このページはJavaScriptを使用しています。JavaScriptを有効にして、または対応ブラウザでご覧下さい。

閉じる
閉じる
サイバー攻撃とは?目的や事例、種類から対策までわかりやすく解説

サイバー攻撃とは?
目的や事例、種類から対策までわかりやすく解説

2026 6/23
サイバー攻撃は企業に深刻な影響を与え、業務停止や情報漏えいなどのリスクを伴います。近年は攻撃手法が高度化し、標的型攻撃やランサムウェアなど多様な脅威が増加中です。この記事では、サイバー攻撃の最新動向や代表的な種類、実際の事例、そして企業が取るべき対策をわかりやすく解説します。自社のセキュリティを強化し、被害を未然に防ぐためのポイントをぜひ確認してください。

※ 記事制作時の情報です。

1.サイバー攻撃とは

ランサムウェアのイメージ画像

サイバー攻撃とは、ネットワークを通じて情報システムに対し、悪意を持って不正行為をすることです。具体的には、データ窃取破壊、改ざんのほか、システム機能停止サービス妨害 (DoS/DDoS攻撃) などが含まれます。
攻撃対象は、パソコンスマートフォンサーバーなどが中心です。攻撃は主にインターネットを介して行われますが、USBメモリ外付ハードディスクなどの物理的デバイスを通して、攻撃される可能性もあります。サイバー攻撃には手段目的によって数多くの種類存在するため、さまざまな事態対応できる幅広対策必要です。

関連サービス:セキュリティ

2.近年のサイバー攻撃の動向と目的

近年企業のDX推進クラウド利用加速したことで、サイバー攻撃事業継続そのものを脅かす経営課題へと変化しています。攻撃者目的も、従来愉快犯的なものから、金銭窃取 (ランサムウェア) や事業妨害、さらにはセキュリティ対策手薄取引先経由して大企業を狙う「サプライチェーン攻撃」といった、より悪質巧妙なものへとシフトしています。

警察庁報告 (注1) でも、ランサムウェアによる被害依然として高水準推移しており、こうした動向理解することが、効果的対策を講じる第一歩となります。

関連サービス:マネージド ゼロトラスト

3. サイバー攻撃の種類一覧

3-1. ランサムウェア

マルウェアのイメージ画像

ランサムウェアは、マルウェア (悪意のあるプログラム) の一種で、企業甚大被害をもたらす攻撃手法の一つです。感染すると、社内ファイルシステム暗号化され、利用できない状態にされます。そのうえで「データを元に戻してほしければ身代金支払え」と要求するメッセージ表示されるのが典型的手口です。

近年では、データ暗号化するだけでなく「身代金支払わなければ盗んだデータ公開する」と脅迫する“二重恐喝型”が主流となっており、世界中で多くの企業甚大被害を受けています。一度侵害されると、復旧費用業務停止信用失墜など、事業継続深刻影響を及ぼします。

3-2. Emotet (エモテット)

Emotet (エモテット) は、メールを通じて感染を広げるマルウェアです。過去メールのやり取りを引用し、業務連絡を装った巧妙メール送信することで、受信者添付ファイルを開かせたり、不正リンククリックさせたりして感染させます。

Emotetの厄介な点は、単体で大きな被害を与えるのではなく、ほかのマルウェア侵入口になることです。一度感染すると、ランサムウェアなど、より深刻攻撃を呼び込む踏み台にされるケースが多く報告されています。また、感染した端末から連絡先情報を盗み出し、取引先関連企業にも偽メールを送り続けるため、自社加害者になってしまうリスク無視できません。

3-3. 標的型攻撃

標的型攻撃 (注2) は、特定組織個人を狙って行われる巧妙サイバー攻撃です。
主にメール使用してマルウェア感染させ、標的ネットワーク侵入します。標的を絞ることで、より相手を欺きやすいメール件名内容巧妙に作られ、真偽判別困難です。この攻撃では、最初感染した情報機器を足がかりとしてネットワーク潜入し、目的とする機密情報窃取破壊を行います。

3-4. サプライチェーン攻撃

サプライチェーン攻撃は、セキュリティ万全ではない外部委託先関連企業経由してサイバー攻撃を行う手法です。
セキュリティ強固大手企業官公庁標的とする場合直接攻撃するよりも関連企業経由のほうが侵入しやすいため、攻撃者はその弱点を突こうとします。

