本記事ではサイバー攻撃の主な種類や最新の被害事例、サイバー攻撃の被害から守るための対策について解説します。
サイバー攻撃の知識を身につけ、正しい対策を行いたい方は参考にしてみてください。
警察庁の調査によると、サイバー攻撃の件数は5年連続で増加しており、国内でも多くの企業が被害に遭っています。
サイバー攻撃はどのようにして行われるのか、攻撃を受けるとどのような被害が発生するのか、詳しく見ていきましょう。
SCMの開発やツールの導入、DX推進といった領域に関心のあるエンジニアの方は、無料エキスパート登録から案件にアサインしてみてください。
目次 [非表示]
サイバー攻撃とは
サイバー攻撃とは、ネットワークを通じて他者のコンピューターやスマートフォンなどの端末に不正アクセスし、システムの破壊やデータの窃取などを行うことです。
IT技術が発展し、コンピューターやスマートフォンを使う企業や個人が増え、用途も広がっているため、サイバー攻撃の対象や目的も多様化しています。
また、AIによるサイバー攻撃の自動化も進んでおり、特定の企業や個人を対象とするものだけでなく、不特定多数を無差別に攻撃するものも登場しています。
参照:
・「サイバー攻撃とは?種類・対策・事例をわかりやすく解説」イーセットジャパン株式会社 ESET
・「【事例あり】サイバー攻撃とは?具体的な対策方法・攻撃の種類をわかりやすく紹介」株式会社エヌ・ティ・ティピー・シーコミュニケーションズ NTTPCコミュニケーションズ ホーム ICT Digital Column
サイバー攻撃の主な種類
サイバー攻撃も新たな技術の登場によって日々進化を続けており、次々と新しい攻撃が登場しています。
本章ではサイバー攻撃の中でも主なものを6つ紹介します。
サイバー攻撃の基本的な種類を知りたい方は参考にしてみてください。
● ランサムウェア攻撃
● SQLインジェクション攻撃
● パスワードリスト攻撃
● ブルートフォース攻撃
● DoS/DDoS攻撃
それぞれ順番に見ていきましょう。
参照:「サイバー攻撃の種類にはどういうものがあるのか?種類別に解説」キヤノンマーケティングジャパングループ
マルウェア攻撃
マルウェアはコンピューターやネットワークに被害を与えるために作られたソフトウェアです。
過去にはコンピューターウイルスと呼ばれることもありましたが、現在はマルウェアで統一されています。
マルウェアの主な種類は、トロイの木馬やスパイウェア、キーロガーなどです。
無害なプログラムを装ってコンピューターなどに侵入し、端末の遠隔操作などを行うなどの攻撃を実行します。
参照:「【事例あり】サイバー攻撃とは?具体的な対策方法・攻撃の種類をわかりやすく紹介」株式会社エヌ・ティ・ティピー・シーコミュニケーションズ NTTPCコミュニケーションズ ホーム ICT Digital Column
ランサムウェア攻撃
ランサムウェアは、感染するとコンピューターに保存されているデータを暗号化してユーザーが使用できない状態にするソフトウェアです。
金銭や暗号資産を暗号化解除の要件としてユーザーに要求し、事業の停止か金銭の支払いの二択を短期間のうちに迫ります。
ただし、金銭を支払ってもデータが復号されるかは攻撃を行った者の判断によるため、必ずしもデータが元通りになるとは限りません。
容易に金銭を支払えば悪意を持つ者から次のサイバー攻撃を受ける可能性があるため、注意が必要です。
SQLインジェクション攻撃
SQLインジェクション攻撃は、Webサイトやアプリケーションのぜい弱性を突いたサイバー攻撃です。
Webサイトの検索ボックスなどの入力フォームにサイト側が想定していない不正な命令を含んだSQL文を入力(注入)することで、裏側で動作しているデータベース内のデータを消去・改ざんしたり、外部へ流出させたりします。
不正な入力を防ぐために入力フォームに入力できる値の制限や、入力された文字列をそのまま利用せず一度変数に格納するなどの対策が挙げられます。
参照:「SQLインジェクションとは? 攻撃の対策や被害事例をわかりやすく解説」株式会社エヌ・ティ・ティピー・シーコミュニケーションズ NTTPCコミュニケーションズ ホーム ICT Digital Column
パスワードリスト攻撃
パスワードリスト攻撃とは、何らかの方法で取得した他者が使用するWebサービスのログインIDとパスワードを用いて不正ログインを行うサイバー攻撃です。
