サイバー攻撃とは？
種類・対策・事例をわかりやすく解説

標的型攻撃とは、企業など特定の組織やユーザーグループを狙ったサイバー攻撃のことです。
標的型攻撃では、攻撃者がターゲットの知人や取引先になりすまし、悪意のあるファイルを添付したメールや悪意のあるサイトへ誘導するURLリンクを送り、PCやスマートフォンなどの端末をマルウェアに感染させようとする攻撃が行われます。

ランサムウェアは、主に身代金を要求するために使用されるマルウェアです。デバイスへの攻撃が成功すると、マルウェアは画面をロックしたり、ディスクに保存されているデータを暗号化したりして、デバイス所有者の画面に身代金の要求と支払情報を表示します。

Emotet（エモテット）は、主に電子メールを介して感染する遠隔操作型のボットマルウェアです。 Emotetは、悪意のあるサイトにアクセスしたり、悪意のあるマクロを含むファイルを開いたりすることで感染します。
感染後は、情報漏えいやマルウェア・スパム送信などのさらなる攻撃に利用されたり、ランサムウェアなど他のマルウェアに感染したりすることが確認されています。

クリックジャッキングとは、Webブラウザを悪用してユーザーに不利益を与えるセキュリティ攻撃のことです。
具体的な手法としては、ボタンやリンクを透明化・不可視化し、通常のWebページの上に配置することが挙げられます。

キーロガーは、キーボード操作の情報を外部に送信するプログラムです。
本来は、ソフトウェア開発者やシステムエンジニアが、自分が行った操作を記録しておき、問題発生時にそのログを解析するために使用されるものでした。
しかし、キーロガーはキーストロークなどを記録できるため、悪意のある第三者が、端末でどのような情報を入力したのか、といった内容を不正に入手するために利用され、サイバー攻撃の一種として使われるようになりました。

サプライチェーン攻撃とは、大企業や政府機関など正面からの侵入が困難な大組織をターゲットとする場合に、セキュリティ対策が比較的脆弱な取引先や子会社を経由して攻撃を仕掛ける手法です。
攻撃者は、取引先からの電子メールを偽造してターゲット企業に送信したり、ターゲット企業が使用するソフトウェア製品に不正なアップデートを仕込んだりします。

水飲み場攻撃とは、攻撃者が頻繁に訪れるウェブサイトを改ざんし、その改ざんされたサイトに不正なプログラムを設置する攻撃です。

ビジネスメール詐欺とは、業務上のメールを盗み見たり、役員や取引先になりすましたり、従業員をだまして送金取引に関する資金をだまし取ったりして金銭的な被害を与えるサイバー攻撃のことです。
実際に詐欺を行う前に、マルウェアを使って社内の従業員などから情報を盗み出すこともあります。

フィッシング詐欺とは、ソーシャルエンジニアリング攻撃の一種で、信頼できる企業や組織を装った犯罪者が、被害者の個人情報を要求するものです。
最も一般的なフィッシングの手法は、銀行や金融機関を装って電子メールを送信し、電子メール内の偽のフォームに入力させたり、口座情報やログイン情報の入力を要求するWebページにアクセスさせたりすることで不正に個人情報を取得するものが挙げられます。

フィッシング詐欺に似た手法として「スミッシング」があります。
スミッシングは、スマートフォンなどの携帯端末のメッセージ機能であるSMS（ショートメッセージサービス）を利用して、メッセージ受信者をフィッシングサイトに誘導するサイバー攻撃を指します。
フィッシング詐欺にSMSを利用することから、言葉を結びつけて「スミッシング」と呼ばれています。

ビッシングとは、クレジットカード会社や銀行を装って電話をかけ、クレジットカード番号や銀行口座情報、パスワード、生年月日などの情報を聞き出し、悪用しようとする詐欺行為のことです。

リバースビッシングは、ビッシングの亜種で、攻撃者が用意した電話番号に被害者が電話をかけることで、個人情報を盗み出そうとするものです。ビッシングでは、攻撃者が被害者に電話をかける一方、リバースビッシングでは、被害者から攻撃者に電話をかけさせることが特徴です。

ゼロクリック詐欺とは、スマートフォンでアダルトサイトなどを閲覧している最中に、Webページを表示した後に突然「料金を振り込んでください」「登録が完了しました」などのメッセージが表示され、閲覧者に金銭を要求する詐欺行為です。

これらのメッセージには電話番号が記載されていることがあり、その番号に電話をかけると電話番号を知られるだけでなく、執拗に電話で金銭の支払いを要求されることがあります。

ジュースジャッキング攻撃とは、悪意のある第三者がUSBポートにマルウェアを仕込んだり、それを操作してデータを盗み出したりする攻撃手法のことです。

ジュースジャッキング攻撃では、公共の場に設置されたUSBポートに細工を施します。
一見、充電用の普通のUSBポートに見えますが、これに接続してしまうことで端末にマルウェアが入ってしまったり、データが盗まれたりする可能性があります。

DoS攻撃/DDoS攻撃とは、1台または複数のPCやサーバーを利用して、標的のサーバーに大量のアクセスやデータを送りつけるサイバー攻撃のことです。データを送りつけることで標的のサーバーに負荷がかかり、Webサイトのアクセス障害やサービス停止などの被害が発生します。

DoS攻撃とDDoS攻撃の違いは、攻撃に使用するPCが1台か複数台かによります。
DDoS攻撃の場合、攻撃に使用される複数の端末は、第三者のPCを悪用している可能性があります。そのためDoS攻撃よりも攻撃性が高く、匿名性が高いため、より悪質な攻撃となります。