大手企業サプライチェーン攻撃に備えるには、自社のみならず取引先海外拠点セキュリティにもできる限り目を配ることが不可欠です。そうした対策により、攻撃者防御の甘い企業を足がかりにしてネットワーク侵入するリスクを抑えられます。

3-5. フィッシング

フィッシングは、信頼できる大手企業公的機関になりすまして、個人情報を盗み出す手法です。
メールから本物そっくりの偽のWebサイト誘導して、ログイン情報クレジットカード情報などを入力させます。知らずにアクセスすると高額被害につながる危険性があります。

昨今フィッシングなどによるログイン情報の漏えいを未然に防ぐ手段として、パスワードレスセキュリティ「FIDO認証」に注目が集まっています。詳しくはこちらの記事をお読みください。

3-6. DoS攻撃/DDoS攻撃


DoS攻撃は、1台の情報機器を使い、ターゲット大量データを送ったり、膨大な数のアクセスを行ったりする攻撃を言います。この攻撃では、ターゲットサーバー過度負荷をかけて、サイトへのアクセス障害サービス停止を引き起こすことを狙います。

このDoS攻撃複数情報機器から一斉に行うのが、DDoS攻撃です。DDoS攻撃は、マルウェアにより乗っ取った情報機器を使って行われるケース増加しています。また、複数場所から攻撃されるため、攻撃元のIPアドレス特定してアクセス遮断するといった手法だけでは対策困難です。

DDoSのイメージ画像

KDDIではDDoS対策サービス提供しており、月額固定課金プランに加え、DDoS攻撃防御時間実績に応じた従量料金プラン用意しています。詳細についてはこちらのページをご覧ください。

3-7. SQLインジェクション

SQLインジェクションは、データベース操作する言語である「SQL」を用いて、データ不正アクセスする手法です。
例えばショッピングサイトには、会員情報クレジットカード番号などの重要情報データベース保存されており、それらにアクセスするためにSQLが使用されています。

攻撃者はWebサイト入力フォームなどにSQL文を埋め込み、「データベース内容をすべて表示する」「データ削除する」といった不正命令実行させます。その結果個人情報の漏えいやデータの改ざん・削除などの被害発生する可能性があります。

3-8. クロスサイトスクリプティング

クロスサイトスクリプティングは、Webサイトに「罠」を仕掛けておき、アクセスした人を攻撃する手法です。攻撃者掲示板やお問い合わせフォームなどの入力欄に「罠」となる不正スクリプト仕込み、そのページを訪れたユーザースクリプト実行してしまうように仕向けます。

これを起因として、Cookie (注3) から個人情報漏えいや、マルウェア感染、あるいは不正送金悪意ある情報発信などの意図しない操作実行させられるといった被害発生します。Cookieを利用してログイン管理を行っているサイトなどは注意必要です。

3-9. ゼロデイ攻撃

ゼロデイ攻撃とは、OSやソフトウェア存在する、開発元もまだ把握していない“未発見脆弱性”を突くサイバー攻撃です。問題発見される前に攻撃が始まるため、修正プログラム (セキュリティパッチ) が用意されておらず、防御のための猶予が全くない状態被害発生します。

この攻撃危険なのは、一般的ウィルス対策ソフト脆弱性診断では検知しにくく、企業が気づかないうちに侵入を許してしまう可能性がある点です。修正プログラム提供されるまでの間は、企業脆弱性を抱えたまま運用することになり、その隙を突かれて情報盗難ランサムウェア侵入など、深刻被害発展するリスクがあります。

4.サイバー攻撃の事例

4-1. 医療機関を襲ったランサムウェア、電子カルテが全停止

2021年10月、国内のある地方中核病院ランサムウェア攻撃を受け、電子カルテシステム全面的使用不能となる深刻事態発生しました。攻撃原因は、外部からのアクセス利用していたVPN機器未対応脆弱性存在したことにあります。

攻撃により、電子カルテサーバー保存されていた患者データ暗号化され、過去診療記録閲覧新規入力一切できなくなりました。これにより、新規患者の受け入れを2カ月近停止せざるを得なくなり、通常診療も紙のカルテ代用するなど、地域医療深刻影響を及ぼしました。

