サイバー攻撃34種類の手口と対策を徹底解説!最新の被害事例も紹介
「サイバー攻撃にはどのような種類があるの?効果的な対策方法を知りたい」という疑問がある方もいるでしょう。
サイバー攻撃とは、コンピューターやインターネットを利用した悪意ある攻撃のことです。
ランサムウェアやフィッシング攻撃、SQLインジェクションなどさまざまな手口が存在し、金銭盗取や機密情報窃取といった目的で実行されています。
この記事では、サイバー攻撃の手口や攻撃者の目的、最新の被害事例、効果的な対策方法について詳しく解説します。
目次
[ 開く ]
[ 閉じる ]
- サイバー攻撃は年々増えている
- そもそもサイバー攻撃とは
- サイバー攻撃を受けたことがある企業の割合は約3割
- 情報セキュリティ10大脅威 2025
- サイバー攻撃の手口は主に4つ
- 特定のターゲットを狙った攻撃の種類一覧
- ランサムウェア
- 標的型攻撃
- サプライチェーン攻撃
- キーボードロギング
- エモテット
- ドライブバイダウンロード攻撃
- MITB攻撃
- APT攻撃
- 水飲み場攻撃
- スプーフィング攻撃
- ビジネスメール詐欺
- 不特定多数を狙った攻撃
- フィッシング
- ビッシング攻撃
- ゼロクリック攻撃
- ジュースジャッキング攻撃
- ドメイン名ハイジャック攻撃(タイポスクワッティング)
- 中間者攻撃(MITM攻撃/マン・イン・ザ・ミドル攻撃)
- ネットワークの脆弱性を狙った攻撃の種類一覧
- SQLインジェクション
- OSコマンド・インジェクション
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- ゼロデイ攻撃
- ルートキット攻撃
- セッションID固定化攻撃
- フォームジャッキング攻撃
- バッファオーバーフロー攻撃
- ディレクトリ・トラバーサル攻撃
- DNSキャッシュポイズニング
- サーバーなどに負荷をかける攻撃(DoS攻撃/DDoS攻撃)の種類一覧
- フラッド型攻撃
- F5アタック
- ランダムサブドメイン(DNS水責め攻撃)
- スマーフ攻撃
- PoD(Ping of Death)
- メールボム攻撃
- 攻撃者がサイバー攻撃を行う主な目的
- 金銭盗取
- 機密情報の窃取
- 企業のイメージダウン
- 政治的・社会的な主張
- 愉快犯・自己顕示欲
- 【2025年】サイバー攻撃による被害事例
- 大手損害保険会社がサプライチェーン攻撃で顧客情報を流出
- 大手航空会社がDDos攻撃でシステム障害
- バイオテクノロジー企業でメールアカウントの乗っ取り
- 全国にキャンパスを構えるマンモス大学がランサムウェアに感染
- 保険ショップ大手がランサムウェア攻撃で個人情報が漏洩
- サイバー攻撃の対策
- セキュリティポリシーの策定
- OS・ブラウザを常時最新版にアップデート
- 不審なサイト・メールへの注意喚起
- 端末の持ち出し・持ち込みの徹底管理
- 退職者のアクセス権限の消去
- 社内研修の実施
- 多要素認証の導入
- IDS/IPSの導入
- WAFの導入
- セキュリティ対策ソフト・サービスを導入
- まとめ
サイバー攻撃は年々増えている
警察庁が公表した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー攻撃の脅威は深刻化の一途を辿っています。
2024年には政府機関や重要インフラ事業者等に対するDDoS攻撃、情報窃取を目的としたサイバー攻撃、国家を背景とする暗号資産獲得を目的とした攻撃事案が相次いで発生しました。
脆弱性探索行為等の不審なアクセス件数は、1日・1IPアドレス当たり9,520.2件と、前年比4.1%増加しています。
また、ランサムウェア被害報告件数は222件、フィッシング報告件数も前年比で約52万件増加するなど、サイバー空間における脅威の拡大が顕著に表れている状況です。
そもそもサイバー攻撃とは
そもそもサイバー攻撃とは、コンピューターやインターネットを利用した攻撃のことを指します。
攻撃者(ハッカー)がコンピューターシステムに不正に侵入したり、ウイルスやマルウェアを送り込んだりして、情報の窃盗やシステム破壊などを行うのです。近年ではその攻撃対象の範囲は広がっており、企業だけでなく、個人でも被害に遭うことがあります。
サイバー攻撃については以下の記事で詳しく解説しているので、ぜひご一読ください。
サイバー攻撃を受けたことがある企業の割合は約3割
