サイバー攻撃とは？
目的や事例、種類から対策までわかりやすく解説

企業のデジタル化が加速する中、インターネットに接続される機器は増加の一途をたどっています。急速なデジタル化に伴い、企業活動におけるデジタルデータの価値は飛躍的に高まり、その結果として企業が保有する重要データを標的としたサイバー攻撃も増加傾向にあります。警察庁が発表している「令和６年上半期におけるサイバー空間をめぐる脅威の情勢等について」(注1) の資料では被害状況が公表され、日本国内における動向が詳細に記載されています。中でも、企業に対する攻撃としては「ランサムウェア」による被害が深刻です。

令和6年9月19日に公表された前述の資料によれば、令和6年上半期のランサムウェアの被害報告件数は114件で、近年は高水準で推移しています。また、システムに対して攻撃可能な箇所を探し出す、脆弱性探索行為などの不審なアクセスも増加傾向にあります。令和6年上半期に検知した不審なアクセスは9,825件、そのうち海外からが9,764件と大部分を占めていました。

ランサムウェアについて詳しくは後述しますが、攻撃を受けるとデータが暗号化され使用不可能となり、復元のために身代金を要求されます。企業であれば、正常な状態へ復旧するまで事業活動を停止せざるを得ないなど、深刻な事態に陥る可能性が高いと考えられます。さらには、このランサムウェアの攻撃により、機密情報が漏えいすることもあり、被害がさらに拡大するおそれがあるのです。

また、近年の特徴として大手企業などの外部委託先を狙ったサプライチェーン攻撃が多く見受けられます。セキュリティ対策が厳重な大手企業を直接狙うのではなく、対策が手薄な外部委託先を攻撃し、ターゲットとする大手企業に被害を与えることを目的としたものです。例えば、外部委託先のサーバーから大手企業のサーバーに侵入して機密情報を漏えいさせたり、攻撃により生産機能を停止させるケースがあります。そのため自社のセキュリティ対策が万全でも、取引先の対策までできる限りしっかり確認しておくことが重要です。

サイバー攻撃が増加している背景には、情報のやり取りがインターネットに大きく依存している現代社会の特徴があります。加えて、急速な技術革新に伴い新たな脆弱性が次々と発見され、攻撃者はこれを見逃さない状況があります。

一方で企業や個人は、急速な技術進化への対応とセキュリティ対策の両立に苦心し、リモートワーク時の不十分な対策による被害なども発生しています。

こうした脆弱性の増加や社会構造の変化に伴い、攻撃者の目的や手口も変化しています。その代表例が金銭の獲得です。また、企業への恨みから営業妨害を図るケースや、社会の混乱を目的とした攻撃も見られます。

さらにIoTの普及が加速して、自動車や家電製品などさまざまなデバイスがネットワークに接続され、新たな攻撃手法の出現が懸念されます。

マルウェアは、悪意のあるプログラムやソフトウェアの総称で、「ランサムウェア」と「Emotet」がその代表例です。

4章で説明するランサムウェアはマルウェアの一種で、主に「身代金」を要求するプログラムです。情報機器に入り込んだランサムウェアは、内部のデータを使えない状態にしたうえで、画面上に要求内容を記載したメッセージを表示します。大半のメッセージは「データを再び使えるようにしたい、あるいは機密情報の外部公開を防ぎたければ、指定の口座に暗号通貨を振り込め」といった内容です。近年、世界中で多くの企業が被害を受けています。

サプライチェーン攻撃は、セキュリティが万全ではない外部委託先や関連企業を経由してサイバー攻撃を行う手法です。
セキュリティが強固な大手企業や官公庁を標的とする場合、直接攻撃するよりも関連企業経由のほうが侵入しやすいため、攻撃者はその弱点を突こうとします。

大手企業がサプライチェーン攻撃に備えるには、自社のみならず取引先や海外拠点のセキュリティにもできる限り目を配ることが不可欠です。そうした対策により、攻撃者が防御の甘い企業を足がかりにしてネットワークに侵入するリスクを抑えられます。

