サイバー攻撃の種類には、マルウェア攻撃、フィッシング詐欺、標的型攻撃などさまざまなものがあります。サイバー攻撃の被害は年々拡大傾向にあり、手口も巧妙化しています。この記事では、サイバー攻撃の種類のほか、対策が必要な理由や動向について解説します。サイバー攻撃の被害事例も紹介するので、参考にしてください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
サイバー攻撃とは
サイバー攻撃とは、インターネットを介して被害を与える攻撃をまとめた名称です。システムの乗っ取りや破壊、情報の改ざん、データや金銭の窃取などの被害が想定されます。サーバやパソコン、スマートフォンのほか、IoT機器を含むデジタル機器全般が攻撃対象です。
関連記事:サイバー攻撃とは?目的や対策方法、被害事例や種類をわかりやすく解説
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロードサイバー攻撃の種類
サイバー攻撃の種類は、多種多様です。ここでは、主なサイバー攻撃について解説します。
マルウェア攻撃
マルウェア攻撃は、コンピュータシステムを攻撃する目的で作られたソフトウェアの総称です。ターゲットのパソコンやスマートフォンにマルウェアを感染させることで、デバイスを乗っ取ったり、情報を改ざんしたりします。
関連記事:マルウェアとは?種類、脅威や影響、必要な対策をわかりやすく解説
ランサムウェア攻撃
ランサムウェア攻撃は、マルウェア攻撃の一種です。インターネットやメールを経由してネットワークに侵入し、ファイルやデータベースにアクセスできなくしたり、パソコンをロックしたりします。
関連記事:ランサムウェアとは?感染経路と被害の状況、対策をわかりやすく解説
フィッシング詐欺
フィッシング詐欺は、偽装メールやサイト、SMSテキストメッセージ、デジタル広告など、さまざまな手段を悪用し、ユーザの個人情報を窃取する行為です。クレジットカード情報や銀行口座番号を入力させて、金銭を盗み取る場合もあります。
標的型攻撃
あらかじめ特定された対象へのサイバー攻撃です。マルウェアを添付したメールを送りつけ、端末を感染させる標的型攻撃メールが代表的な攻撃手法です。感染したパソコンを遠隔操作したり、外部へ機密情報や個人情報をメールで送信したりします。
関連記事:標的型攻撃メールを防御!失敗しないメールセキュリティ対策の選び方
サプライチェーン攻撃
企業や組織の業務上のつながりを逆手にとり、セキュリティ対策が万全な本来のターゲットに攻撃を仕掛けるサイバー攻撃です。サプライチェーンのなかで、最も侵入しやすい1社を足がかりにし、最終的なターゲットへの攻撃を狙います。
関連記事:サプライチェーンリスクとは?種類と特徴、主な原因とセキュリティ対策の基本を解説
ブルートフォース攻撃
ブルートフォース攻撃は、想定されるパスワードのパターンをすべて入力し、認証の突破を図るサイバー攻撃です。類似する攻撃方法として、パスワードに利用される機会が多い言葉を優先的に組み合わせる、辞書攻撃があります。
DoS/DDoS攻撃
DoS攻撃は、サーバが処理できない量の通信を発生させるサイバー攻撃です。サーバがダウンすることで、サービスが停止し、利益を損失したり、顧客や関係先からの信頼が低下したりします。DDoS攻撃はDoS攻撃を複数の端末から分散的かつ同時に行う攻撃です。
ゼロデイ攻撃
ゼロデイ攻撃は、ソフトウェアやOSなどの脆弱性を悪用したサイバー攻撃です。マルウェア感染や不正アクセスに対する修正プログラムが配布されるまでの空白期間を狙って、マルウェア感染や不正アクセスを狙います。
SQLインジェクション攻撃
SQLインジェクション攻撃は、Webサイトの脆弱性を悪用し、想定外の動作を起こさせる行為です。フォームに細工した不正なSQLが実行されることで、アクセス権のないデータを盗み見られたり、サイトを改ざんされたりします。
バッファオーバーフロー攻撃
バッファオーバーフロー攻撃は、ターゲットのパソコンやサーバなどに処理能力を超えるデータやコードを送信することで、オーバーフローの発生を狙った攻撃手法です。オーバーフローが発生すると、実行中のプログラムが強制停止する、管理者権限を乗っ取られるといったリスクが発生します。
Emotet(エモテット)