病院側身代金支払いを拒否し、バックアップからの復旧を試みましたが、最終的電子カルテシステム完全復旧したのは約2カ月後でした。この事件は、ランサムウェア攻撃事業継続物理的不可能にし、社会インフラそのものを麻痺させる危険性があることを示す象徴的事例として広く知られています。

4-2. 大手食品メーカーを襲ったEmotet、取引先を巻き込む“なりすまし”

2020年9月、ある大手食品メーカーは、自社利用しているパソコンマルウェア「Emotet」に感染したことを公表しました。この事例問題となったのは、Emotetの持つ巧妙な“なりすまし”と“拡散”の能力です。感染したパソコンからメール情報窃取され、それを悪用して、グループ従業員になりすました不審メールが、ほかのグループ会社社外関係者へと送信される事態発生しました。

これらの「なりすましメール」は、過去メール件名本文引用して返信を装うため、受信者正規業務連絡と信じてしまいがちです。もし受信者添付ファイルを開いたり、URLをクリックしたりすれば、そこからさらに感染拡大し、被害連鎖していくことになります。

この事例業種を問わず、あらゆる企業がEmotetの脅威に晒されていることを示しています。そして、一度感染すれば、自社被害者であると同時に、社会的信用を共に築いてきた大切取引先危険に晒す“加害者”にもなり得るという、Emotetの厄介リスクを浮き彫りにしました。

5.サイバー攻撃への対策方法

サイバー攻撃でひとたび被害を受ければ、深刻影響が生じかねません。被害未然に防ぐための対策方法具体的紹介します。

5-1. セキュリティソフトを導入する

サイバー攻撃対応するためのセキュリティソフトは、さまざまな製品提供されています。マルウェア感染不正アクセスがないかをリアルタイム監視します。信頼できるセキュリティソフトを選んで情報機器インストールすることで、多くの種類サイバー攻撃から、ある程度保護することが可能です。

ただし、サイバー攻撃手法は日々進化しており、新しいマルウェアも次々に生まれているため、インストールしただけでは安心できません。変化していく状況対応するために、セキュリティソフト頻繁アップデートして、最新状態を保ちましょう。

5-2. 多要素認証を導入する


多要素認証は、ログインの際に複数認証方法を組み合わせる対策を言います。
以下の3要素のうち、2種類以上使用します。

ログイン情報は常に盗まれるリスクを抱えています。多要素認証導入により、どれかひとつの情報が盗まれたとしても、不正ログインを防げます。

知識情報 ID、パスワード、秘密の質問など
所持情報 スマートフォン、ICカードなど
生体情報 指紋、顔、声、静脈など

5-3. サイバーセキュリティに関する社内研修を実施する

社内研修を行い、従業員サイバーセキュリティについて理解を深めることも、サイバー攻撃への対策として有効です。
特に従業員のうっかりミスによるウィルス感染などを防ぐには効果的です。

研修では、不審メール添付ファイルを開くことでウィルス感染する、といった基本的事例共有します。
同時に、感染により、企業がどれだけ深刻被害を受ける可能性があるかも伝えるのがポイントです。セキュリティ対策意味目的理解させ、日頃業務において意識を持った行動心掛けるよう教育を行うことが重要になっています。

まとめ

サイバー攻撃は年々巧妙化し、種類多様化しています。近年ではランサムウェアサプライチェーン攻撃急増し、企業システムだけでなく、社員リモートワーク使用する端末取引先セキュリティ対策などにも注意必要です。攻撃事例を見ると、情報漏えいや業務停止など深刻被害発生しており、予防策として多層防御定期的アップデート社員教育が欠かせません。常に最新脅威動向把握し、組織全体対策強化することが求められます。

サイバー攻撃対策はKDDIへ

KDDIでは幅広サイバー攻撃への対策方法提供しています。国内はもちろん、海外拠点を持ちグローバル規模セキュリティ対策必要としている場合でも、KDDIなら対応可能です。

働く場所意識せず企業データ保護できる「ゼロトラストセキュリティ」でセキュリティ強化利便性向上双方実現し、貴社データを守ります。サイバー攻撃への対策検討中の方は、お気軽にご相談ください。

関連記事


ピックアップ