サイバー攻撃とは？種類や被害事例、対策方法についてわかりやすく解説

金銭収奪

攻撃者が企業や個人から直接的に金銭を収奪することを目的とします。

たとえば、ランサムウェアによる身代金要求では、重要なデータを暗号化して復旧と引き換えに金銭を要求します。

オンラインバンキングを狙った不正送金も頻発しており、認証情報を盗んで攻撃者の口座に資金を転送する手口もサイバー攻撃の1つです。

こうした攻撃は組織的に行われることが多く、高い技術力と豊富な資金が大きな脅威となっています。

産業スパイ

企業を狙ったサイバー攻撃にフォーカスすると、競合他社の機密情報や技術情報を盗み出す産業スパイが多くあります。

特に研究開発データや顧客リスト、事業戦略などの知的財産が標的とされがちです。企業の競争優位性を奪うために、長期間にわたって潜伏し、情報収集を続けるAPT攻撃が典型的です。

IT企業では、ソースコードやアルゴリズムが攻撃対象となり、国家レベルでの産業スパイ活動も報告されています。

盗まれた情報は競合企業への売却や自社製品開発への流用など、長期的な経済的損失をもたらす可能性があります。

愉快犯

金銭的な利益ではなく、注目を集めることや破壊行為自体が目的であるケースもあります。

Webサイトの改ざんでは、政治的メッセージの掲載や企業イメージの毀損を狙うケースが多く見られます。

ハクティビストと呼ばれる集団は、特定の政治的・社会的主張を実現するためにサイバー攻撃を実行する集団です。彼らはSNSでの炎上や報道による注目獲得を狙います。

こうした攻撃は予測が困難で、突発的に大規模な被害をもたらす可能性があります。

個人

個人情報や金融情報の窃取を目的として、個人が標的となることがあります。

個人を標的とした攻撃では、ログイン情報やクレジットカード番号を騙し取るフィッシング詐欺が代表的です。

マルウェア感染による被害も頻発しており、パソコンやスマートフォンが乗っ取られてしまいます。

また、個人のデバイスが企業ネットワークへの侵入口として悪用されるケースもあります。

一般企業

近年、一般企業を狙ったサイバー攻撃が増加傾向にあります。

企業の顧客データベースには、氏名・住所・電話番号・購買履歴などの個人情報が大量に蓄積されているためです。

大企業だけでなく中小企業も含めて、セキュリティ対策が不十分な組織が狙われやすい傾向にあります。

たとえば、サプライチェーン攻撃では、セキュリティの弱い企業を踏み台として大手企業への侵入が試みられることがあります。

特に医療機関や金融機関は機密性の高い情報を扱うため、攻撃者にとって魅力的なターゲットとなっているのです。

政府機関

政府機関はサイバー戦争における重要な標的として位置付けられ、継続的な攻撃を受けています。

外交情報・軍事機密・経済政策などの国家レベルの機密情報は非常に高い価値を持つためです。

また、電力・水道・交通などの重要インフラが攻撃されるケースもあり、国民生活や経済活動が甚大な影響を受ける可能性があります。

政府機関への攻撃は、主に高度な技術と潤沢な資金を持つ大規模な攻撃グループによって実行されます。

ランサムウェア

ランサムウェアとは、ウイルスを感染させて所有者のデータを暗号化し、データの復元と引き換えに金銭を要求するサイバー攻撃のことです。英語で身代金を意味する「Ransom」とソフトウェアを意味する「Software」を掛け合わせて、ランサムウェアと呼ばれています。

ランサムウェアによるサイバー攻撃を受けると、顧客情報やサービス利用者の情報などの漏洩だけでなく、攻撃者から金銭を要求されます。

暗号化されたデータを復元することは難しく、サイバー攻撃をしてきた組織に金銭を支払ったとしても、データを確実に復元してもらえるという保証はありません。

ランサムウェアの被害を受けると、情報漏洩によって顧客やサービス利用者に迷惑をかけるだけでなく、多額の金銭を失うことになります。

【関連記事】ランサムウェアとは？感染経路や被害例、被害防止策や感染時の対処法を徹底解説

不正アクセス

不正アクセスとは、第三者が企業や個人のシステムやサービスへ不正にログインし、データの書き換え・消去や乗っ取りなどをするサイバー攻撃です。不正アクセスは企業のみならず、個人をターゲットとするサイバー攻撃としても知られています。