Emotet(エモテット)は、電子メールを介して抜き取ったメールアカウントやデータなどを悪用し、ほかのマルウェアに感染させるサイバー攻撃です。実際のメールのやりとりを参考にしているため、不正であるかの判断が困難です。
関連記事:Emotet(エモテット)とは?攻撃の流れ、感染拡大の背景、対策をわかりやすく解説
水飲み場型攻撃
水飲み場型攻撃は、普段アクセスする企業や組織のWebサイトを改ざんしてマルウェアを仕掛ける手法です。標的型攻撃の1つで、水を飲みに来た獲物を待ち伏せする肉食獣の狩りになぞらえて、命名されました。
クロスサイトスクリプティング
クロスサイトスクリプティングは、Webサイトの脆弱性を突いて仕掛けた悪質なコードを訪問者に実行させる攻撃手法です。掲示板や問い合わせフォームなどに仕掛けられることが多く、コードを実行すると、マルウェア感染や情報の窃取などの被害が発生します。
OSコマンドインジェクション
OSコマンドインジェクションは、Webサイトの入力フォームに不正な値を入力し、不正に操作する攻撃手法です。想定外の命令文がシステム上で実行されると、個人情報の流出やファイルの削除、マルウェア感染などの被害を受けます。
クロスサイトリクエストフォージェリ
クロスサイトリクエストフォージェリは、ユーザのリクエストを偽装し、あたかも本人がログインしているかのように見せかけるサイバー攻撃です。Webアプリやシステムにログインした状態で偽装サイトを訪問することで、不正なスクリプトが実行されます。
ルートキット攻撃
ルートキット攻撃は、不正アクセスを補助するプログラム群である「ルートキット」を使用したサイバー攻撃です。ルートキットには、不正アクセスを簡素化する複数のツールがパッケージ化されています。感染すると、さまざまな被害を受けたり、犯罪攻撃の踏み台にされたりします。
関連記事:ルートキットとは?攻撃の目的・仕組み・対策のほか、感染時の対処法も解説
セッションハイジャック攻撃
セッションハイジャック攻撃は、ターゲットのWebサイトへのセッションを乗っ取るサイバー攻撃です。Webサイトにアクセスする際のセッションIDを窃取し、Webサイトに不正にアクセスしたり、本人になりすましたりします。
ドメインハイジャック攻撃
ドメインハイジャック攻撃は、ドメインを乗っ取ることで不正アクセスを狙うサイバー攻撃です。Webサイトを不正に書き換えてマルウェアに感染させたり、情報を窃取したりします。攻撃を受けると、正規URLでアクセスしても改ざんしたサイトに誘導されます。
ディレクトリトラバーサル攻撃
ディレクトリトラバーサル攻撃は、本来参照しないパスを組み込み、意図しないファイルやディレクトリにアクセスさせる攻撃手法です。ファイルやディレクトリの内容を閲覧、窃取します。
クリックジャッキング
クリックジャッキングは、Webサイト上に不正なリンクやボタンを設置し、クリックさせるサイバー攻撃です。iframeを使って正規のWebページの上に悪意ある透明なページを重ね、リンクやボタンを偽装します。iframeはリンク先の内容を現在表示しているページのように表示できるHTMLタグです。
キーロガー
キーロガーは、パソコンやスマートフォンなどの入力情報を監視、記録するソフトウェアです。本来は、ログの確認や解析などに活用されるものですが、近年は、機能を悪用した情報の窃取が行われています。
関連記事:キーロガーとは?仕組みや感染経路、被害例から予防対策方法まで解説
APT攻撃
APT攻撃は、標的型攻撃の一種です。特定のターゲットに対して、綿密に計画を立て、継続的に攻撃を行います。従業員や取引先などを偽装し、マルウェアを添付したメールやURLを送信します。
中間者攻撃
中間者攻撃は、通信を行うユーザ同士のデータを暗号化する公開鍵を不正に盗み、盗聴や改ざんをするサイバー攻撃です。送信者と受信者の双方に成りすますため、攻撃を受けていると気が付きにくい特徴があります。
F5アタック
キーボードの「F5」キーを連打して、システムダウンを発生させるサイバー攻撃です。F5キーを押すことでWebサイトがリロードされるため、連打により、サービスが一時的に使えなくなり、顧客満足度の低下やブランドイメージの損失が生じます。
パスワードリスト攻撃
パスワードリスト攻撃は、不正アクセスやダークウェブから入手したターゲットIDやパスワード一覧を使って、システムやアプリケーションにログインする攻撃手法です。不正入手したID、パスワードを組み合わせて転用するケースも見られます。