F5アタックは、「F5攻撃」「F5連打攻撃」とも呼ばれ、キーボードの「F5」キーを押してリロードするだけのシンプルでアナログな攻撃です。
F5アタックをすることで、Webサイトに対して大量のリクエストを送り、サーバーをダウンさせようします。攻撃対象のシステムによってはDoS攻撃となる攻撃です。

ゼロデイ攻撃とは、メーカーが修正プログラムの配布などの対応をする前に、OSやソフトウェアに発見された脆弱性を利用する攻撃のことです。
脆弱性とは、コンピュータのOSやソフトウェアにおいて、プログラムの欠陥や設計ミスにより発生する情報セキュリティ上の欠陥のことです。脆弱性が発見されると、企業やベンダーは更新プログラムを作成し、アップデートを実施することで対応しますが、新たな脆弱性は次々と発見されるため、アップデートまでの間は脆弱性が放置されることになります。
攻撃者は常にこの脆弱性を狙っており、このようなアップデートまでの一瞬の隙を突いた攻撃を「ゼロデイ攻撃」と呼びます。

フォームジャッキング攻撃とは、ECサイトや購入ページなどの入力フォームを改ざんし、クレジットカード情報などの個人情報を盗み出す攻撃手法です。
正規のサイトの入力フォームに悪意のあるスクリプトを埋め込み、フォームの送信内容を不正に第三者へ送信します。

SQLインジェクションとは、管理サーバー上のデータベースを参照してサービスを提供するWebサイトにおいて、本来意図した指示とは異なるSQL文を送信し、個人情報や機密情報を不正に抜き取るサイバー攻撃のことです。主にショッピングECサイトなどが標的になります。

OSコマンドインジェクションとは、インジェクション（injection：挿入する）という名の通り、攻撃者が脆弱なアプリケーションを介してOSに対して不正なOSコマンドを送信し、対象のPCやサーバーに不正にアクセスするサイバー攻撃です。

クロスサイトスクリプティング（XSS）とは、攻撃者が標的となるWebサイトの脆弱性を突いて罠を仕掛け、悪意のあるサイトに誘導するスクリプトを実行し、サイトを訪れたユーザーから個人情報を詐取したりマルウェアに感染させたりするサイバー攻撃です。

総当たり攻撃（ブルートフォースアタック）とは、パスワードなどを不正に解読する際に、可能な限りすべての組み合わせを試す攻撃方法です。
この方法は、人力では手間と時間がかかりすぎてしまいますが、現在は簡単に実行できるツールが広く出回っており、時間の制約がない限り、確実にパスワードを解読して侵入することができる方法となっています。

パスワードリスト攻撃は、多くのユーザーが複数のWebサービスで同じパスワードを使用する傾向にあることを利用し、さまざまなWebサービスへのログインを繰り返し試みるものです。攻撃者がログインに成功すると、そのサイトから個人情報や金銭を詐取しようとします。

パスワードスプレー攻撃とは、総当たり攻撃の一種で、IDとパスワードの組み合わせで連続的に攻撃を行う手法です。
ログイン制御を行うシステムの中には、一定時間内に一定数のログインエラーが発生した場合、一定期間アカウントをロックする仕組みがありますが、パスワードスプレーでは、このアカウントロックを回避する方法を用いたパスワード攻撃となっています。

クレデンシャルスタッフィング攻撃とは、インターネット上に流出したIDとパスワードの組み合わせを使って、他のWebサイトへのログインを試みる攻撃手法です。
クレデンシャルスタッフィング攻撃は、ユーザーが同じIDとパスワードの組み合わせを頻繁に使用する習慣を悪用したものです。

オペレーティングシステム（OS）やソフトウェアは、その性質上、必ず脆弱性が発生します。この脆弱性は、サイバー攻撃の格好の標的となってしまいます。

最近のサイバー攻撃には「ゼロデイ攻撃」と呼ばれる、発見・修正される前の脆弱性を狙ったものが増えています。

OSやソフトウェアのベンダーはこのような状況を予測して、迅速にアップデートを提供していますので、アップデート通知が届いたらすぐにアップデートを行い、システムを常に最新の状態に保つように心がけましょう。

パソコンやサーバー・各種Webサービスを利用する際は、多くの場合ユーザーIDやパスワードが必要となります。

サイバー攻撃によりIDやパスワードが流出すると、第三者による不正使用や侵入、機密情報の盗難などが発生する可能性があります。不正使用や侵入された場合、被害はより大きくなるため、アカウント情報の管理は厳重に行いましょう。

また、複雑で推測しにくいIDやパスワードを設定し、使い回しをしないことが、不正使用を防ぐための基本的な対策となります。

サイバー攻撃は、パソコンやスマホを利用するユーザーによる操作によって引き起こされるケースもあります。

例えば、メールの添付ファイルにウイルスが仕込まれていたり、メール本文に記載されたURLにアクセスしてWebサイトからウイルスをダウンロードさせられたりすることがあります。

不審なメールにリンクや添付ファイルがある場合は、クリックしたりダウンロードしたりしないようにしましょう。悪意のあるWebサイトに誘導されたり、端末がマルウェアに感染したりする可能性があります。

日頃からメールなどに記載されたURLや添付ファイルを安易に開かないように注意することも、サイバー攻撃への有効な対策になります。

サイバー攻撃者は日々新たな脅威を生み出しており、「既知」ではない攻撃手法やウイルス、マルウェアなどは日夜増え続けています。

これらの脅威に対し、OS標準のセキュリティソフトは、アップデートが行われるまで対処できず、ウイルスの検出もできないため、セキュリティ対策としては不十分といえます。

数あるサイバー攻撃からデバイスを守るためには、Windowsに標準搭載されている「Windows Defender」やMacOSに標準搭載されているセキュリティ対策に頼るだけでなく、別途セキュリティソフトを導入することが理想です。