とは、このサプライチェーンに対するサイバー攻撃のことをいいます。例えば、標的とする大企業のセキュリティが強固で攻撃が難しい場合に、攻撃者は、まずセキュリティの甘い取引先を攻撃し、そこから標的企業へと攻撃を広げていくという方法です。ほかに、標的企業が使うソフトウェアの製造段階で不正プログラムを仕込んでおくという方法もあります。

サイバー攻撃を巡る最近の動向

サイバー攻撃の発生件数、被害規模は拡大しつつあります。その大きな要因は、インターネットの普及に伴ってスマートフォンやIoT機器が急激に増え、システム環境が多様化したことです。インターネットを使ったサービスやインターネットに接続できる機器が増えるほど不正に侵入できる入口が増え、サイバー攻撃の脅威も増しているのです。また、手口も高度になり、目立ちにくく手の込んだ攻撃を仕掛けられるために、被害が拡大・長期化しがちです。

新型コロナウイルス感染症の流行を契機に、企業や行政機関の間でテレワークの導入やDX（デジタルトランスフォーメーション）が広がりつつあります。 こうした動きにより社外からのアクセスが増え、インターネットを介した業務へのセキュリティ対策の必要性も高まっています。企業の重要なデータを保存している環境に社外の端末からアクセスすることは日常業務のなかで頻繁に行われます。こうした社外からのアクセスに交じって悪質な不正アクセスも増加する可能性が高まっていると言えます。

サイバー攻撃の被害事例

2022年に国内で起こった代表的なサイバー攻撃の事例をいくつか紹介します。不正アクセスやランサムウェア攻撃は依然多く、傾向として大手企業だけでなく、中小企業にも魔の手が及んでいることが分かります。

①不正アクセス

12月には、国内医療機関への不正アクセスが発生し、一部の電子カルテが閲覧できなくなり、会計システムへの障害が発生しました。医療サービスを継続させるため紙のカルテでの運用に切り替えるなどの対策を講じつつ、攻撃を受けてから約２ヵ月で復旧しました。医療機関へのサイバー攻撃は、医療データへの損害や治療の遅延など患者の生命への影響が懸念されることから、強固な対策が求められる事案です。

②ランサムウェア攻撃

２月には、大手自動車メーカへ部品を供給するサプライヤーがランサムウェア攻撃を受け、その結果製造ラインが停止し、サプライチェーンリスクが浮き彫りになりました。リモート接続機器の脆弱性を突いた攻撃で、一部のサーバやPCでデータの暗号化が行われていたことが確認されています。復旧のために社内サーバは全停止を余儀なくされ、完全復旧までに約１ヵ月を要したとされています。

こうした事例を背景に、2023年3月にIPA※が発表した「情報セキュリティ10大脅威2023」の中でも、「ランサムウェアによる被害」や「サプライチェーンの弱点を悪用した攻撃」は上位にランクインしています。ランサムウェアの被害は世界中で報告されており、大企業はもちろん、中小企業でも早急な対策が求められます。

※IPA：独立行政法人 情報処理推進機構

出典：IPA「情報セキュリティ10大脅威 2023」

サイバー攻撃から企業を守るための対策方法

企業には、社内ネットワークやシステムはもちろん、サプライチェーンや関連企業を含めたセキュリティ対策が求められています。では、日々進化を遂げて多様化・高度化していくサイバー攻撃から身を守るためには、どうしたらいいのでしょうか。ここからは、企業に求められる対策の方法を紹介します。

ソフトウェアの最新化

社内で使っているOSやブラウザ、アプリケーションなどのソフトウェアのバグを第三者に利用されることがないよう、ソフトウェアのアップデート版や修正プログラムが提供されたら、できる限り早く適用して最新の状態を保つ必要があります。WindowsのOSであれば、通常は自動的に修正プログラムを適用するアップデート機能が備わっているので、この機能を有効にしておきましょう。

従業員へのセキュリティ教育の実施

従業員のセキュリティへの意識が低いままだと、多数のWebサービスを利用する時に同じID・パスワードを使う、不審なメールに気づかず添付ファイルを開く、セキュリティに信頼の置けないWi-Fiを使って社外から社内ネットワークにアクセスする、といったリスクの高い行動をとる恐れがあります。不正アクセスやマルウェア感染のリスクを減らすためには、まず情報セキュリティポリシー（セキュリティに関する指針）と社内ルールを策定し、従業員への周知とセキュリティ教育を徹底していく必要があります。

統合型セキュリティ対策ソフトの導入

大規模なシステムと膨大な機密情報を抱える企業において、セキュリティ対策ソフトの活用は欠かせません。従来はアンチウイルスソフトとも呼ばれるウイルス対策ソフト、近年はマルウェア対策以外の機能もあわせ持つ統合型セキュリティソフトが主流となりつつあります。例えば、送受信されるデータを監視して通信を制限するパーソナルファイアウォール機能を含むソフトを使えば、万一コンピュータがマルウェアに感染しても、通信をブロックしてデータ流出を防ぐことができます。さらに、利用者がフィッシングサイトにアクセスした場合に警告してくれるフィッシング対策機能、危険度の高いWebサイトの閲覧を制限するフィルタリング機能を備えたソフトもあります。