帝国データバンクが2025年に実施した「サイバー攻撃に関する実態調査(2025年)」によると、過去にサイバー攻撃を受けた経験がある企業の割合は32.0%に達しています。
規模別では大企業が41.9%と最も高く、中小企業が30.3%、小規模企業が28.1%という結果となりました。
特に注目すべきは、直近1ヶ月以内にサイバー攻撃を受けた中小企業の割合が6.9%、小規模企業が7.9%となっており、過去の期間と比較して最も高い数値を示していることです。
警察庁の発表によれば、2024年の中小企業におけるランサムウェアの被害件数は前年比37%増加しています。
情報セキュリティ10大脅威 2025
独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」では、2024年に社会的影響が大きかった情報セキュリティ事案から、研究者や企業実務担当者など約200名による審議・投票を経て脅威順位が決定されています。
組織向け脅威の第1位は「ランサム攻撃による被害」となっており、10年連続でトップ10入りを果たしている深刻な脅威です。
第2位の「サプライチェーンや委託先を狙った攻撃」、第3位の「システムの脆弱性を突いた攻撃」に続き、「内部不正による情報漏えい等」「機密情報等を狙った標的型攻撃」といった従来からの脅威も上位にランクインしています。
注目すべきは第7位に「地政学的リスクに起因するサイバー攻撃」が初選出されたことで、国際情勢の変化がサイバー空間にも影響を与えている現状を反映しています。
サイバー攻撃の手口は主に4つ
ここまで、サイバー攻撃の特徴や近年の動向について解説しました。特に企業がサイバー攻撃の被害に遭ってしまうと、結果的に社会的信頼を失うことに繋がりかねません。
ここでは、サイバー攻撃の主な手口を4つ紹介します。
- 特定のターゲットを狙った攻撃
- 不特定多数を狙った攻撃
- ネットワークの脆弱性を狙った攻撃
- サーバーなどに負荷をかける攻撃
サイバー攻撃の対策を策定するためにも、まずは敵の犯行の手口を知ることから始めましょう。
特定のターゲットを狙った攻撃の種類一覧
まずは、特定のターゲットを狙った攻撃の種類を一覧で紹介します。
主に以下の11種類です。
- ランサムウェア
- 標的型攻撃
- サプライチェーン攻撃
- キーボードロギング
- エモテット
- ドライブバイダウンロード攻撃
- MITB攻撃
- APT攻撃
- 水飲み場攻撃
- スプーフィング攻撃
- ビジネスメール詐欺
それでは、順番に解説します。
ランサムウェア
ランサムウェアとは、コンピューターやデータを攻撃して、そのデータにアクセスできなくなるように暗号化して、暗号解除のために身代金を要求する攻撃方法です。
ランサムウェアは、身代金を要求するだけでなく、コンピューターに侵入すると悪意のあるコードが読み込まれ、プログラムやファイルの追加や削除、パスワードの復元、さらには、インターネット上から他の悪意のあるプログラムをダウンロードが行われる場合があります。
標的型攻撃
標的型攻撃は、特定の組織や個人を狙った精密な攻撃で、メールやWebサイトを通じてスパイウェアを送り込んだり、社員のアカウント情報を不正に入手したりすることで侵入します。
企業における重要な情報を盗難されてしまうと、深刻な損害を被る恐れがあるため、不用意にメールを開封しないなどの従業員教育を徹底することが必要でしょう。
標的型メールについては以下の記事で詳しく解説しているので、ぜひ参考にしてみてください。
サプライチェーン攻撃
サプライチェーン攻撃とはその名の通り、サプライチェーンの脆弱性を突いて間接的な標的を攻撃する手法です。サプライチェーンとは物を作る・売るという一連のプロセスを指します。
セキュリティ対策が比較的ゆるく、脆弱性のある中小企業を経由して、ターゲット先である大手企業に攻撃を仕掛けます。
サプライチェーン攻撃については以下の記事で詳しく解説しているので、ぜひご一読ください。
キーボードロギング
キーボードロギングは、キーボード入力内容を記録するマルウェアを使った攻撃です。例えば、オンラインショッピングの際に入力したクレジットカード番号や銀行口座情報、パスワードなどが盗まれることがあります。
キーボードロギングは一度侵入したコンピューターに対して継続的に情報を盗み続けることができるため、早急に対処しないとさらなる被害を受ける可能性もあるので注意しましょう。
エモテット
エモテットは、スパムメールなどを通じて感染させたパソコンを制御し、機密情報の盗難など悪意ある活動を行うマルウェアです。一度感染すると、感染した端末の情報を元に他の端末にも感染を広げることができてしまいます。
