人手不足でお悩みの方は
\ こちらの記事がおすすめ! /
サイバー攻撃種類20選!
さっそく、サイバー攻撃20種類をご紹介していきます。どのようなサイバー攻撃あるのかを把握し、企業の対策のヒントとして役立てていきましょう。
特定対象を狙ったサイバー攻撃10選
サイバー攻撃は、特定対象を狙って攻撃する種類のサイバー攻撃があります。
具体的にどのようなサイバー攻撃があるのか詳しくご紹介します。
種類1:標的型攻撃
特定対象を狙ったサイバー攻撃として、まず挙げられるのが標的型攻撃です。
標的型攻撃とは、サイバー攻撃をする相手を特定の組織やユーザー層に絞り込み、標的を限定して攻撃するのが特徴です。
具体的には、標的として定めた個人や企業に対して、知人・取引先・関連会社等になりすまして、悪意のあるファイルをメールやチャットに添付して送ったり、不正サイトのURLリンクを送ってクリックさせたりして、端末を感染させる手法があります。
種類2:ランサムウェア
ランサムウェアは、主に企業がターゲットとなるサイバー攻撃です。企業の大切なデータを暗号化したり、端末にロックをかけたりするのが特徴。データや端末を人質として、金銭を要求するのが一般的です。
他にも、ファイルの追加や削除、パスワードの奪取、悪意あるプログラムを勝手にダウンロードされてしまうなど、さらなる被害を受けることもあります。
種類3:サプライチェーン攻撃
サプライチェーン攻撃は、ターゲットとしている企業の子会社や取引先等を狙ったサイバー攻撃です。
サイバー攻撃のターゲットには、大規模な企業や行政などが狙われる傾向にあるものの、セキュリティ対策が徹底されているため不正にアプローチすることは難しいのが事実。しかし、関連する子会社や取引先などはセキュリティ対策が大手企業・行政ほど徹底されていないことが多い傾向にあります。不正者はこうした存在に目をつけて、子会社や取引先を経由し、ターゲットとしている企業のプログラムなどに不正コードでアタックします。
種類4:エモテット(Emotet)
特定対象を狙ったサイバー攻撃の一つとして挙げられるのが「エモテット」です。
エモテットとは、メールの送受信に目をつけたサイバー攻撃のこと。メールのやりとりを経路としたサイバー攻撃の手口であり、端末に侵入してメール情報にアクセスします。
通常のメールとの違いが分かりにくく、不正なアクセスに気づいたときにはすでに大量に感染しているケースも珍しくありません。
種類5:APT攻撃(高度標的型攻撃)
APT攻撃とは、ターゲットに対してさまざまな手法のサイバー攻撃を長期間仕掛け続けることです。しかし、金銭を要求するわけではなく、さまざまな方法でターゲットを妨害したり、損害を与えたりすることが目的。
そのため、企業だけではなく、軍の組織がターゲットとなることも少なくありません。
ちなみに、APTは、「Advanced Persistent Threat」の略称です。
種類6:水飲み場型攻撃
ユニークな名前のサイバー攻撃である「水飲み場攻撃」ですが、標的になると非常に厄介な事態に陥ってしまいます。
具体的な手法は、ターゲットが頻繁に訪問するウェブサイトの改ざんであり、そのサイトに不正プログラムを設置するのです。ターゲットがサイトを訪れるだけで、不正プログラムが端末にインストールされてしまうといった危険なサイバー攻撃と言えます。
ちなみに、「水飲み場攻撃」の名称は、自然界で肉食動物が獲物を待ち伏せする様子になぞられたと言われています。
種類7:クリックジャッキング
クリックジャッキングとは、ユーザーに損害を与えたり、不利益をもたらしたりすることが目的のサイバー攻撃です。
webサイト上に意図的に見えなくしたリンク・ボタンなどを設置するのが主な手口。リンクやボタンの設置に気が付かないまま、クリックするとそのまま何らかの処理が実行されてしまいます。
クリックジャッキングで多いのが、アカウントの乗っ取りやwebカメラ・マイクの強制作動、不正プログラムのダウンロードなどが挙げられます。
種類8:ドライブバイダウンロード
本人が気づかないうちに不正プログラムを端末に取り込んでしまう、といった被害のあるサイバー攻撃が「ドライブバイダウンロード」です。
ドライブバイダウンロードは、ターゲットがよく訪れるサイトに悪意のあるリンクやボタンを設置するといった手口です。水飲み場攻撃よりも、ターゲットの幅が広く、多くのユーザーに向けたサイバー攻撃と言えます。
種類9:キーロガー
キーロガーそのものは決して悪意のあるソフトではなく、IT関連の現場では重宝されているツールです。キーボードの操作内容を記録できることから、ソフトウェアの開発現場などでは特によく利用されています。