企業が不正アクセスによるサイバー攻撃を受けると、メールアドレスやクレジットカード情報などの個人情報の漏洩は避けられません。個人情報の漏洩により、迷惑メールが届く・クレジットカードが不正利用されるなどといった二次被害につながることも多くあります。

ほかにも、サービス利用者の登録情報が不正に書き換えられるケースも多く、不正アクセスを受けた被害を復旧させるために、提供しているサービスを一時停止せざるを得ない場合もあります。

【関連記事】不正アクセスとは？代表的な手口と被害に遭わないための対策

標的型攻撃

標的型攻撃とは、特定の団体や組織をターゲットに仕掛けるサイバー攻撃のことです。企業だけでなく国家機関や行政団体、協会団体が狙われるケースもあります。

代表的な手口はターゲットとなる企業や団体へ顧客を装い、ウイルスを感染させたファイルを添付したメールを送信するというものです。そのファイルを従業員などが開くと、企業や団体の電子端末がウイルスに感染し、攻撃者にサーバーへ侵入されます。

近年では、サイバー攻撃だと怪しまれないように、メールに役職名や業務内容を記載したり、何通かやり取りした上でウイルスを感染させたファイルを添付したりする事例も見られます。

標的型攻撃もほかのサイバー攻撃と同様に、企業が持つ個人情報や顧客情報を窃取する際に使われることがほとんどです。

【関連記事】標的型攻撃メールの被害事例｜手口の種類や最新事例・文面・見分け方を紹介

DoS・DDoS攻撃

DoS・DDoS攻撃は、企業のサーバーが処理しきれないほどアクセスを集中させて、ユーザーがサイトへアクセスしにくい状況を作るサイバー攻撃のことです。

DoS攻撃は「Denial of Service Attack」の略称であり、直訳すると「サービス拒否攻撃」になります。一方でDDoS攻撃は「Distributed Denial of Service Attack」と呼ばれ、日本語に訳すと「分散型サービス拒否攻撃」を意味します。

どちらもターゲットのサーバーに大きな負荷をかける攻撃ではあるものの、DoS攻撃とDDoS攻撃で次のような違いがあることを知っておいてください。

以上の特徴から、DDoS攻撃はDoS攻撃の進化版のようなサイバー攻撃として位置付けられています。実際に、DoS攻撃よりも複数の端末を使うDDoS攻撃は対策が難しく、セキュリティツールなどを利用しなければ十分な対策ができません。

DoS・DDoS攻撃を受けるとサイトにアクセスしにくい状況になるため、企業はサイト経由による問い合わせや売上が減少します。ほかには、DoS・DDoS攻撃を企業へ事前に予告し、攻撃しないことを引き換えに金銭を要求する脅迫行為を受ける恐れもあります。

【関連記事】DoS攻撃とは？DDoS攻撃との違いや効果的な対策方法を紹介

【関連記事】DDoS攻撃とは？主な種類と5つの対策方法を紹介

内部不正

企業の関係者が機密情報を持ち出したり漏洩したりするなど、組織内部の人間による不正行為が原因で被害が発生する場合もあります。

内部不正は、現在勤めている従業員だけでなく、企業の情報を知っている外注先や業務委託先、退職者などによって行われます。内部不正の手口はさまざまで、情報処理推進機構が2020年に実施した調査によると、「中途退職者（役員・正規社員）による漏洩」「現職従業員等の誤操作・誤認等による漏洩」「現職従業員等のルール不徹底による漏洩」の順で多い状況です。