また、スパムメールによってユーザーに偽の請求書や納品書を送信し、悪意あるマクロを実行させることで感染を広げるという特徴もあります。
エモテットについては以下の記事で詳しく解説しているので、ぜひ参考にしてみてください。
ドライブバイダウンロード攻撃
ドライブバイダウンロード攻撃とは、Webサイトを閲覧中に不正なプログラムが自動的にダウンロードされ、端末に感染する攻撃です。特に何もクリックしていなくても感染するため、気付かずにウイルスに感染してしまうことがあります。
感染した場合、パスワードなどの個人情報が盗まれたり、コンピューターが制御不能になってしまったりといった被害が想定されます。最近ではメールやSNSを利用したドライブバイダウンロード攻撃も増加しているため、不審なリンクや添付ファイルには十分注意が必要です。
また類似した攻撃に、ランダムに生成されたドメイン名を用いて、不正なコンテンツを配信するガンブラー攻撃というものがあります。
不正なプログラムによって被害を与える点では共通していますが、ガンブラー攻撃は被害者をランダムに選ぶためドライブバイダウンロード攻撃よりも攻撃対象の範囲が広くなっています。
MITB攻撃
MITB(Man-in-The-Browser)攻撃とは、ハッカーが被害者のブラウザとサーバーの間に侵入して、情報を盗み出したり、改ざんしたりする攻撃手法です。
MITB攻撃を受けると、ユーザーのブラウザは正規のサーバーと通信すると同時に、ハッカーの偽サイトにも情報を送信してしまい、個人情報が盗まれてしまう可能性があります。MITB攻撃については以下の記事で詳しく解説しています。
APT攻撃
APT攻撃とは、ターゲットを特定して長期間にわたり情報を収集し、標的を狙った攻撃を仕掛ける高度な攻撃手法です。一般的なサイバー攻撃よりも複雑で緻密であり、攻撃者が標的に合わせて攻撃内容を変化させるため、発見が難しくなっています。
被害には機密情報の漏洩や、システムの破壊などがあり、企業や国家などの重要な組織が狙われることが多いです。
なお、APT攻撃については以下の記事も参考にしてみてください。
水飲み場攻撃
水飲み場攻撃とは、特定の組織や業界に関連するWebサイトを妨害し、そのWebサイトを訪れた利用者に対して、不正なプログラムを仕掛ける攻撃手法のことです。何度もアクセスする場所=水飲み場として、この名がつけられました。
水飲み場攻撃については、以下の記事もご参考ください。
スプーフィング攻撃
スプーフィング攻撃とは、偽装をすることで正当なユーザーになりすまし、不正なアクセスや情報盗取をする攻撃手法です。
偽装するものによってスプーフィング攻撃は、主に以下の3つに分類できます。
| スプーフィング攻撃の種類 | 偽装するもの |
|---|---|
| IPスプーフィング | IPアドレス |
| ARPスプーフィング | 応答 |
| メールスプーフィング | 電子メールの送信者情報 |
これらのスプーフィング攻撃は、ネットワークやシステムの脆弱性を突いて行われるため、セキュリティ対策の重要性が高まっています。
ビジネスメール詐欺
ビジネスメール詐欺は、盗み見た電子メールをもとに自社や取引先の事業経営者に成りすまし、偽のメールを送信して入金を要求する詐欺行為です。メール詐欺に騙されないためにも、組織全体でのセキュリティ意識の向上や、正規の取引先との取引に関する確認手続きの徹底などが必要です。
不特定多数を狙った攻撃
続いて、不特定多数を狙った攻撃を一覧で紹介します。
主に以下の6種類です。
- フィッシング
- ビッシング攻撃
- ゼロクリック攻撃
- ジュースジャッキング攻撃
- ドメイン名ハイジャック攻撃(タイポスクワッティング)
- 中間者攻撃(MITM攻撃/マン・イン・ザ・ミドル攻撃)
それでは、順番に解説します。
フィッシング
フィッシングは、実在する企業の正規サービスに偽装し、個人情報や機密情報を盗む詐欺行為のことです。例えば、クレジットカード会社やネットバンク事業者に偽装し、IDやパスワードなどの情報を盗み取るケースが考えられます。
また、メールアドレスへのフィッシング詐欺がフィッシングメールと呼ばれることに対して、電話番号を宛先にしたSMSを利用するフィッシング詐欺を「スミッシング」と呼びます。スミッシングはフィッシングの一種と認識しましょう。
フィッシング詐欺については以下の記事で詳しく解説しています。
ビッシング攻撃
ビッシング攻撃は、フィッシングの一種で、正規サービスに偽装し、電話を使って個人情報や機密情報を盗む攻撃です。リバースビッシングとの違いは、ハッカーと被害者のどちらから電話をかけているかです。