しかし、キーボードの操作内容が記録できることで、その機能を悪用するケースがあります。実際、何らかの方法で端末にキーロガーをしかけて、情報を不正に取得することは決して難しいことではありません。
キーロガーで得た情報からは、取引先とのやりとりの記録や、個人情報などが確認できてしまうため注意が必要です。
種類10:ガンプラー攻撃
ガンブラー攻撃とは、サイバー攻撃を仕掛けるユーザーがサーバーへ不正侵入してサイトを改ざんしたり、不正なプログラムを埋め込んだりするのが特徴です。
知らずにwebサイトを閲覧すると、偽のwebサイトへ誘導されてしまったり、自動転送によって意図せず悪意のあるリンク先に飛んでしまったりすることがあります。その結果、不正なアクションによって意図せずにプログラムのダウンロードさが開始してしまうのです。
ガンブラー攻撃で使われるサイトは、通常のサイトとの判別がつきにくく、閲覧するだけではサイバー攻撃を受けていることに気が付きにくいのが難点です。
▼人手不足でお悩みの方はこちらの記事がおすすめ!▼
不特定対象を狙ったサイバー攻撃5選
上記では特定の対象を狙ったサイバー攻撃についてご紹介しましたが、他にも「不特定多数」に向けたサイバー攻撃も存在します。
不特定対象を狙ったサイバー攻撃にはどのような種類があるのか、チェックしておきましょう。
種類1:フィッシング
不特定対象を狙ったサイバー攻撃として、定番的な種類であるのが「フィッシング」です。
フィッシングは、正規のサービスになりすまして、ユーザーにクレジットカード情報や口座情報などの入力を促したり、サイトのIDやパスワードなどを入力させたりして、個人情報を不正に手に入れるのが特徴です。
ターゲットとなるのは、企業よりも個人が多い傾向にあります。なりすますサービスとしては、「クレジットカード会社」「ネットバンク事業者」などがほとんどです。
種類2:スミッシング
スミッシングは、SMSを使ったサイバー攻撃の一つです。
SMSとは、モバイル端末で使用できるショートメッセージサービスのことであり、サービスの利用やSNSアカウントの開設などの際にSMS認証を求められることが増えました。
このSMSから正規サイトに似せた偽物のサイトへと誘導したり、不正アプリのダウンロード画面へとアクセスさせたりして、個人情報を不正入手するのが特徴です。
種類3:ゼロクリック
不特定多数を狙うサイバー攻撃の中でも、直接的なアプローチを仕掛けてくる手口である「ゼロクリック」。
ゼロクリックは、webサイトを閲覧していただけであるにも関わらず、突然「料金は○○円です」「登録が完了しました」などのメッセージを表示するのが特徴です。
メッセージとともに電話番号が記載されていることも多く、驚いたユーザーがその番号に電話をかけてしまうケースが少なくありません。
電話をかけてしまうとユーザーの電話番号が相手に知られてしまうので、絶対に不審な番号に電話をかけるのはNGです。
種類4:ジュースジャッキング攻撃
ジュースジャッキング攻撃とは、公共のUSBポートを狙ったサイバー攻撃です。
公共のUSBポートに細工を施して、利用したユーザーの端末に不正なプログラムをインストールさせたり、接続と同時に個人情報を盗んだりする悪質な手口が特徴。
最近では、USBポートのほか、公共の場で使えるケーブルに細工をするケースも増えている事態なので、公共の場で端末を充電・接続する際には注意しなければなりません。
種類5:タイポスクワッティング
不特定多数を狙ったサーバー攻撃の種類の一つが、「タイボスクワッティング」です。
タイボスクワッティングの「Typo」は打ち間違いを意味し、「Squatting」は占有を指します。これらの文字の通り、タイポスクワッティングは、正規のURLを検索エンジンなどで入力するにあたり、あらかじめ打ち間違いをしやすい偽のサイトを作成しておき、ユーザーを不正に誘導するのが特徴です。
その他サイバー攻撃5選
サイバー攻撃の種類を見てみると、他にもいろいろな手法で不正アクセスや妨害、情報の不正入手などが行われています。
ここからは、その他のサイバー攻撃として用いられているさまざまな手法をご紹介します。
種類1:DoS攻撃
DoS攻撃は、攻撃用のマシンを使ったサイバー攻撃のことです。
特定のターゲットに対して一方的に攻撃を仕掛けるのが特徴。妨害や不正アクセスなどを目的としている際に用いられることが多い傾向にあります。
また、DoSと似ていながらもさらに厄介な「DDoS攻撃」も存在します。DDoS攻撃の場合、攻撃側は複数存在し一斉攻撃をしかけるため、防御が難しいのが難点。サイバー攻撃対策をしていても、突破されてしまうケースもあり、数々の攻撃に耐えられる堅牢なシステムが重要となります。