（出典：情報処理推進機構「「企業における営業秘密管理に関する実態調査2020」報告書について」）

ほかにも、現職の従業員が金銭を得ることを目的に、営業計画や技術情報などをライバル企業へ漏洩させる行為も内部不正に該当します。

内部不正は外部から受けるサイバー攻撃よりも、被害が大きくなる傾向にあります。社内の内部事情を知っている従業員が情報を漏洩させることから、極めて重要な機密情報が外部に流出する場合がほとんどです。

また、社内での情報管理が疎かになっていると外部から判断され、大幅な信用喪失につながることも、被害が大きくなる理由として挙げられます。

クリックジャッキング

Webサイト上で透明なレイヤーを重ねてユーザーを視覚的に欺き、本来の意図とは異なるボタンやリンクをクリックさせる悪質な攻撃手法です。

ユーザーは通常のWebページを操作しているつもりでも、実際には隠された悪意のあるボタンをクリックしてしまいます。

知らないうちに投稿やオンライン購入が実行される被害が報告されており、ユーザーの意図しない情報漏洩や金銭的被害が発生する可能性があります。

Emotet

Emotetは、メール経由で感染を拡大するマルウェアの一種です。感染後は他のマルウェアの感染経路として利用され、被害を拡大させる特徴があります。

正規の取引先を装ったメールで添付ファイルやリンクをクリックさせ、システムに侵入を図るのです。

トロイの木馬やランサムウェアの配布プラットフォームとしても機能するため、二次被害のリスクが高まります。

【関連記事】Emotet（エモテット）とは？特徴や攻撃手法、効果的な対策方法を解説

サプライチェーン攻撃

サプライチェーン攻撃は、信頼できるソフトウェアやサービスを経由して標的を攻撃する手法です。第三者の製品やサービスを悪用することで高い成功率を実現します。

ソフトウェア開発会社のシステムに侵入し、正規のアップデートプログラムにマルウェアを混入させる手口が代表的です。

利用者は信頼している製品からの更新であるため、疑いを持たずにマルウェアをインストールしてしまいます。大手企業も含めて広範囲に被害が拡大するリスクがあります。

【関連記事】サプライチェーン攻撃とは？被害リスクと効果的な対策を紹介

ゼロデイ攻撃

ゼロデイ攻撃は、修正パッチが提供されていない脆弱性を悪用する攻撃です。防御側が対策を講じる前に攻撃が実行されるため、被害が深刻化しやすい特徴があります。

高度な技術力を持つ攻撃者によって行われることが多く、標的型攻撃の一環として使用されています。

脆弱性を発見する前に攻撃が行われるため、多層防御や異常検知システムの活用が重要となるのです。

【関連記事】ゼロデイ攻撃とは？よくある攻撃手口と対処法、効果的な対策

SQLインジェクション

SQLインジェクションは、Webアプリケーションのデータベースに不正なSQL文を実行させる攻撃です。

主な被害リスクとして、データベース内の情報の窃取や改ざんなどが挙げられます。

入力フォームやURLパラメーターに悪意のあるSQL文を挿入することで、アプリケーションの想定外の動作を引き起こします。

Webアプリケーションの入力値検証が不十分な場合に発生しやすく、開発段階でのセキュアコーディングが重要です。

【関連記事】SQLインジェクションとは？被害リスクや効果的な対策方法を解説

農林水産省（2013年）

2013年1月、農林水産省は2011年から2012年までの期間にわたって、内部文書などが外部に流出した可能性があることを公表しました。

この攻撃では、職員を装う標的型攻撃メールが送付され、高度な隠蔽技術を持つトロイの木馬型ウイルスが組織内に潜伏していました。

同年5月の調査結果では、2012年1月から4月にかけて5台のパソコンから合計124点の行政文書が流出した痕跡が確認されたと発表しています。

流出した文書には、省内外の個人情報や業務上の情報が含まれていました。しかし、いずれも「機密性2」以下の文書であり、秘密文書には該当しないとされています。

この事案では初動対応の遅れや部署間の情報共有不備、危機意識の欠如などが問題として指摘されました。

株式会社ファーストリテイリング（2019年）

ユニクロやGUなどで有名な株式会社ファーストリテイリングは、2019年に本人以外の第三者が登録者のアカウントにログインする不正アクセスによるサイバー攻撃の被害を受けました。