ビッシングは、ハッカー側から被害者に電話をかけるのに対し、リバースビッシングは、被害者からハッカー側に電話をかけて起こります。
ゼロクリック攻撃
ゼロクリック攻撃とは、申し込んだ覚えのない商品やサービスについて、突如Webページに表示される「登録が完了しました」や「料金が発生しました」といったメッセージに誘導され、ユーザーから金銭を騙し取る攻撃手法です。
ゼロクリック攻撃は、最新のセキュリティソフトアプリケーションでも完全に防ぐことが難しいため、できる限りの対策をして、予防しましょう。
ジュースジャッキング攻撃
ジュースジャッキング攻撃とは、公共の充電スポットやUSBポートなどに細工をすることで、接続しているデバイスから内部の情報を盗む攻撃手法です。公共のツールや電波を使わないことで、ジュースジャッキング攻撃は対策できます。
ドメイン名ハイジャック攻撃(タイポスクワッティング)
ドメイン名ハイジャック攻撃(タイポスクワッティング)とは、有名なWebサイトのドメイン名のタイプミスをした場合に、意図せず偽のWebサイトに接続される攻撃手法です。
例えば、本来のWebサイトが「example.com」だとすると、ドメイン名ハイジャック攻撃による偽のWebサイトは「examp1e.com」や「examplle.com」など、元のドメイン名とよく似たドメイン名を使用していることが特徴になります。
中間者攻撃(MITM攻撃/マン・イン・ザ・ミドル攻撃)
中間者攻撃とは、通信経路に第三者が介入し、通信の内容を盗聴・改ざんする攻撃手法です。暗号化通信の導入やVPNの使用、信頼できるWi-Fiスポットの利用、DNSサーバーの正当性の確認など、セキュリティ対策をすることで対策しましょう。
中間者攻撃の詳細については以下の記事で解説しています。
ネットワークの脆弱性を狙った攻撃の種類一覧
そもそもネットワークの脆弱性とは、プログラムのバグや不具合、設計上のミスにより発生するセキュリティ上の欠陥のことです。
ここでは、OSやWebサイトなどネットワークの脆弱性を狙ったサイバー攻撃を一覧で紹介します。
主に以下の11種類です。
- SQLインジェクション
- OSコマンド・インジェクション
- クロスサイトスクリプティング(XSS)
- クロスサイトリクエストフォージェリ(CSRF)
- ゼロデイ攻撃
- ルートキット攻撃
- セッションID固定化攻撃
- フォームジャッキング攻撃
- バッファオーバーフロー攻撃
- ディレクトリ・トラバーサル攻撃
- DNSキャッシュポイズニング
それでは、順番に解説します。
SQLインジェクション
SQLインジェクションとは、脆弱性を利用し、想定されない断片的なSQL文をアプリケーションに「注入(インジェクション)」する攻撃手法です。データベースが不正に読み取られたり改ざんされたりする可能性があります。
SQLインジェクションの詳細は以下の記事でご確認ください。
OSコマンド・インジェクション
OSコマンド・インジェクションとは、不正なコマンド、つまり命令文を「注入(インジェクション)」することで被害を発生させる攻撃手法です。SQLインジェクションと異なるのは、SQL文ではなく、OSコマンドを送信することでサーバーに不正アクセスすることです。
OSコマンド・インジェクションについては以下の記事で詳しく解説しているので、ぜひご一読ください。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティングとは、ブログや掲示板、Twitterなどのユーザーからの入力内容を元にWebページを作成するサイトやアプリケーションの脆弱性を利用した攻撃手法です。
ハッカーが上記のサイトやアプリケーションに罠を設置し、ユーザーがリンクをクリックすると、別のWebサイトに遷移させてしまいます。
クロスサイトスクリプティングの詳細は以下の記事で解説しています。
クロスサイトリクエストフォージェリ(CSRF)
クロスサイトリクエストフォージェリとは、問い合わせフォームや掲示板などを処理するWebアプリケーションの脆弱性を利用する攻撃手法です。
この攻撃に遭うと、自身の意図しないリクエストが送信され、掲示板に意図しない書き込みが起こり得ます。詳細は以下の記事をご確認ください
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの脆弱性が発見されてから間髪を容れずに穴を突いて狙う攻撃手法です。対策をする前の短い期間を狙って攻撃を仕掛けるため、ゼロデイ攻撃は防ぐことが難しいとされています。
