あなたの発注コンシェルジュ

公開日: 更新日:

サイバー攻撃とは?よくあるサイバー攻撃の種類や手法を徹底解説!

セキュリティを解除された人
目次

インターネットが生活のインフラとなった昨今、新たな脅威として現れたのがサイバー攻撃です。政府や企業のwebページはもちろんのこと、個人を狙ったサイバー攻撃の例も少なくありません。

サイバー攻撃を受けると個人情報や機密情報が漏えいし莫大な損害を被るリスクがあるだけではなく、特に企業の場合は顧客や取引先からの信用問題にも発展し事業の存続に関わることにもなりかねません。かつてのサイバー攻撃といえば、コンピュータウイルスなどに感染させてダメージを与えるというものが多かったですが、近年ではサイバー攻撃の手法も巧妙化。一見正常なアクセスと見せかけてネットワーク内に侵入し、内部でサイバー攻撃を仕掛けるケースも顕在化しています。

このように、目的も手段も多様化するサイバー攻撃ですが、どのようなセキュリティ対策が有効なのでしょうか。今回は、サイバー攻撃の概要と代表的な攻撃手法、過去にあったサイバー攻撃の事例を紹介するとともに、具体的なセキュリティ対策の方法をお伝えしていきます。

1.サイバー攻撃とは

1.サイバー攻撃とは

サイバー攻撃とは、悪意をもった者がコンピュータやネットワーク内に侵入し、不正をはたらくことを指します。

一口に不正といっても、コンピュータそのものの破壊行為やデータの不正取得や改ざん、さらにはそれらを利用した身代金要求など、さまざまなケースが存在します。インターネット黎明期のサイバー攻撃にはコンピュータウイルスなどの感染によるものが多く、セキュリティ対策ソフトによって防げるものが多かったですが、インターネットの進化とともにサイバー攻撃の手法も巧妙化。現在では金品を搾取することを狙ったサイバー攻撃が多く見られるようになりました。

また、国家間でのサイバー攻撃も頻発して見られるようになり、国家機密のような極めて重要な情報を得るために諜報活動の一環としてサイバー攻撃が行われるケースも目立ちはじめています。

1-1.サイバー攻撃の概要

サイバー攻撃には大きく分けて「標的型攻撃」と「無差別型攻撃」の2種類が存在します。

標的型攻撃とはその名の通り、明確な意図をもって特定の企業や組織、個人のwebページを狙うサイバー攻撃です。機密情報や金銭を盗み取るために、あらゆる手法でサイバー攻撃が仕掛けられます。悪意のあるファイルを添付したメールを送りつけ、担当者がファイルを添付した瞬間にコンピュータ内の情報を盗み取るといった手法もあります。

これに対して無差別型攻撃は、かつて猛威をふるった「トロイの木馬」などに代表されるようなマルウェアをばら撒くサイバー攻撃の手法です。標的型攻撃は企業や特定の組織が狙われることが多い一方で、無差別型攻撃は個人を対称にしたサイバー攻撃がメインであることが特徴的です。

最近では「ランサムウェア」とよばれる身代金要求を行うプログラムが仕込まれることが多く、ますます巧妙化しています。その分セキュリティ対策の手法も複雑化してきているという側面もあります。

1-2.サイバー攻撃の目的

サイバー攻撃を仕掛ける側にはどのような目的があるのでしょうか。まず大前提として、サイバー攻撃を仕掛ける先のターゲットによって目的も多様であるということです。

たとえば、国や公の機関に対してサイバー攻撃を仕掛ける場合は、スパイ・諜報活動を目的とし、重要な情報を持ち出すことがミッションとして考えられます。企業へのサイバー攻撃の場合は金品の搾取、イメージダウンなどを狙ったものが多いです。

個人への無差別型攻撃の場合は、金品の搾取はもちろん、単なる愉快犯といった動機も考えられます。このほかにも、攻撃者自身がセキュリティをかいくぐる高度なスキルを持っていることを誇示するためにサイバー攻撃が行われるケースもあります。

インターネットセキュリティの見積もりが
最短翌日までにそろう

一括見積もりをする(無料)

2.サイバー攻撃の代表例

2.サイバー攻撃の代表例

サイバー攻撃の概要や目的を紹介してきましたが、攻撃手法にはどのような種類があるのでしょうか。近年のサイバー攻撃で多く見られる代表的な例をいくつか紹介します。今回は「ランサムウェア」「DDoS/DoS攻撃」「ゼロデイ攻撃」「SQLインジェクション」の4つを例に挙げてみました。