ビジネスメール詐欺(BEC)
ビジネスメール詐欺(BEC)は、企業の経営者や海外の取引先を偽装し、入金を促すメールを送る詐欺の手口です。「振込先が変更になった」「入金がエラーになっている」など偽のメールを送り、詐欺師が用意した口座への不正送金を促します。類似手法に、ビジネスサポート詐欺があります。
関連記事:ビジネスメール詐欺(BEC)、被害額は約4,050億円にも上る脅威と対策
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロードサイバー攻撃への対策が必要である理由
サイバー攻撃は、さまざまな被害や損害を生じる可能性があります。例として、従業員や顧客情報の漏洩、身代金の要求といった被害が想定されます。
情報セキュリティ対策を怠ることで、顧客や取引先から損害賠償を請求されたり、漏洩した企業の銀行口座情報や法人クレジットカード情報を不正利用されたりと、金銭的な被害を被ることも考えられるでしょう。また、機密情報が漏洩したり、削除されたりすることで、業務停止に追い込まれかねません。
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロードサイバー攻撃の動向
NICT(国立研究開発法人情報通信研究機構)が運用している大規模サイバー攻撃観測網(NICTER)が令和5年に観測したサイバー攻撃の通信数は、約6,197億パケットでした。これは、平成27年と比べて、約10倍に増加しています。
サイバー攻撃の検挙数は年々増加し、令和5年は1万2,479件が検挙されました。情報窃取を意図した不正アクセスが多く発生したほか、インターネットバンキングによる不正送金の被害件数、被害額ともに高水準で推移しています。令和5年は特に、ランサムウェアを用いた金銭の要求、インターネットバンキングにおける不正送金の被害が深刻化しています。
※参考:令和6年版 犯罪白書 第4編/第5章/第3節/コラム7
※参考:総務省|令和6年版 情報通信白書|サイバーセキュリティ上の脅威の増大
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロードサイバー攻撃の被害事例
サイバー攻撃を受けることで実際に被害に遭った事例を2つ紹介します。
医療関連企業がランサムウェアにより業務が停止した事例
令和2年5月に、ドイツに本社をおく医療関連企業Fresenius(フレゼニウス)Groupが、ランサムウェアの攻撃を受けました。これにより、診療サービスを支援するコンピュータが暗号化され業務が停止し、製造や診療に深刻な影響を及ぼしました。また、患者の個人情報が窃取され、公開される被害も発生しています。
※参考:制御システム関連の サイバーインシデント事例7|IPA 独立行政法人 情報処理推進機構
半導体工場がランサムウェアにより操業を停止した事例
平成30年8月に、台湾の半導体製造企業 TSMC(Taiwan Semiconductor Manufacturing
Company Limited)がランサムウェアの攻撃に遭いました。これにより、多くのコンピュータと製造装置に影響を受け、3日間の生産停止を余儀なくされました。損害額は、営業利益ベースで最大190 億円にのぼります。日本国内でも、電機、自動車、鉄道など幅広い分野に影響を与えました。
※参考:制御システム関連の サイバーインシデント事例6|IPA 独立行政法人 情報処理推進機構
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロードまとめ
サイバー攻撃の種類には、ランサムウェア攻撃、サプライチェーン攻撃、キーロガーなどがあり、手法や目的もさまざまです。サイバー攻撃の被害は、年々増加傾向にあります。
サイバーソリューションズ株式会社では、コストパフォーマンスに優れ、さまざまなインフラ環境に対応したメール関連のサービスを提供しています。脅威防御対策・標的型攻撃対策をはじめ、なりすまし偽装メールのブロックや情報漏えいやマルウェア感染防止などセキュリティ・管理機能が充実しています。サイバー攻撃の被害防止のため、ぜひ利用をご検討ください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
Cloud Mail SECURITYSUITE 資料ダウンロード
資料ダウンロード