IDやパスワードを複数のサイトで使いまわしているユーザーが多いため、不正ログインをされたサイトからID・パスワードが流出したとは限りません。
反対にIDやパスワードの使いまわしをしているユーザーほど攻撃を受けやすいとも言えます。
参照:「パスワードリスト攻撃とは」エヌ・ティ・ティ・コミュニケーションズ株式会社 NTT Commnications
ブルートフォース攻撃
ブルートフォース攻撃は、日本語で「総当たり攻撃」と訳される理論的に考えられるパスワードの組み合わせ全てを試すサイバー攻撃です。
例えば4桁の数字で構成される暗証番号であれば「0000」から「9999」までの計10,000通りを試せば必ずヒットします。
人の手で全ての組み合わせを試すのは時間的に難しいですが、プログラムを用いれば数時間で全ての組み合わせを試すことが可能です。
参照:「ブルートフォース攻撃」F5ネットワークスジャパン合同会社 F5
DoS/DDoS攻撃
DoS攻撃はWebサイトやサーバーに対して過剰なアクセスやデータを送ることで過大な負荷をかけるサイバー攻撃です。
攻撃対象のWebサイトやサーバーに対して複数のコンピューターからアクセスやデータ送付を行うことをDDos攻撃と呼びます。
DoS/DDoS攻撃を受けると、サーバーやネットワーク機器に大きな負荷がかかるため、システムの停止やネットワーク遅延によるサービス提供への支障が発生します。
参照:「DDoS攻撃とは? 意味と読み方、対策方法」 エヌ・ティ・ティ・コミュニケーションズ株式会社 NTT Commnications
サイバー攻撃の事例
サイバー攻撃の件数は手口の多様化やAIなどによる自動化につれ、増加の一途をたどっています。
警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」では、サイバー犯罪の検挙件数は12,479件に上り、5年連続で増加しています。
本章では、国内におけるサイバー攻撃の事例を5つ紹介しますので、手口やどのような被害に遭ったのか参考にしてみてください。
● KADOKAWA
● デジタル庁
● 宇宙航空研究開発機構(JAXA)
● DMM
それぞれ順番に見ていきましょう。
参照:「令和5年におけるサイバー空間をめぐる脅威の情勢等について」警察庁
東京海上日動
2024年7月に東京海上日動の委託先である髙野総合会計事務所のサーバーにランサムウェア被害が発生し、3,968件の個人情報が漏えいした可能性があると発表されました。
同グループのイーデザイン損害保険株式会社では15,438件、東京海上日動あんしん生命保険株式会社では27,906件の個人情報が同会計事務所へのサイバー攻撃によって漏えいしたおそれがあるとのことです。
会計事務所では現在全容把握に向けての調査を継続しています。
参照:
・「当社業務委託先におけるランサムウェア被害に伴う情報漏えいのおそれについて」東京海上日動火災保険株式会社 東京海上日動
・「当社の業務委託先におけるランサムウェア被害に伴う情報漏えいのおそれについて」イーデザイン損害保険株式会社 イーデザイン損保
・「当社業務委託先におけるランサムウェア被害に伴う情報漏えいのおそれについて」東京海上日動あんしん生命保険株式会社 東京海上日動あんしん生命保険
KADOKAWA
KADOKAWAは、2024年6月にグループ会社のデータセンターにおいてランサムウェアによるサイバー攻撃をサーバーが受け、システム障害が発生したと発表がありました。
これによって同グループが運営するニコニコ動画や学校法人角川ドワンゴ学園が設置するN中等部・N高等学校・S高等学校の生徒や保護者の個人情報が漏えいした可能性があるとのことです。
参照:
・「ランサムウェア攻撃による情報漏洩に関するお知らせとお詫び」学校法人角川ドワンゴ学園 N高等学校・S高等学校・R高等学校
・「【第2報】KADOKAWAグループにおけるシステム障害について」株式会社KADOKAWA KADOKAWA
デジタル庁
2022年6月にデジタル庁はDDoS攻撃を受け、電子政府の総合窓口「e-GOV」において電子申請などの手続きやWebサイト閲覧がしにくい状態に陥りました。
これを受けて同庁は、内閣サイバーセキュリティセンター(NISC)と連携して調査・対応にあたることとなりました。
発表によると同庁が運用するメールサーバーに対して短時間のうちに13,000件の迷惑メールが送りつけられていたようです。
参照:
・「「e-Gov」などが一時アクセス困難に、親ロシアのサイバー攻撃集団が犯行を示唆」株式会社 日経BP 日経XTECH