不正アクセスされたアカウント数は461,091件にものぼり、利用者の氏名・住所・電話番号・個人情報などが流出したと言われています。

サイバー攻撃を受けて株式会社ファーストリテイリングでは、不正アクセスのあった通信元を特定してアクセスを遮断しました。また、アクセス状況の監視を強化し、不正アクセスの再発防止に努めています。

不正ログインされたアカウント保有者に対しては、パスワードの再設定に関する連絡を個別で行い、セキュリティ面の強化を進めています。

みずほ銀行（2019年）

みずほ銀行は2019年に海外連結子会社ユーカリヘッジのシステムに、不正アクセスされるというサイバー攻撃を受けました。口座番号や暗証番号などの決済に関する情報は漏洩していないものの、利用者の氏名・連絡先・国名・ユーカリヘッジの商品に関する関心事項などの情報は流出しました。

ほかにも、ユーカリヘッジの有料サービスを契約している約500社の会社名・肩書き・契約内容なども外部へ流出しています。被害件数は最大で12万件にもおよぶ大規模なサイバー攻撃として、ニュースで大きく取り上げられました。

サイバー攻撃を受けてみずほ銀行およびユーカリヘッジでは、システムへの再侵入を防ぐために、管理者IDのパスワードの変更や、Webサイト管理システムへの外部アクセスを遮断するなどして対策しています。

情報処理サービス会社（2024年）

2024年7月、情報処理サービス会社がランサムウェア攻撃を受けました。

攻撃者はVPN経由で企業の社内ネットワークに侵入し、ランサムウェアを実行したことで、情報処理センターや全国営業拠点のデバイス・サーバーが暗号化されました。

この攻撃により約156万件の個人情報が漏洩し、攻撃者グループのリークサイトには窃取した情報のダウンロード用URLが掲載される事態となりました。

被害が拡大した要因として、契約に反して業務終了後にデータが削除されていなかったことが挙げられています。

この事案は、個人情報保護の重要性と適切なデータ管理体制の必要性を浮き彫りにしました。

大手航空会社（2024年）

2024年12月、国内の主要航空会社において、DDoS攻撃（分散型サービス拒否攻撃）による深刻なシステム障害が発生しました。

攻撃者は同社のネットワークインフラに対して集中的なデータ送信を実行し、通信処理能力の限界を超える負荷をかけました。

その結果、手荷物処理システムの機能が停止したことで、運航スケジュールに重大な支障をきたす状況となりました。

具体的な被害として、国内路線では4便の運航取り止めが決定され、国内外合わせて71便において出発時刻の遅れが生じています。加えて、チケット予約システムも一時的に利用できない状態となりました。

韓国の金融機関（2013年）

2013年3月、韓国において複数の金融機関と報道機関を標的とした同時多発的なサイバー攻撃が発生しました。

悪意のあるプログラムが一斉に作動し、数万台のコンピュータシステムが機能停止に追い込まれる事態となりました。

この攻撃により、ATMの稼働停止やオンラインバンキングのシステム中断が発生しています。

また、放送局においてもニュース制作システムが影響を受け、報道業務の継続が困難になるなど社会機能全体が麻痺状態となりました。

米国上下水道（2021年）

米国のフロリダ州にある上下水道は、2021年にインターネット経由でセキュリティを破って、水処理システムに不正侵入するというサイバー攻撃を受けました。

水酸化ナトリウムの投入量を高く設定されるという被害を受けたものの、設定値がおかしいことに現場担当者が気づき、供給される水に影響を及ぼすことはありませんでした。

なお、米国では上下水道をターゲットとしたサイバー攻撃が多発している状況です。米国の上下水道事業のほとんどが小規模であり、古い水処理システムが利用されていることから、サイバー攻撃を受けやすいと言われています。