しかし、近年ではAIを活用し未知の攻撃を予測するツールもあるため、ゼロデイ攻撃への対策も可能になりつつあります。ゼロデイ攻撃の詳細は以下の記事をご確認ください。
ルートキット攻撃
ルートキット攻撃は、システムやウイルス対策ソフトから侵入の痕跡を隠すツールであるルートキットを、情報端末に感染させられる攻撃手法です。特徴として、ウイルス対策ソフトから隠れるため、ルートキットの検知と駆除が難しいことが挙げられます。
ルートキットについては以下の記事で詳しく解説しています。
セッションID固定化攻撃
セッションID固定化攻撃とは、ユーザーに偽装するため、セッションIDをハッカーが事前に用意したものに強制的に変更させる攻撃手法です。
悪質なスクリプトを脆弱性のある入力フォームやログインフォームに仕掛け、ユーザーがそのフォームに入力するとスクリプトが実行され、事前に用意されたユーザーのセッションIDに変更されます。
フォームジャッキング攻撃
フォームジャッキングとは、脆弱性を利用し、情報を盗むために悪質なスクリプトを入力フォームに設置する攻撃手法です。セッションID固定化攻撃と似ていますが、フォームジャッキング攻撃はIDに拘らず、個人情報全般を盗む意図があります。
バッファオーバーフロー攻撃
バッファオーバーフロー攻撃とは、プログラムが受け取る入力データのサイズを制限せずに処理することで、Webサーバのキャパシティ以上の不正データを送り付ける攻撃手法です。キャパシティ以上の量のデータをハッカーが送ることでサーバーやシステムに誤作動を起こさせます。
ディレクトリ・トラバーサル攻撃
ディレクトリ・トラバーサルとは、公開されていないディレクトリ(ファイル)にアクセスして機密情報を盗み出す攻撃手法です。ハッカーは、ネットワーク上に公開されているディレクトリから、許可されていないディレクトリに不正にアクセスし、データの改ざん・削除します。
ディレクトリ・トラバーサル攻撃については以下の記事で解説しています。
DNSキャッシュポイズニング
DNSキャッシュポイズニングとは、DNSサーバーに保存されているDNSキャッシュに虚偽の情報を記録させて、ユーザーを別のサーバーと通信するように誘導する攻撃手法です。
DNSキャッシュポイズニング攻撃では、ハッカーはDNSリクエストを送信し、偽のDNS情報をDNSサーバーのキャッシュに置換させます。これにより、正しいWebサイトのドメイン名に対して、偽のIPアドレスが返されるため、ユーザーはハッカーの偽のサーバーに誘導されます。
サーバーなどに負荷をかける攻撃(DoS攻撃/DDoS攻撃)の種類一覧
特殊なプログラムを使い、サーバーに負荷をかける攻撃は、「DoS攻撃」と「DDoS攻撃」の大きく2つに分類されます。
DoS攻撃は、目的のサービスを利用不能にすることを狙った攻撃です。ハッカーは、サーバーに大量のリクエストを送信することで、サービスの提供を妨害します。
一方でDDoS攻撃は、複数のコンピューターから発信された大量のリクエストを用いて、サーバーやネットワークをオーバーロードさせる攻撃です。
ここでは、DoS攻撃/DDoS攻撃をより細分化した6種類の攻撃を一覧で紹介します。
- フラッド型攻撃
- F5アタック
- ランダムサブドメイン(DNS水責め攻撃)
- スマーフ攻撃
- PoD(Ping of Death)
- メールボム攻撃
それでは、順番に解説します。
フラッド型攻撃
フラッド型攻撃とは、ネットワークやサーバーに大量のリクエストを送り込むことで、サーバーの動作を妨害する攻撃のことです。
フラッド攻撃は、サーバーに送るもので、以下の5つに分類できます。
| フラッド攻撃の種類 | サーバーに送るもの |
|---|---|
| SYNフラッド攻撃 | SYNパケット |
| FINフラッド攻撃 | FINパケット |
| ACKフラッド攻撃 | ACKパケット |
| UDPフラッド攻撃 | UDPパケット |
| DNSフラッド攻撃 | 無効な名前解決のリクエスト |
フラッド型攻撃を未然に防ぐためには、サーバーのセキュリティ設定の強化や、キャッシュの最適化などが必要です。
F5アタック
F5アタックとは、Webアプリケーションに対して、F5キーを押し続けることでリロードを繰り返す攻撃手法です。この攻撃は比較的シンプルで実行しやすく、攻撃者がF5キーを連打するだけで、Webサーバーに大量のリクエストを送信し、サーバーに過負荷をかけます。