2-1.ランサムウェア

サイバー攻撃の手法として近年多く見られるようになったランサムウェアは、身代金要求型のマルウェアのひとつです。

ランサムウェアの特徴は、マルウェアに感染したコンピュータを使用不能の状態にし、正常に使用できる状態にすることを条件に身代金を要求するというもの。不正なプログラムが組み込まれた対象のwebサイトにアクセスすることで感染します。

仕事で使用するパソコンや重要なデータが入ったパソコンがランサムウェアに感染してしまうと、それ以上一切の操作ができなくなり、金銭を支払って解決するしか方法がなくなってしまいます。主にスパムメールなどから対象のアクセスに誘導されるため、不審なメールは開かないということがセキュリティ対策上重要です。

2-2.DDos/Dos攻撃

DoS攻撃は、ある特定のコンピュータが対象のサーバに対して大量の処理要求を送り、サーバをパンク状態にすることを狙ったサイバー攻撃です。

短時間に多くのユーザーから多数のアクセスが集中するとサーバのレスポンスが低下し、やがてサーバがダウンしてしまうことはありますが、これを悪意をもったユーザーが意図的に攻撃を仕掛けることで同じ状態を引き起こします。

単独のコンピュータでサイバー攻撃が行われるDoS攻撃に対して、自分以外のコンピュータから攻撃させるのがDDoS攻撃とよばれるものです。自分自身は攻撃に加わらず、「踏み台」や「ゾンビマシーン」とよばれる他のコンピュータに対して攻撃の司令を出すのみであるため、攻撃元の特定に時間がかかってしまいます。

2-3.ゼロデイ攻撃

ゼロデイ攻撃のゼロデイとは「0日」という意味を指します。ソフトウェアなどにセキュリティホールがみつかった場合、一般的にセキュリティ対策を行っているベンダーでは「パッチ」とよばれる修正用のセキュリティ対策プログラムを配布します。

しかし、このパッチはセキュリティベンダーからリリースされるまでに若干のタイムラグが生じます。そのため、セキュリティベンダーからのセキュリティ対策パッチが配布される前に攻撃を受けてしまうとセキュリティ対策が間に合っておらず、まともにサイバー攻撃のダメージを受けてしまいます。

この時間差を狙ったサイバー攻撃がゼロデイ攻撃、またはゼロデイアタックとよばれるものです。セキュリティ対策のためのパッチプログラムの配布や更新時間との勝負ということもあり、ゼロデイ攻撃はセキュリティ対策として100%防ぎきることは難しいのが現状です。

2-4.SQLインジェクション

SQLインジェクションとは、SQLを悪用したサイバー攻撃の一種です。SQLとは何かというと、webサイトにおいてデータベースを操作するための機能です。

たとえば、膨大なデータが格納されているwebサイトの中から、自分が意図した情報やデータのみを引き出すために、指定のボックス内に数字や文字を入力することで検索ができるサイトは多いです。しかし、実は本来意図しない数字や文字列を入力することによって、不正に情報を引き出すことが可能となります。

そのため、SQLインジェクションというサイバー攻撃は原始的な方法にもかかわらず甚大な被害を及ぼす手法として知られています。セキュリティ対策自体も難易度が高く、セキュリティ専門の担当者やセキュリティツールなどで対策することが一般的です。

3.サイバー攻撃の動向

3.サイバー攻撃の動向

年々多様化するサイバー攻撃ですが、最近ではどのような傾向が見られるのでしょうか。2017年10月に総務省事務局が発表した「サイバーセキュリティ等に係る現状と課題について」の資料をもとに、国内外のサイバー攻撃とセキュリティ対策に関する動向を見ていきましょう。

まず、大きなトレンドとして従来のパソコンを狙ったサイバー攻撃以外に、IoT機器を狙ったサイバー攻撃が急激に増えていることが報告されています。2015年と2016年を比較して2.4倍に増えていますが、その後も加速度的にサイバー攻撃が増えていることは容易に予想できます。

IoT端末はまだまだスマートフォンほど一般的に普及が進んでいない現状がありますが、今後数年の間に爆発的に普及した際にはサイバー攻撃に備えたセキュリティ対策が必須の課題となることは間違いありません。

4. サイバー攻撃の事例

4. サイバー攻撃の事例

サイバー攻撃に使われる代表的な攻撃手法や動向を紹介してきましたが、実際にこれまでどのようなサイバー攻撃があったのでしょうか。今回は一例として「仮想通貨 NEM不正流出問題」と「佐川急便不正アプリ問題」の2つの事例を紹介します。