米国では上下水道のシステムへの不正アクセスを防ぐことを目的に、システム監視による不審な活動の検知やリモートアクセスの保護などが推進されています。

オーストリア自治体（2022年）

2022年5月、オーストリアのカリンシア州行政当局が「ALPHV」と呼ばれるBlackCatランサムウェア集団による大規模な攻撃を受けました。

この攻撃によって州内の行政システムが深刻な被害を受け、住民向けサービスの提供が困難な状況に陥りました。

具体的には、旅券発行業務や交通違反処理システムをはじめとする重要な行政サービスが停止し、住民生活に大きな支障をきたしています。

当局は被害拡大を防ぐため、約3,700のシステムを予防的に停止させ、電子メール機能や裁判所業務、行政電話回線の一部が使用不能となりました。

香港の多国籍企業（2024年）

2024年2月、香港に拠点を置く多国籍企業において、AI技術を悪用した史上最大規模の詐欺事件が発生しました。

詐欺集団はCFO（最高財務責任者）を装い、ビデオ会議への参加を求めるメールを会計担当者に送信しました。

会議では本物そっくりのディープフェイク技術により、CFOや同僚の映像が偽造され、正規の取引であると信じ込ませる巧妙な手口が使われています。

担当者は指示に従って銀行送金手続きを実行し、結果として総額2億香港ドル（約38億円）という巨額の被害が発生しました。

ロンドン交通機関（2024年）

2024年9月、ロンドンの公共交通網を管轄する交通当局が組織的なサイバー攻撃の標的となりました。

この攻撃により利用者の個人データが外部に流出し、氏名や連絡先、住所情報などが不正に取得されました。

特に深刻だったのは、約5,000人分の銀行口座データや交通ICカード払い戻し情報への不正侵入です。

攻撃の影響でオンライン申請フォームやタッチレス決済機能が一時停止し、交通サービス全体に混乱が生じました。

セキュリティ対策ソフト・サービスを導入する

サイバー攻撃は、セキュリティ対策ソフト・サービスを導入することで防げます。セキュリティ対策ソフト・サービスは、電子端末に流入したウイルスの感染予防や駆除をするだけでなく、不正アクセスや情報漏洩を防止する機能が備わっています。

セキュリティ対策ソフト・サービスを導入するメリットは、サイバー攻撃の件数として多いランサムウェアや不正アクセスを防げることです。サイバー攻撃を防ぐ基本として、セキュリティ対策ソフト・サービスを導入する企業がほとんどです。

セキュリティ対策ソフト・サービスを選ぶ際は、セキュリティ面が万全なのかを必ずチェックしてください。利用者の口コミや過去のセキュリティ被害などを調べると、安心して利用できるセキュリティ対策ソフト・サービスなのか知ることができます。

OS・ブラウザを常に最新版にアップデートする

サイバー攻撃を防ぐためには、OSやブラウザを常に最新版にアップデートすることも重要です。サイバー攻撃を仕掛ける組織は、システムの脆弱性を狙って不正アクセスなどを行います。

OSやブラウザを最新版にアップデートしていない状態では、脆弱性のあるシステムを使い続けることになるため、サイバー攻撃を仕掛ける組織のターゲットになりやすいと言えます。

社内で利用するOSやブラウザを最新版に保ち続けるには、セキュリティに関するアップデートを自動更新するように設定しておくことが大切です。自動更新にしておけばアップデートのし忘れを防げるため、OSやブラウザを常に最新版で使い続けられます。

不審なサイト・メールに関する注意喚起をする

サイバー攻撃を防ぐためには、社内で不審なサイト・メールに関する注意喚起をすることも欠かせません。不審なサイト・メールには、ウイルスが仕込まれていることが多く、開くだけで感染することが少なくありません。