・「G ビズ ID が管理するメール中継サーバーに対する不正アクセスによる迷惑メール送信について」デジタル庁
宇宙航空研究開発機構(JAXA)
宇宙航空研究開発機構(JAXA)では2023年から2024年にかけて複数回マルウェアによるサイバー攻撃を受けていたことを発表しました。
VPN機器を狙ったマルウェアによる不正アクセスによるもので、これによって業務に関する情報や個人情報の漏えいがあったとのことです。
不正アクセス発覚後は速やかに当該機器をネットワークから切り離すなどの初期対応を行っています。
参照:
・「JAXA“サイバー攻撃により外部機関との情報など漏えい確認”」日本放送協会 NHK
・「JAXAにおいて発生した不正アクセスによる情報漏洩について」JAXA
DMM
DMMでは、2024年5月31日に同グループのDMM Bitcoin において、482億円相当のビットコインが不正に流出したことを発表しました。
原因は現在調査中ですが、同社が顧客から預かっている流出相当分のビットコインについてはグループ会社からの支援を受け、全額保証する方針とのことです。
参照:「【重要】暗号資産の不正流出発生に関するご報告(第一報)(第二報)(第三報)」株式会社DMM Bitcoin DMM Bitcoin
サイバー攻撃への対策
ここからはサイバー攻撃からデータを守るためにできる対策を3つ紹介します。
サイバー攻撃の被害に備えて対策を行いたい方は参考にしてみてください。
● パスワード管理の徹底
● セキュリティポリシーの策定
それぞれ順番に見ていきましょう。
サイバー攻撃に備えるためにはセキュリティの強化が大切です。
サイバーセキュリティについては以下の記事で詳しく解説しているので、こちらも併せてご覧ください。
従業員のセキュリティ意識向上
従業員のセキュリティ意識を向上させることでサイバー攻撃の被害に遭う可能性を下げられます。
社内でサイバー攻撃の被害の大きさや攻撃手法について研修を行うことで、不審なメールやURLへのアクセス、ファイルのダウンロードをしないよう周知が可能です。
これによってランサムウェアなどのサイバー攻撃を受けるリスクを低減できます。
参照:「サイバー攻撃への対策はどうすれば良い?手口や事例を知って対策を」エヌ・ティ・ティ・コミュニケーションズ株式会社 NTT Commnications
パスワード管理の徹底
社員の端末や業務システムのパスワードを定期的に変更し、一定の文字数を備えた複雑なものにすることを社内で徹底すれば、ブルートフォース攻撃などの被害に遭う可能性を減らせます。
また、パスワードを他の業務システムやプライベートで使用しているものと使いまわさないように周知することで、パスワードリスト攻撃に遭うリスクも抑えられます。
参照:「パスワードリスト攻撃とは?わかりやすく対策や原因・被害事例を解説」エムオーテックス株式会社 LANSCOPE
セキュリティポリシーの策定
自社のセキュリティ方針を内外に向けてセキュリティポリシーとして策定することも大切です。
インシデント発生時の対応が迅速に行えるだけでなく、現在のセキュリティ体制を洗いなおすことで自社が抱えるリスクを事前に洗い出せます。
自社のセキュリティにおける弱点を知れば事前に対策を図り、体制の強化につなげられます。
参照:「情報セキュリティポリシーとは?策定手順や注意点を徹底解説」エムオーテックス株式会社 LANSCOPE
まとめ
今回はサイバー攻撃の種類や最新の被害事例、今からできる対策を紹介しました。
サイバー攻撃の被害件数やその手口は増える一方で、今後も簡単には減少しないでしょう。
DXを推進する上でサイバー攻撃から自社のデータを守るための取組みが必要です。
多くの企業がサイバーセキュリティの重要性を感じている中で、Contact EARTH matchingにもたくさんの案件が登録されています。
● フリーランスエンジニアとしてセキュリティ対策を行った実績が欲しい
● 高単価案件を獲得して稼げるエンジニアになりたい
このような案件を探すエンジニアの方にぴったりの案件が多数登録されています。
まずは無料の人材登録を行って案件を覗いてみてください。
フリーランス向けのフルリモート案件をお探しの方へ
高単価案件多数
150万円以上の案件が80%以上、200万円以上も!
フルリモート案件多数
リモートで完結するDX・戦略案件が見つかる
上場企業や優良企業から直接スカウトが届く
簡単なプロフを見てみる