4-1.仮想通貨「NEM」不正流出問題

2018年1月、仮想通貨取引所大手であるコインチェックから、サイバー攻撃によって巨額の仮想通貨が盗まれるという事件が発生しました。当時のレートで約580億円に相当する仮想通貨で、連日大々的に報道されたのは記憶に新しいところです。

この事件が起きたことには大きく分けて2つの要因があります。ひとつは仮想通貨を管理するコインチェックがオフラインでの管理ではなく、オンライン上で全ての仮想通貨を管理していたということ。そしてもうひとつは、コインチェック社の従業員のPCがウイルスに感染したことによって社内ネットワークへの侵入を許し、サイバー攻撃を受けてしまったという点です。

犯人は約半年間にもおよぶ長い期間、同社の従業員とメールでのやり取りを続け、信頼を獲得したところでサイバー攻撃を実行し犯行に及びました。企業を狙った標的型サイバー攻撃の代表的な事例といえます。

4-2.佐川急便不正アプリ問題

2018年に佐川急便を名乗ったフィッシングサイトへ誘導するSMSが大量に出回りました。

フィッシングサイト内には「貨物追跡アプリ」のインストールを促す内容が記載されていますが、実はこのアプリこそがサイバー攻撃の一種であるマルウェア。Androidスマホから電話番号や端末固有識別番号、その他重要な情報を抜き取り、遠隔操作によってさまざまな不正をはたらく機能が仕込まれていました。

一見しただけでは見分けがつかず、つい本物と見間違えてしまうほど精巧な造りとなっていたため、気付かずにアプリをインストールしてしまうユーザーが続出。実際にiTunesカードを買われてしまう被害に遭ったユーザーもいたようです。佐川急便不正アプリ問題は、フィッシングサイトをつかった無差別型サイバー攻撃の代表例といえるでしょう。

5.サイバー攻撃への対策

5.サイバー攻撃への対策

まずは基本的なサイバー攻撃への対策のひとつとして、常にOSのバージョンを最新のものにアップデートしておくことが重要です。OSアップデートはプログラムやセキュリティに関する脆弱性を改善する目的も大きく、古いバージョンのOSやサポートが終了したOSを使用することでセキュリティリスクが一気に上昇します。

また、不審なメールやファイルを開くことも厳禁です。PCへのセキュリティ対策ソフトの導入も必須といえるでしょう。これらはユーザー側でも注意すべきことですが、サービスを提供する側のサーバに対してもセキュリティ対策は必須です。webサイトを構築する際には、どうしてもセキュリティ上の脆弱性が出てくるものです。しかし、脆弱性を100%防ぐサイト設計は非常に難易度が高く、現実的ではありません。

今回紹介したサイバー攻撃の手法は、いずれも従来のセキュリティ対策だけでは防ぎきれるものではありません。そこで現在注目を集めているのが、WAFというセキュリティ対策ツールです。WAFを導入することによって、ランサムウェアやDDoS攻撃をはじめとしたサイバー攻撃のリスクを大幅に低減することが期待できます。

インターネットセキュリティの見積もりが
最短翌日までにそろう

一括見積もりをする(無料)

6.まとめ

6.まとめ

インターネットが世の中に広まりだしてから約20年。今では企業だけではなく個人単位でも手軽にWEBサイトを構築・運営できる時代です。

だからこそ、多様化するサイバー攻撃に対して誰もがセキュリティ意識を高くもち、サイバー攻撃を未然に防ぐ努力をしなければなりません。セキュリティ対策の方法も多岐にわたり、進化するサイバー攻撃とイタチごっこのような状況が続いてきましたが、今後もそのような状況は続いていくと考えたほうが良いでしょう。

自らのwebサイトをサイバー攻撃から守ることはもちろんですが、ユーザーに対してもセキュリティの安全性を提供することは重要な責務です。そのためにも、今回セキュリティ対策ツールのひとつとして紹介したWAFは有効な方法です。より巧妙化するサイバー攻撃への備えとして、セキュリティ対策のためWAFの導入をぜひ検討してみてください。

インターネットセキュリティ探しで、こんなお悩みありませんか?

電話が鳴り止まない

1社ずつ調べていくには
時間がかかりすぎる

見積もりを取っても不安

相場がわからないから
不安…

情報だけを信じるのは不安

どの企業が優れているのか
判断できない…

アイミツなら
  • point. 1 今人気のサービスをまとめて比較できる!
  • point. 2 10万件の利用実績から業界・相場情報をご提供!
  • point. 3 業界内で実績豊富なサービスのみ掲載!
アイミツ

著者

imitsu編集部

運営に関するお問い合わせ、取材依頼などはお問い合わせページからお願い致します。

インターネットセキュリティの見積もりが最短翌日までにそろう