この過負荷により、Webサーバーが停止したり、ダウンしたりする可能性があります。F5アタックの詳細は以下の記事をご確認ください。
ランダムサブドメイン(DNS水責め攻撃)
ランダムサブドメイン攻撃は、特定のドメインに対してランダムなサブドメインを追加して、DNSサーバーに大量のリクエストを送信する攻撃手法です。DNSサーバーに対するDoS攻撃の一種です。
ドメインに対して、a.abc.comやb.abc.comなどのランダムなサブドメインを生成し、DNSサーバーにリクエストを送信します。
ランダムなサブドメインを使用しているため、DNSリゾルバのキャッシュには該当する情報が存在せず、DNSサーバーがリクエストを処理する際に多くのメモリを必要とします。そのため、DNSサーバーが過負荷状態に陥り、サービス提供を停止する可能性があるでしょう。
スマーフ攻撃
スマーフ攻撃は、ネットワークに接続された機器に大量の偽造されたICMPパケットを送信することで、ネットワークをダウンさせるDoS攻撃の一種です。
ハッカーはプライマリアドレスを指定し、偽装されたICMPエコーリクエストを送信します。このパケットには、攻撃対象のIPアドレスが送信元アドレスに偽装されます。
仮に、すべての機器がICMPエコーリクエストに対してICMPエコーリプライパケットを返信しようとしたとしましょう。すると、この返信パケットが大量に攻撃対象のIPアドレスに送信されるため、ネットワーク上のリソースが枯渇し、ネットワークがダウンする可能性が考えられるのです。
PoD(Ping of Death)
PoDは、ネットワークに接続されたときに送信される、異常に大きなコンピュータサイズのICMPパケット(エコーリクエスト)を利用して、ネットワーク機器をクラッシュさせるDoS攻撃の一種です。
通常、ICMPパケットのサイズは64KB以下の必要がありますが、PoDではこの制限を超えるサイズのICMPパケットを送信できます。そのため、処理能力を超え、クラッシュやフリーズを引き起こします。
PoDの詳細について知りたい方は以下の記事をご確認ください。
メールボム攻撃
メールボム攻撃(Mail Bombing)は、特定のメールアドレスに対して、大量のメールを送信することで、メールサーバーを攻撃するDoS攻撃の手法です。ハッカーは短い間隔で繰り返し、大量のメールを送信することで、受信者のメールボックスをフルにすることが目的になります。
攻撃者がサイバー攻撃を行う主な目的
サイバー攻撃を実行する動機は多岐にわたりますが、攻撃者の背景や狙いによって明確な傾向が見られます。ここでは、攻撃者がサイバー攻撃を行う主な目的をそれぞれ解説します。
金銭盗取
サイバー攻撃の最も一般的な目的は金銭的利益の獲得です。
ランサムウェアによるデータ暗号化後の身代金要求、銀行口座情報やクレジットカード情報の盗取による不正送金、仮想通貨の窃取などが代表的な手口として挙げられます。
近年では、盗み出した個人情報を闇市場で販売したり、企業の機密情報を競合他社に売却したりする間接的な収益化も増加しています。ランサムウェアについては以下の記事をご確認ください。
機密情報の窃取
企業の機密データや個人情報は闇市場で高値で取引されるため、攻撃者にとって魅力的な標的となっています。
特に研究開発データ、顧客リスト、財務情報、技術仕様書などの機密情報は、競合他社への転売や産業スパイ活動において高い価値を持ちます。
医療機関の患者情報や教育機関の生徒データなども、さまざまな用途で悪用される可能性がある狙われやすい情報です。
企業のイメージダウン
競合企業の評判を失墜させることで、自社の市場における優位性を確保しようとする攻撃も存在します。
標的企業のWebサイトを改ざんして不適切なコンテンツを掲載したり、サービスを停止させて顧客の信頼を損なわせたりすることが主な手口です。
このような攻撃は直接的な金銭的利益を目的としないものの、長期的には競合他社の市場シェア拡大に繋がる間接的な効果を狙っています。
政治的・社会的な主張
政府機関や特定の組織に対する抗議として攻撃を実行するケースも増加傾向にあります。
ハクティビストと呼ばれる集団は、社会的影響力の行使を目的として、政治的信念や社会正義への訴えを込めたサイバー攻撃を展開します。
国際情勢の変化に伴い、特定の国家や民族に関連する組織への攻撃も増加しており、地政学的リスクの一環として警戒が必要です。
愉快犯・自己顕示欲
技術力の誇示や注目を集めることを目的とした攻撃も一定数存在しています。単純に破壊活動を楽しんだり、ハッキング技術の向上を図ったりする攻撃者が該当します。
