サイバー攻撃の主な手口とは？有効な対策も紹介！

サイバー攻撃の手口は年々、多様化・巧妙化しています。クラウド化が進み、テレワークが定着したことから、オフィスの内外を問わず、攻撃のターゲットとなるリスクが上昇しました。
サイバー攻撃対策の第一歩は、その手口を明確に理解することです。本記事ではサイバー攻撃の具体的な手口と、企業全体で取り組むべき対策を紹介します。

そもそもサイバー攻撃とは？

サイバー（cyber）とは、おおまかにいうと「コンピューターの」「インターネットの」を意味します。サイバー攻撃とは、サーバーやパソコン、スマホといった情報端末に対して、インターネットなどのネットワークやデジタル機器を通じて、システムの破壊やデータの窃取、改ざんなどを行うことです。
サイバー攻撃の目的は、金銭の奪取や特定組織の情報窃取、情報システムの破壊・妨害、スパイ活動にいたるまで多岐に渡ります。愉快犯的な犯行や自己顕示欲を満たす目的のものも少なくありません。「アノニマス（Anonymous）」のように、社会的・政治的な主張を目的とする「ハクティビスト（hacktivist）」もいます。

サイバー攻撃の被害は年々増加傾向に

サイバー攻撃の被害は増加傾向にあります。警察庁によると、平成28年に8,324件だった検挙件数が令和2年には9,875件と、増加の一途を辿っています。

これらの多くは、SMSや電子メールを用いて金融機関を装ったフィッシングサイトへ誘導する手口をとっていました。たとえば、新型コロナウイルスの流行に伴い、誘導されたショッピングサイトでマスクを購入し、お金を振り込んだにもかかわらず、商品が届かないといった個人向けの詐欺メールが増加しています。ビジネスシーンにおいてもテレワークが増加したことで、フィッシングやビジネスメール詐欺などが増加傾向にあります。

変化・多様化するサイバー攻撃

社会情勢の変化やIT技術の進展に伴い、サイバー攻撃の手法は多様化・巧妙化しつつあります。
IPA（情報処理推進機構）が公開している「情報セキュリティ10大脅威」によると、2013年版の脅威1位となったのは、「クライアントソフトの脆弱性を突いた攻撃」でした。

これは、ソフトを最新の状態に保てば防げるなど、比較的対策のとりやすいものでした。一方、2021年版の脅威1位となったのは、個人向けが「スマホ決済の不正利用」であり、組織向けが「ランサムウェアによる被害」でした。

いずれも金銭搾取を目的とした計画的かつ悪質な犯罪です。攻撃者がダークウェブを利用したり、複数国家のサーバーを経由したりする技術を身につけたために、発覚が遅れ、被害が拡大・長期化しやすい傾向にあります。

サイバー攻撃の主な手口・手法

多様化するサイバー攻撃の主な手口・手法を具体的に紹介します。

マルウェア感染

マルウェア（malware）とは、「悪意のある（malicious）」に「ソフトウェア（software）」を組み合わせた造語で、情報端末やウェブサービス、ネットワークなどに害を与えるために作られた悪意あるソフトウェアの総称です。具体的なマルウェアにはコンピューターウイルス、トロイの木馬、ワーム、ランサムウェアなどがあります。
マルウェア感染は基本的に、メールを通じてサイトにアクセスさせる、添付ファイルを開かせるといった手法が使われます。国内では、メールに仕組まれていたマルウェアに感染し、年金情報や旅行会社の個人情報が多量に漏えいした事例があります。

なりすまし

ターゲット企業の関係者や取引先になりすまし、悪意あるファイルや不正サイトへのURLリンクを添付したメールを送るなどして、機密性の高い情報を提供させたり、マルウェアに感染させたりします。
近年は不特定多数に送りつける「バラマキ型」だけでなく、特定の組織を狙った「標的型攻撃」も増加しています。メールは極めて巧妙に偽装されており、事前に不正入手した情報をもとに、組織内で実際に使われている役職名や業務に関係する内容を記載する悪質なケースもあります。