種類2:F5アタック
F5アタックは、文字通りパソコンキーボードの「F5」を使ったサイバー攻撃のことです。
F5キーを利用してリロードを繰り返すのが特徴。リロードが繰り返されると、webサーバーに負担がかかるため、停止してしまったり、ダウンしてしまったりするなど、深刻な事態に陥ってしまいます。
F5アタックは、他にも「F5攻撃」「F5連続攻撃」などと呼ばれることもあり、その脅威は企業としては無視できないものとなっています。
種類3:ゼロデイ攻撃
OSやwebサイトの脆弱性に目をつけたサイバー攻撃である「ゼロデイ攻撃」。攻撃をする側のみが知る脆弱性を狙って攻撃をしかけたり、脆弱性についてメーカーや開発者などが把握していながらも修正プログラムが未公表であることを狙って攻撃したりするケースが多く見られます。
脆弱性をきちんと把握し、適したセキュリティ対策を実施することで回避しやすい問題ではありますが、まだまだ被害が後を絶たないサイバー攻撃でもあります。
種類4:SQLインジェクション
SQLインジェクションとは、webアプリケーションの設計上の欠陥や脆弱性を狙ったサイバー攻撃のことです。欠陥や脆弱性を悪用して、悪意のあるSQL分をデーターベースの一部分に取り込みます。
こうした攻撃によって、勝手にデーターベースが操作されてしまったり、情報を盗まれてしまったりするなど、企業としては大きな損害になってしまうリスクがあります。
種類5:クロスサイトスクリプティング
クロサイトスクリプティングは、ブログや掲示板、SNS(Twitterなど)が狙ったサーバー攻撃の一つです。
上記はユーザーの入力内容に酔ってサイトやアプリケーションが作成されていくのが特徴。この脆弱性に目をつけたサーバー攻撃と言えます。
攻撃者がサイト・アプリケーションに細工を施し、ユーザーがクリックしたら別のwebサイトへアクセスさせたり、何らかの動作が勝手に実行させたりするような動作が多い傾向にあります。
▼人手不足でお悩みの方はこちらの記事がおすすめ!▼
サイバー攻撃を受けた企業事例
サイバー攻撃は多くの企業が被害を受けているほど、深刻な問題となっています。国内では、有名企業もサイバー攻撃のターゲットとなった事例があり、その被害が深刻だったケースも少なくありません。
ここからは、サイバー攻撃を受けた企業事例をご紹介します。
事例1:GMOペパボ
GMOペパポでは、2018年の1月に、同社が運営しているECサイトで不正アクセスがありました。GMOペパポが独自使用しているアプリの機能に対してサイバー攻撃がしかけられ、ユーザーやショップオーナーなどの個人情報が流出。その数はおよそ9万件に上ると発表されました。
ECサイトの規模が大きかった分、その被害も甚大なものとなってしまったと考えられます。
事例2:日本年金機構
2015年6月、サイバー攻撃を受けたことによって深刻な被害に遭った日本年金機構。
年金情報管理システムサーバに外部からの不正アクセスがあり、年金加入者の個人情報の情報漏洩が発覚しました。その被害規模は約125万件と甚大です。
流出したのは、基礎年金番号や氏名、生年月日、住所などの個人情報でした。
不正アクセスに至った経緯は、職員がメールに添付されていた不正なファイルを開封したことがきっかけであるとされています。感染した端末から機構LANに接続され、さまざまなフォルダから情報を盗まれたと考えられています。
事例3:PayPay
比較的最近サイバー攻撃を受けた例として、PayPayが挙げられます。
PayPayがサイバー攻撃を受けたのは、2020年の12月。加盟店情報や従業員の個人情報等の情報が流出していたことが判明しました。
およそ2,000万件もの情報が流出した本件ですが、前月にブラジルからの不正アクセス履歴が発見されていました。
また、不正アクセスの原因として、アクセス権限の設定不備と特定しており、現在は再発防止を徹底しています。
まとめ
サイバー攻撃は、企業・個人問わずターゲットになる問題です。
そのうえ、近年は巧妙な手口によって、未然に防ぐことも難しくなりつつあります。適切なセキュリティ対策はもちろんのこと、最新のサイバー攻撃についても理解を深め、常に対策はアップデートしていく必要があります。
今回ご紹介したサイバー攻撃の種類や被害事例などを参考にしながら、自社・個人でできるサイバー攻撃対策を行いましょう。
また、以下の記事も参考になりますので、併せてご覧下さい。
参考:不正アクセスの被害事例について理解する|Securify
▼人手不足でお悩みの方はこちらの記事がおすすめ!▼