攻撃の証拠をSNSで公開するケースも多く、被害企業にとっては二次的な風評被害のリスクも生じるため注意が必要です。
【2025年】サイバー攻撃による被害事例
2025年に入ってからもサイバー攻撃による深刻な被害が続発しており、企業規模や業界を問わず幅広い組織が標的となっています。 以下、2025年に起きたサイバー攻撃による被害事例を5つ紹介します。
大手損害保険会社がサプライチェーン攻撃で顧客情報を流出
2025年5月、大手損害保険会社がサイバー攻撃により顧客情報流出の可能性を発表しました。情報流出の原因は、書類保管業務を委託していた会社がランサムウェア攻撃を受けたことです。
約7万5,000件の顧客情報が閲覧された恐れがあるものの、事故内容や銀行口座情報などのセンシティブな情報は含まれていませんでした。
外部への情報流出や不正利用の事実は確認されておらず、被害の可能性は極めて低いとの調査結果が報告されています。
大手航空会社がDDos攻撃でシステム障害
2025年1月、大手航空会社がDDoS攻撃によるシステム障害の発生を公表しました。
年末年始の帰省・旅行シーズンという利用者が最も多い時期を狙った悪質な攻撃で、羽田空港での手荷物預け入れ手続きやチェックイン業務に大幅な遅延が生じています。
同時期には大手航空会社だけでなく、銀行や証券、運送業などさまざまな業種が被害に遭っており、組織的な攻撃の可能性が指摘されています。
バイオテクノロジー企業でメールアカウントの乗っ取り
2025年1月、バイオテクノロジー企業が深刻な金銭被害に見舞われた事例が報告されています。
攻撃者は巧妙な手口で製造委託先の担当者のメールアドレスを乗っ取り、偽装した請求書を通じて企業から資金をだまし取ることに成功しました。
直接的な損失額は9万米ドルに上り、日本円換算で約1,300万円相当の被害が確認されています。
企業では送金前の複数チェック体制確立や、メールアカウントの多要素認証必須化など、総合的な防御策の構築が急務となっているのが現状です。
全国にキャンパスを構えるマンモス大学がランサムウェアに感染
2025年4月17日、全国にキャンパスを展開する大規模大学が不正アクセスを受けてランサムウェアに感染したことが判明しました。
学内Webサーバーのファイル書き換えが確認されたため、感染拡大防止を最優先にネットワーク遮断を決断しています。
この影響により、7キャンパスのほか付属諸学校や関係機関で複数のWebサイトシステムが利用不能となり、学生ポータルサイトや授業支援システム、学内Wi-Fi接続サービスなども停止状態に陥りました。
また、オンライン授業の一部休講や履修登録期間の延期、各種証明書発行への支障など、教育活動全般に深刻な影響が生じています。
保険ショップ大手がランサムウェア攻撃で個人情報が漏洩
2025年4月30日、大手保険代理店がランサムウェア攻撃により大規模な個人情報漏洩を発表しました。
2月に発生したサイバー攻撃により、保険契約者の氏名・住所・電話番号など約510万件の個人情報が外部に流出した可能性があることが調査で判明しています。
漏洩対象は生命保険や損害保険の契約者、保険相談を行った顧客などの情報ですが、マイナンバーやクレジットカード番号といった決済関連情報は含まれていません。
グループ全体での被害規模は過去最大級となっており、個人情報保護の重要性と対策不備の深刻さを物語る事例です。
サイバー攻撃の対策
サイバー攻撃から身を守るためには、以下のような対策が必要です。
セキュリティポリシーの策定
組織全体でセキュリティに関する明確なルールを定めることが、効果的な対策の基盤となります。
従業員の行動指針を具体的に示すことで、ヒューマンエラーによる情報漏洩事故や、不正アクセスの発生を未然に防げます。
パスワード管理、メール取り扱い、外部デバイス使用、インターネット利用などの日常業務に関わる詳細なガイドラインを整備し、全社員への周知徹底を図ることが重要です。
OS・ブラウザを常時最新版にアップデート
オペレーティングシステムやWebブラウザの脆弱性を狙ったゼロデイ攻撃への対策として、ソフトウェアの定期的なアップデートが不可欠です。
開発者が発見したセキュリティホールは、パッチやアップデートによって修正されるため、常に最新版を維持することで既知の脆弱性を排除できるのです。
自動更新機能を有効にすれば、重要なセキュリティパッチを見逃すリスクを軽減し、管理者の負担も軽くなります。
不審なサイト・メールへの注意喚起
フィッシング攻撃や標的型メール攻撃から組織を守るため、従業員への継続的な啓発活動と技術的対策の両輪が重要となります。