フィッシングは、信頼できる大手企業や公的機関になりすまして、個人情報を盗み出す手法です。
メールから本物そっくりの偽のWebサイトに誘導して、ログイン情報やクレジットカード情報などを入力させます。知らずにアクセスすると高額な被害につながる危険性があります。

昨今はフィッシングなどによるログイン情報の漏えいを未然に防ぐ手段として、パスワードレスセキュリティ「FIDO認証」に注目が集まっています。詳しくはこちらの記事をお読みください。

KDDIではDDoS対策サービスを提供しており、月額の固定課金プランに加え、DdoS攻撃の防御時間実績に応じた従量料金プランを用意しています。詳細についてはこちらのページをご覧ください。

SQLインジェクションは、データベースを操作する言語である「SQL」を用いて、データに不正アクセスする手法です。
例えばショッピングサイトには、会員情報やクレジットカード番号などの重要な情報がデータベースに保存されており、それらにアクセスするためにSQLが使用されています。

攻撃者はWebサイトの入力フォームなどにSQL文を埋め込み、「データベースの内容をすべて表示する」「データを削除する」といった不正な命令を実行させます。その結果、個人情報の漏えいやデータの改ざん・削除などの被害が発生する可能性があります。

クロスサイトスクリプティングは、Webサイトに「罠」を仕掛けておき、アクセスした人を攻撃する手法です。攻撃者は掲示板やお問い合わせフォームなどの入力欄に「罠」となる不正なスクリプトを仕込み、そのページを訪れたユーザーがスクリプトを実行してしまうように仕向けます。

これを起因として、Cookie (注3) から個人情報漏えいや、マルウェア感染、あるいは不正送金や悪意ある情報発信などの意図しない操作を実行させられるといった被害が発生します。Cookieを利用してログインの管理を行っているサイトなどは注意が必要です。

現在、最も警戒を要する脅威のひとつがEmotetです。一見すると通常の業務連絡に見えるメールに、悪意のあるリンクが添付されており、そのリンクを入口にして、感染が拡大していきます。特徴的なのは、実在する業務上のやり取りを模倣した精巧な偽装手法です。受信者は日常的なビジネスメールと判断してリンクを開き、その瞬間に不正なプログラムを介して感染する仕組みになっています。

Emotetの厄介な点は、これが被害の始まりに過ぎない点です。最初の感染を足がかりにより深刻な被害をもたらす別種のマルウェアの侵入を許してしまいます。その結果、企業の機密情報が流出したり、さらなる攻撃の発信地として悪用されるといったケースが後を絶ちません。

サイバー攻撃でひとたび被害を受ければ、深刻な影響が生じかねません。被害を未然に防ぐための対策方法を具体的に紹介します。
 

サイバー攻撃に対応するためのセキュリティソフトは、さまざまな製品が提供されています。マルウェアの感染や不正アクセスがないかをリアルタイムで監視します。信頼できるセキュリティソフトを選んで情報機器にインストールすることで、多くの種類のサイバー攻撃から、ある程度保護することが可能です。

ただし、サイバー攻撃の手法は日々進化しており、新しいマルウェアも次々に生まれているため、インストールしただけでは安心できません。変化していく状況に対応するために、セキュリティソフトは頻繁にアップデートして、最新の状態を保ちましょう。

社内研修を行い、従業員がサイバーセキュリティについて理解を深めることも、サイバー攻撃への対策として有効です。
特に従業員のうっかりミスによるウィルス感染などを防ぐには効果的です。

研修では、不審なメールの添付ファイルを開くことでウィルスに感染する、といった基本的な事例を共有します。
同時に、感染により、企業がどれだけ深刻な被害を受ける可能性があるかも伝えるのがポイントです。セキュリティ対策の意味と目的を理解させ、日頃の業務において意識を持った行動を心掛けるよう教育を行うことが重要になっています。

サイバー攻撃の手口が多様化し、年々巧妙になってきています。近年はランサムウェアやサプライチェーン攻撃などが増えており、社内だけでなく社員がリモートワークで使用するパソコンや取引先など外部のセキュリティ対策などにも注意が必要です。