対策必須の「サイバー攻撃」とは？種類や事例・リアルタイム可視化ツールも紹介！

2021年11月から12月にかけて、アメリカの大手セキュリティ会社「ノートンフロック」は日本を含む主要10か国にて合計10万人を対象にしたアンケート調査を行いました。

その結果、日本では7人に1人にあたる1,620万人がサイバー犯罪にあい、被害額は推計で320億円に上るとの結果が発表されました。同様の調査を行った前年と比べ、100億円の増加です。

（参考：去年のサイバー犯罪被害 日本人の7人に1人 被害額は320億円に|NHK）

加えて個人・企業を問わずIT化が急速に進行している状況もふまえ、サイバー犯罪への対策は喫緊の課題と言えるでしょう。

そこでこの記事では、増加傾向にあるサイバー攻撃の知識を深め、サイバーセキュリティを高める方法を紹介します。

サイバー攻撃とは

サイバー攻撃とは、インターネットを通じてスマートフォンやサーバーなどに不正アクセスし、データを改ざんしたり、破壊したり、窃盗したりする行為です。

窃盗したデータ（顧客リスト）の金銭化やシステムの破壊だけでなく、気づかれないようコンピュータやサーバに潜伏して継続的に研究データなどを窃盗し続けるケースもあり、放置しておくと重大な被害をもたらす場合がほとんどです。

サイバー攻撃の種類

サイバー攻撃には様々な種類があります。代表的なものを下記に紹介します。

フィッシング

偽サイトにアクセスさせてクレジットカード番号やパスワードをはじめとした個人情報を抜き取るフィッシング詐欺は、サイバー攻撃の一種です。主に、送信者を装った電子メールやSNSのメッセージから危険なリンク先に遷移させます。

マルウェア（malware）

マルウェアとは「悪意あるソフトウェア」という意味の造語で、「malicious（英：悪意のある、意地の悪い）」と「software（英：ソフトウェア、電算機システムのためのプログラム）」が語源です。正常に機能しているソフトウェアを不正に動作させることを目的としており、その種類は常に増え続けています。

マルウェアに感染すると、気づかないうちに個人情報が抜き取られたり、コンピュータが正常に動作しなくなったりします。

ランサムウェア（ransomware）

ランサムウェアとは、「ransom（英：身代金）」と「software（英：ソフトウェア、電算機システムのためのプログラム）」を組み合わせた造語です。ソフトウェアを不正に動作させるという意味ではマルウェアの一種ですが、その機能と目的は一点に特化しています。

コンピュータのファイルやシステム自体を暗号化することで使用不能にしてしまい、解除と引き換えに身代金を払うよう恐喝します。身代金を支払ってもランサムウェアが解除されないケースも多く、悪質なサイバー攻撃だと言えます。

DoS攻撃

DoS攻撃とは、Denial of Services attack（サービス運用妨害攻撃）のことです。ターゲットのウェブサイトに短時間で大量のアクセスを送り込むことによって、過負荷状態を経て停止状態へと追い込みます。

ブラウザのF5キー（再読み込み）を連打することで負荷を与える手法が知られていますが、個人からの攻撃で大規模サービスが停止することはまずありません。

そこで行われるのが、次に紹介するDDoS攻撃です。

DDoS攻撃

DDoSとは、Distributed Denial of Service attack（分散型サービス運用妨害攻撃）のことで、複数のコンピュータを使って大量のアクセスを送り込みます。

この際、マルウェアで乗っ取った複数のコンピュータをbot化（特定のプログラムを自動で行うこと、この場合はターゲットのサービスへの連続アクセス）して不正アクセスを行うため、政府機関をはじめとした大規模な団体のシステムでも耐えられないことがあります。

SQLインジェクション

SQLインジェクションとは、アプリケーションの脆弱性を利用してデータベースを狙うサイバー攻撃です。

SQLとはStructured Query Languageの略で、データベースを操作するコンピュータ言語です。インジェクション（英：injection）とは「注入」のことで、SQLに悪意のあるプログラムを注入することを意味します。

本サイトで使われているWordPressをはじめとして、データベースと連携して、アクセスするユーザーに情報を返すシステムは多く、SQL文を用いてデータベースに指示を出しています。SQLインジェクションは、そのSQL文に不正プログラムを仕込みます。