一般的なウイルス対策ソフトや統合型セキュリティソフトは、パターンファイル（ウイルス定義ファイル）という既存のマルウェアの情報が入ったリストのようなファイルをもとに、マルウェアを検知しています。新しいマルウェアが発見されると、このパターンファイルに追加されていきます。ところが、せっかくセキュリティ対策ソフトを導入しても、パターンファイルが更新されず古いままになっていると、ソフトは最新のマルウェアを検知することができません。統合型セキュリティソフトを導入した場合は、パターンファイルを最新の状態に保つことを心がけましょう。

EDRソリューションの活用

最新の優秀なセキュリティ対策ソフトを使っても、次々と開発される未知のマルウェアの侵入を完全に防ぎきることはできません。また、スマートフォンやタブレット端末、IoT機器など、通信機器の種類が大幅に増え、従来のゲートウェイセキュリティだけでは社内ネットワークへの侵入を防ぐことが難しくなってきています。

そこで注目されているのが、エンドポイントを常時監視し、マルウェアの侵入といった異常を検知するEDR（Endpoint Detection and Response）です。エンドポイントとは、PCやスマートフォン、タブレット、サーバなど、通信ネットワークの末端にある端末・機器を指します。マルウェアの侵入をいち早く察知し、対応することで、被害の拡大を防ぐことができます。ここでは、最新のEDRソリューションである「Cybereason」と「zIPS」を紹介します

エンドポイントセキュリティプラットフォーム「Cybereason」

Cybereasonは、エンドポイント全体の利用状況やデータ通信を監視し、マルウェアが侵入した場合にサイバー攻撃の兆候を早期に検知するクラウド型のデータ解析プラットフォームです。一般的なセキュリティ製品は侵入の防御を目的としているため、未知のマルウェアの侵入を防げず、被害を受けてしまう可能性があります。Cybereasonは、攻撃を成立させないことを目的としていて、システムに侵入したマルウェアによる管理者権限の奪取、機密情報データの外部への送信といった悪意ある動きを複数の要素から検知し、すぐに管理者に知らせます。そのため、高度な攻撃や未知のマルウェアにも有効性が期待できます。

さらに、インストールが簡単で導入しやすい点に加え、エンドポイント上で監視エージェントが稼働しても、システムへの負荷は最小限になるよう設計されているため、従業員が使用する端末や社内ネットワークへの影響が少ない点も特長です。また、管理画面では、攻撃の兆候の解析結果が時系列で図解化されて表示されるため、速やかに状況を把握することができます。

モバイルデバイス向けセキュリティアプリ「zIPS」

新型コロナウイルス感染症の流行以降、テレワークの急拡大に伴い、スマートフォンやタブレット端末といったモバイルデバイスが業務に使われるシーンが大幅に増えています。これらのモバイルデバイスにはマイクやカメラが備わっているため、遠隔操作で企業機密を盗聴・盗撮されるリスクもあります。

こうしたモバイルデバイスのセキュリティ対策に有効なのが、iOS・Android 向けのセキュリティソリューション「zIPS」です。「zIPS」はイスラエルで創業し、アメリカに拠点を置くZimperium（ジンペリウム）社が開発したモバイルデバイス向けのアプリケーションです。

AIにより未知の攻撃にも対応することが特長で、「デバイス」「ネットワーク」「アプリケーション」という3ポイントでリスクを検知します。また、デバイス上のエンジンで全ての検知を行うため、インターネットに接続していない環境下でも作動します。さらに統合エンドポイント管理（UEM※）サービスとの連携によって、遠隔操作による端末のロックや初期化、マルウェアの自動削除といったより強固な追加セキュリティ設定が可能です。

※対応しているUEMサービスは、VMware Workspace ONE® UEM、MobileIronおよびMicrosoft Intune、ビジネス・コンシェル デバイスマネジメントです。

どんな環境下でも事業を継続できるよう、幅広い脅威への備えを

企業が生産性を維持し続けるためには、緊急時やトラブル発生時にも損害を最小限に抑え、事業を継続し続けることが重要です。近年のサイバー攻撃の手口は多様化・巧妙化しているため、企業は、幅広い脅威に対して防御・対策をし、常にセキュリティシステムを最新の状態に更新しておくことが求められます。自社だけで高いセキュリティレベルを維持するのは困難ですが、セキュリティ事情に精通した専門企業の力を借りれば、最適な環境を整備することができます。自社の現状をチェックし直し、早急に対策をはじめましょう。

関連リンク

関連セミナー・イベント