年々サイバー攻撃の手口は高度化・巧妙化しており、ノートンライフロック社の調査によると2021年の1年間だけでも日本国内で約320億円の被害があったと報告されています。また情報通信研究機構の調査では、サイバー攻撃関連の通信数は直近10年間の統計で66倍も増加し、2021年の1年間だけでも5,180億パケットに達したと報告されています。
こうした事実から、サイバー攻撃の脅威はますます身近なものになっており、サイバー攻撃への対処は多くの企業・団体・個人にとって喫緊の課題と言えるでしょう。
本記事ではサイバー攻撃の概要や種類、サイバー攻撃に遭わないために行うべき有効な対策について解説します。
サイバー攻撃ってどういうもの?
ここではサイバー攻撃の概要と目的について解説します。
サイバー攻撃とは?
サイバー攻撃とは、ネットワークを通じてサーバーやシステムを破壊したり、データを窃取・改ざんしたりする行為のことを指します。
ネットワークを通じて行われる攻撃の他にも、企業の内部関係者が社内の秘匿情報をUSBメモリやスマートフォンなどを用いて外部に持ち出すこともサイバー攻撃の一種です。
企業を対象にした攻撃では、システムをウイルスに感染させ駆除費用として金銭を要求したり、窃取した情報を闇ウェブで高額な取引をしたりといった内容がよくある事例です。
個人を対象にした攻撃では、IDやパスワードを詐取して不正にログインしたり、クレジットカード情報を詐取して不正利用したりといった内容が該当します。
サイバー攻撃の目的
サイバー攻撃の目的は、かつてはアクセスが制限されている情報を見てみたいといった好奇心で行われることが多くありました。また嫌がらせをして相手が困ることで満足したり、自身が持つスキルを見せびらかして自己顕示欲を充足したりする目的で行われることも多く占めていました。
最近では、金銭目的はもちろんのこと、企業や団体の弱体化やイメージダウン、報復を目的とする攻撃も増えています。
他にも企業や団体の機密情報を窃取して知的財産を盗み取るものや、政治的・社会的な主張を掲げるものも、近年のサイバー攻撃の目的として増加傾向にあります。
サイバー攻撃にはどんな種類がある?
サイバー攻撃はターゲットによって種類が異なります。以下ではターゲット別に攻撃の種類を解説します。
特定の企業、団体、個人をターゲットとした攻撃
特定の企業・団体・個人にターゲット絞って行われるサイバー攻撃で、「標準型攻撃」とも呼ばれます。攻撃のタイプには以下の2種類があるとされています。\n\n\n\n
- ソフトウェアに埋め込まれているマクロやリンクを利用して、知らないうちにセキュリティホールが作られるタイプ
- 電子メールやSMSを送付し、特定のWebサイトへ誘導し、個人情報の詐取を図るタイプ
1つ目のタイプは特に使用人口の多いマイクロソフトのエクセルやワードで行われることが多いとされ、システムに異常が出るといった症状が出るまで気付きにくい特徴があります。
2つ目のタイプはWebサイトにアクセスすることで、パソコンやスマートフォンがウイルスに感染します。その結果、システムが暗号化されて使用不能になり、元の状態に戻すために金銭を要求してくる手口が多く見られます。
どちらの種類のサイバー攻撃も、手口が計画的で巧妙であり発見や予防も難しいといえるでしょう。
不特定多数を対象とした攻撃
不特定多数を対象としたサイバー攻撃は、システムの破壊や個人情報の詐取を試みるものです。フィッシング詐欺、スミッシング、ゼロクリック詐欺などが主な手口です。
フィッシング詐欺は主にWebサイト上で行われるサイバー攻撃です。クレジットカード会社のWebサイトやECサイトの正規サイトを模倣したWebサイトを作り、サイト訪問者のクレジットカード情報や個人情報などを盗み取ります。
スミッシングはSMSを使ってフィッシングサイトに誘導する手口のことを言います。
ゼロクリック詐欺はパソコンやスマートフォンでWebページ閲覧時に「登録が完了しました。閲覧料として料金をお振込みください」といったメッセージを表示させ、金銭をだまし取ろうとする手口です。
その他のサイバー攻撃
上記以外のサイバー攻撃としては、サーバーに負荷をかけてダウンさせる攻撃や、OSやWebサイトなどの脆弱性を狙った攻撃があります。
前者はDDoS攻撃とも呼ばれ、複数のパソコンやサーバーから標的とするサーバーに向けて大量のアクセスやデータを送り、処理能力を圧迫させる仕組みです。これによりサイトにアクセスしづらくなるといった、販売機会の損失や信用低下などの被害を受けます。
後者はOSやWebサイトに含まれている設計上のミスや不具合を見つけ出し、その脆弱性に漬け込むサイバー攻撃です。OSやWebサイトを開発・提供するIT企業は、脆弱性を補うためのアップデートを頻繁に行いサイバー攻撃に備えているものの、悪意のある攻撃者が公開情報を基に攻撃方法を編み出すこともよくあります。
サイバー攻撃にはどんな対策が有効?
サイバー攻撃にはさまざまな手口があり、それぞれに即した対策が必要です。ここでは個人や事業者が行うべき、サイバー攻撃を防止する対策について解説します。
個人が行うべきサイバー攻撃への対策
個人では企業のように本格的なサイバー攻撃対策を施すのは、技術的にも金銭的にも難しいものの、ちょっとした心掛けでもサイバー攻撃への対策になりえます。特に個人では以下の3点を押さえておくと良いでしょう。
- OSやソフトウェアをこまめにアップデートし、常に最新の状態に保つ
- IDやパスワードなどのアカウント情報を複数サービスで使い回さず、推測されにくい複雑なものを設定する
- 性能の高いセキュリティソフトを導入する
最近のセキュリティソフトは高性能なものが個人でも比較的入手しやすい価格で販売されています。サイバー攻撃に備えるためにもセキュリティソフトの導入をおすすめします。
事業者が行うべきサイバー攻撃への対策
事業者では社内外のネットワークを利用する人数が多いため、個人よりも厳重なサイバー攻撃対策が必要です。事業者が行うべきサイバー攻撃対策法には、主に以下2つの方法があります。
- ネットワークと各従業員のパソコン、両方を保護できるセキュリティソフトを導入する
- 包括的な不正アクセス対策を施す
2つ目の方法については、以下3通りの対策が考えられます。
- ファイアウォールで社内外の送信先や送信元を監視して不正な通信をブロックする
- WAF(Web Application Firewall)ツールを使って通信の中身を細かく確認し、不正アクセスを検知し遮断する
- IDS/IPSツールを使ってサイバー攻撃を可視化して外部からの脅威を防ぐ
上記の他に日頃から従業員に対してセキュリティ教育を実施することも、サイバー攻撃に対する意識を高めるのに効果があるでしょう。
まとめ
インターネットの普及によって進化・多様化されるネットワーク環境に伴いサ、イバー攻撃も巧妙化しています。
サイバー攻撃を受けると個人情報や機密情報の漏洩から、データ改ざん・詐取、システム障害、取引やサービスの停止、企業信用度の毀損などの被害を受けます。
従業員のセキュリティ意識向上と合わせて、セキュリティ対策サービスを導入するといった適切な対策を行なっていきましょう。