具体的には、ウェブサイトの問い合わせフォームや検索ボックスに不正SQL文を仕込むことでデータベースを破壊したり、データを抜き取ったりします。

クリックジャッキング

クリックジャッキング（Clickjacking）とは、「click（英：クリック、マウスのボタンを押す）」とjacking(英：乗っ取る、占領する)を組み合わせた造語で、ウェブサイト訪問者のクリック操作を誤動作させるサイバー攻撃です。

透明なボタンを配置したウェブサイトを作成し、訪問者に誤クリックさせることで、商品を購入させたり、不正なプログラムをダウンロードさせたり、広告を表示させたりと、様々な動作を引き起こします。

サイバー攻撃の事例

サイバー攻撃の事例としては下記の事件が広く知られています。

警視庁へのDDoS攻撃

平成22年、尖閣諸島周辺領海における中国漁船衝突事件の際、中国のハッカー集団「中国紅客連盟」が警視庁のウェブサーバーにアクセスを集中させる事件が発生しました。

（参考：警備情勢を顧みて｜警視庁）

公立病院へのランサムウェア攻撃

2021年10月末に日本国内の公立病院がランサムウェア攻撃を受け、電子カルテをはじめとする基幹システムが暗号化されて使用不可能となり、新規患者の受け入れを停止しました。病院側は身代金の要求に応じず2か月かけてサーバーを復旧させ、2022年1月4日より通常診断を再開しました。

（参考：主なインシデント事例｜経済産業省　商務情報政策局　サイバーセキュリティ課）

じゃらんを騙るフィッシング

2022年10月、パスワードをはじめとした個人情報の入力を促す内容のメールが、じゃらんを騙って送信されました。

文中のリンクをクリックすると、本物のサイトをコピーした偽サイトにアクセスします。メールの指示に従って個人情報を入力すると、クレジットカード番号やパスワード、住所などが抜き取られてしまいます。

（参考：じゃらんをかたるフィッシング（2022/10/28）フィッシング対策協議会）

サイバー攻撃への対策

サイバー攻撃は日々進化しているため、その対策は非常に困難です。しかし、まずは組織の一人ひとりがサイバー攻撃に対する知識を深め、日々の行動に反映できるよう意識を高める必要があります。

• 怪しいメールを開いたり、むやみにリンクをクリックしない。
• クラウドツールやネットワークの共有範囲を厳密に設定する。
• フリーWi-Fiからアクセスしたり、喫茶店など不特定多数のいる場所でアクセスしない。
• 業務で使うPCやUSBメモリの持ち出しを制限する

まずこれらの意識が共有されていなければ、ネットワーク管理者がどれだけ対策をしても効果がないでしょう。

組織としては、セキュリティソフトを導入したり、ソフトウェアを常に最新の状態にアップデートしておくことが大事です。サイバー攻撃の最新情報を適宜チェックして、全体に注意喚起するようにしましょう。

セキュリティソフトについては以下の記事でも解説しています。

経済産業省傘下の独立行政法人情報処理推進機構（IPA）は最新のセキュリティ情報や流行しているサイバー攻撃の情報を日々更新すると共に、サイバーセキュリティ経営ガイドラインを策定し、サイバー攻撃から身を守る方法を紹介しています。

まずはガイドラインをチェックして、自社のセキュリティに不備がないか確認してみると良いでしょう

→サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集　（独立行政法人情報処理推進機構（IPA））

リアルタイム可視化ツールについて

Googleやカスペルスキーでは、世界中でどこからどこへ向けてDDoS攻撃がされているか一目でわかるツールを提供しています。サイバー空間自体のセキュリティ環境を視覚的に把握することができます。以下のツールがその一例です。

Digital Attack Map

Kaspersky Cyber Malware and DDoS Real-Time Map

地球規模で飛び交うサイバー攻撃の様子が鮮やかに可視化されているので、セキュリティの重要性が実感できることでしょう。

まとめ

スマートフォンやPCを日常的に使うユーザーにとって、スパムメールを受信するのは珍しいことではありません。

しかし、マルウェアへ感染させたり、偽サイトに誘導して個人情報を抜き取ろうしたりするスパムメールは、フィッシング詐欺であり明らかにサイバー犯罪です。つまり企業はもちろん、一般の方の多くも日常的にサイバー犯罪の脅威にさらされていると言えます。

サイバー攻撃を受けるのは政府機関や大企業ばかりではありません。進化し続けるサイバー犯罪に対して、正しい知識をもって自衛しましょう。