不審なメールの見分け方や適切な対処法を従業員に習得してもらうことで、人的要因によるセキュリティ事故のリスクを削減できます。
模擬フィッシングメール訓練の実施により、実践的な対応能力の向上も期待できるでしょう。
端末の持ち出し・持ち込みの徹底管理
セキュリティ環境の強化のためには、厳格な端末管理ポリシーの策定と運用が必要です。
私物端末の業務利用に際しては、MDM(モバイルデバイス管理)システムによる一元管理と、セキュリティ要件を満たした端末のみ許可する仕組みを構築しなければなりません。
持ち出し端末には暗号化ソフトウェアの導入と紛失時のリモートワイプ機能を設定し、物理的な情報漏洩対策も講じることが重要です。
退職者のアクセス権限の消去
人事異動や退職時のアクセス権限管理は、組織のセキュリティにおいて極めて重要な要素となります。
退職予定者のアカウント無効化は退職日当日に実施し、システムアクセス権限、物理的入館権限、VPN接続権限などすべての権限を漏れなく削除する必要があります。
ID管理システムを活用すれば、複数のシステムにまたがるアカウント情報を一元管理でき、権限変更の際の見落としを効果的に防げるでしょう。
特に管理者権限を持つアカウントについては、より厳格な管理と監査証跡の保持が求められます。
社内研修の実施
最新の脅威情報を共有し、従業員のセキュリティ意識を向上させる教育プログラムが不可欠です。
フィッシングメールの見分け方、不審なWebサイトの識別方法など、実践的なスキルを身につけてもらいます。新たな攻撃手法が確認された際の臨時教育も重要です。
実際のインシデント事例を用いたケーススタディにより、理論だけでなく実際の対応能力向上を図ることが効果的です。
多要素認証の導入
パスワードに加えて複数の認証要素を組み合わせることで、アカウントのセキュリティ体制が飛躍的に向上します。多要素認証には主に以下のような認証方法があります。
▼多要素認証の一例
- 指紋認証
- 顔認証
- ワンタイムパスワード
- ハードウェアトークン
多要素認証の導入は、不正アクセスのリスクを削減できる効果的な防御手段です。仮にパスワードが漏洩しても、第二・第三の認証要素が攻撃者の侵入を阻止します。
利便性とセキュリティのバランスを考慮し、サービスの運営状況に適した認証方式を選択することが重要です。多要素認証の詳細は以下の記事で解説しています。
IDS/IPSの導入
侵入検知システム(IDS)と侵入防止システム(IPS)により、ネットワーク上の異常な通信パターンを24時間体制で監視します。
ファイアウォールでは防げない高度な攻撃や、内部からの不正行為も検知の対象となります。
IDS/IPSを運用する上では、適切なチューニングにより誤検知を最小限に抑えながら、確実な脅威検出能力を維持する継続的な管理が不可欠です。
WAFの導入
Webアプリケーションファイアウォール(WAF)が、従来のネットワークファイアウォールでは防げないアプリケーション層への攻撃を効果的にブロックします。
▼WAF導入で対策できるサイバー攻撃の一例
- SQLインジェクション
- XSS(クロスサイトスクリプティング)
- ブルートフォース攻撃
WAFを導入することで、悪意のあるリクエストを識別・遮断し、正常な通信のみを通過させる高度なフィルタリング機能を実現します。
セキュリティ対策ソフト・サービスを導入
統合的なセキュリティソリューションの活用により、組織のセキュリティ能力を客観的に評価しながら多層防御体制を構築できます。
エンドポイント保護、メールセキュリティ、ネットワーク監視、脆弱性管理など包括的な機能を組み合わせることで、単一製品では対応困難な複合的な脅威への対処が可能となります。
セキュリティ対策ソフトを導入する際は、提供するベンダーの信頼性やアフターサポートの充実性をチェックすることが重要です。また、導入する環境に適したサービスであるかも確認しましょう。
まとめ
この記事では、サイバー攻撃の手口や攻撃者の目的、最新の被害事例、効果的な対策方法について解説しました。
サイバー攻撃の主な手口としては、特定のターゲットを狙った攻撃、不特定多数を狙った攻撃、ネットワークの脆弱性を狙った攻撃、サーバーなどに負荷をかける攻撃の4つが挙げられます。
多くの企業がサイバー攻撃を経験しており、特に中小企業への攻撃が近年増加傾向にあります。
企業規模を問わず、継続的なセキュリティ対策と従業員教育を実施し、組織の重要な情報資産を守り抜くことが大切です。
文責:GMOインターネットグループ株式会社