たとえば、誰から送られてきたのかわからないサイト・メールは、不審なサイト・メールの可能性が高く、安易に開くことを控えてください。

不審なサイト・メールによるサイバー攻撃を防ぐためには、社内でセキュリティ教育を実施することが大切です。不審なサイト・メールによるサイバー攻撃の事例や、実際に不審なサイト・メールが手元に届いたときの対処法を伝えると、被害を未然に防げるでしょう。

端末の持ち出し・持ち込みの管理を徹底する

サイバー攻撃を防ぐ場合、外部だけでなく内部にも目をむける必要があります。社内での情報の取り扱い方が原因でサイバー攻撃を受けるケースも多いため、端末の持ち出し・持ち込みの管理を徹底することもあわせて取り組みましょう。

社内で使っている端末を持ち出すと、どこで情報を窃取されるかわかりません。たとえば、従業員がカフェなどで利用できる無料Wi-Fiを使って仕事をした場合、無料Wi-Fiを経由して情報が窃取される恐れがあります。

従業員がプライベートで使っている電子機器を社内へ持ち込むことを許可している場合、個人の電子端末へ社内情報を取り込まれてしまう可能性がゼロではありません。結果として、内部不正が起こりやすくなります。

端末の持ち出しが多い企業では、持ち出し専用の端末を用意したり、強固なセキュリティ対策をしたりすると、サイバー攻撃を受けにくくなります。端末の持ち込みは原則禁止にする、もしくは許可制にするなどして、管理を徹底することがおすすめです。

退職者のアクセス権限をすぐに取り消す

内部不正による被害を重点的に防ぎたい場合は、退職者のアクセス権限をすぐに取り消すことが重要です。内部不正は現在勤めている従業員だけでなく、退職者によって行われる恐れもあります。

退職者に与えたアクセス権限を消去せずに放置しておくと、退職者によって社内で保有している顧客情報を悪用されるかもしれません。また、データの改ざんやシステムを不正操作される可能性も高くなります。

退職者が出た際には、与えていたアクセス権限を速やかに削除するだけでなく、社内のシステムにアクセスしてはならない誓約を退職者と交わすことが大切です。

インシデント対応計画を策定する

サイバー攻撃を受けた際の対応手順を事前に定めておく必要があります。迅速な初動対応により、被害の拡大を最小限に抑えることが期待できるためです。

インシデント発生時の役割分担、連絡体制、復旧手順を明確に文書化し、定期的な訓練を実施することが重要です。

また、外部の専門機関やベンダーとの連携体制も構築しておきましょう。

法執行機関への届出や顧客への通知など、法的要件も含めた包括的な対応計画の策定により、組織の信頼性維持と事業継続性の確保が実現されます。

多要素認証を導入してパスワード管理を強化する

パスワードに加えて複数の認証要素を組み合わせることで安全性が向上します。

具体的には、SMS認証、認証アプリ、ハードウェアトークン、ワンタイムパスワードなど、さまざまな認証方法を組み合わせた多層的なアプローチが必要です。

特に管理者アカウントや機密情報にアクセスする権限については、より厳格な認証要件を設定することで、組織全体のセキュリティレベルを向上させることが期待できます。

なお、多要素認証のメリットや活用方法については以下の記事で詳しく解説しています。

【関連記事】多要素認証（MFA）とは？二要素認証・二段階認証との違いやメリットを解説

ペネトレーションテストを実施する

ペネトレーションテストとは、システムの脆弱性を事前に発見するための疑似攻撃テストのことです。専門家による客観的な評価により、潜在的なリスクを特定できるメリットがあります。

実際の攻撃手法を模倣したテストを行うことで、理論的なセキュリティ対策では発見できない実用的な脆弱性を洗い出します。

ネットワーク、Webアプリケーション、モバイルアプリなど、さまざまな対象に対して包括的なテストを実施することが重要です。

定期的な実施により継続的なセキュリティ改善を図り、攻撃者に先んじて弱点を発見・修正することで、組織の防御力を持続的に強化することが可能です。ペネトレーションテストの詳細は以下の記事で解説しています。

【関連記事】ペネトレーションテスト（侵入テスト）とは？種類・やり方・導入の流れを徹底解説