不正アクセス

ウェブサイトやウェブアプリケーションに存在する脆弱性を悪用し、アクセス権限のない第三者がターゲット企業のシステムやサービスに不正にログインすることです。これにより、ターゲット企業は顧客情報の漏えいなどの被害を受けます。ランサムウェア攻撃

ランサムウェアとは、「身代金（ransom）」と、「ソフトウェア（software）」を組み合わせた造語で、マルウェアの一種です。ターゲット企業のデータを暗号化するなどして「人質」とし、データ回復のために「身代金」を要求します。「人質」が機密情報や顧客情報の場合、被害はより深刻です。さらに、「窃取したデータを公開する」という脅迫を重ねる「ダブルエクストーション（二重の脅迫）」も増えています。

DoS攻撃・DDoS攻撃

DoS（Denial of Service）攻撃とは「サービス拒否攻撃」のことで、1台のコンピューターから特定のサーバーに悪意を持って過剰にアクセスしたり、データを送りつけたりする行為です。
DoS攻撃を複数のコンピューターから大量かつ同時に行うのがDDoS（Distributed DoS）攻撃、つまり「分散型サービス拒否攻撃」です。
DDoS攻撃を受けると、サーバーなどに非常に大きな負荷がかかるため、ウェブサイトへアクセスできなくなったり、ネットワークの遅延が起こったりします。たとえばショッピングサイトがDDoS攻撃を受ければ、消費者はサイトにアクセスできず、商品を購入できなくなってしまいます。その結果、ターゲット企業は、売上だけでなく信頼性においても大きなダメージを被ることになります。

サプライチェーン攻撃

サプライチェーンとは、商品やサービスなどの製造段階から、消費者へ提供されるまでの一連のプロセスをさします。サプライチェーン攻撃は、攻撃者がターゲット企業を直接狙うのではなく、セキュリティ対策が手薄な子会社や取引先企業のシステムを経由して、親会社（ターゲット企業）の主幹システムに侵入、機密情報や顧客情報を窃取することです。

今すぐ実践したいサイバー攻撃に有効な対策

企業として、多様化するサイバー攻撃へどのような対策をとるべきでしょうか。すぐに取り組むべき3つの有効の対策を解説します。

社内全体のセキュリティ意識の向上

マルウェアやフィッシングといったサイバー攻撃の多くは、個人もしくは部署に充てたメールが糸口になっています。そのため、社員に情報のリテラシー教育をすることで、不審なメールやファイルを開かない、不要なアプリはインストールしないなど、セキュリティ意識を向上させることが必要です。
また、会社全体として情報セキュリティポリシーを策定し、運用していくことも求められます。

ウイルス対策ソフトの導入

マルウェア感染の対策としては、ウイルス対策ソフトなどのセキュリティソフトをパソコンにインストールすることが効果的です。従来のセキュリティソフトが検知できるのは既知のマルウェアだけでした。しかし、最新のセキュリティソフトは、未知のマルウェア、フィッシング詐欺や迷惑メールへの対策など、多様な機能が搭載されています。
このほか、OSやソフトウェアを常に最新の状態にアップデートすることも必要です。

セキュリティ対策を外部に任せる

セキュリティ対策には高いスキルと経験が必要とされます。専門部署を社内に設けず、外部のスペシャリストに委託し、自社の環境に合ったサービスの提供を受けるという方法もあります。

まとめ

サイバー攻撃を受けると金銭的被害を受けるほか、情報漏えいなどが起こればイメージの低下につながるなど、企業は大きなダメージを被ります。攻撃から企業を守るには、セキュリティの強化が不可欠です。Microsoft 365はさまざまなセキュリティ機能を備えています。サイバー攻撃対策として、Microsoft 365の導入をご検討ください。