サイバー攻撃とは?
サイバー攻撃とは、コンピューターシステムやネットワーク、デジタルデバイスに対して、不正アクセス、データの窃取、システムの破壊、サービスの妨害などを目的として行われる悪意のある行為の総称です。デジタル化が急速に進む現代社会において、個人から企業、政府機関まで、あらゆる組織がサイバー攻撃の脅威にさらされています。
あなたのアカウントとお金を狙う手口
私たちが普段使っているメールやSNS、ネットバンキングなどのアカウントは、常に狙われています。不正アクセスとは、他人のアカウントに勝手にログインすることで、例えばあなたのパスワードを盗んでメールアカウントに侵入するような行為です。総当たり(ブルートフォース)攻撃は、「123456」「password」といった簡単なパスワードから順番に、何万通りものパスワードを機械的に試していく手法です。まるで金庫の暗証番号を0000から9999まで全部試すようなものです。パスワードリスト攻撃(クレデンシャルスタッフィング)は、どこかのサービスから流出したメールアドレスとパスワードの組み合わせを使って、別のサービスにもログインを試みる攻撃です。同じパスワードを使い回していると、一つのサービスで漏れたパスワードで他のサービスも突破されてしまいます。アカウント乗っ取り(ATO)が成功すると、攻撃者はあなたになりすまして、勝手に買い物をしたり、友人にお金を借りるメッセージを送ったりできてしまいます。最近は二段階認証を設定していても安心できません。多要素認証バイパスという技術で、SMSで送られてくる認証コードさえも突破される事例があります。OAuth/SSOの悪用は、「Googleアカウントでログイン」のような便利な機能を悪用する手口です。一度の認証で複数のサービスにアクセスできる仕組みが、逆に複数のサービスを一気に乗っ取られる危険性を生んでいます。SIMスワップは、携帯電話会社を騙してあなたの電話番号を攻撃者のSIMカードに移してしまう手口で、SMS認証が全く意味をなさなくなります。パスワードスプレー攻撃は、「password123」のような誰もが使いそうなパスワードを、たくさんのアカウントに対して試す手法です。セッション固定/クッキー盗難は、ログイン状態を保持する仕組みを悪用して、ログインしていないのにログインしているように見せかける手口です。同意画面フィッシング(OAuth同意詐欺)では、「このアプリにアクセスを許可しますか?」という画面で「許可」を押させて、アカウントの権限を奪います。トークン窃取・再利用は、一度使った認証情報を盗んで何度も使い回す攻撃です。
パソコンやスマホを狙うウイルス
マルウェア感染とは、悪意のあるプログラム(ウイルス)がパソコンやスマホに入り込むことです。感染すると、動作が遅くなったり、勝手に広告が表示されたり、最悪の場合はすべてのデータが使えなくなったりします。特に恐ろしいのがランサムウェアです。これは身代金要求型ウイルスとも呼ばれ、あなたの大切な写真や仕事のファイルをすべて暗号化(開けなく)してしまい、「元に戻してほしければお金を払え」と脅迫してきます。実際に病院のシステムが止まって手術ができなくなったり、工場の生産ラインが停止したりする被害が起きています。スパイウェア/キーロガーは、あなたがキーボードで入力する内容をすべて記録して攻撃者に送信します。パスワードやクレジットカード番号を入力した瞬間に盗まれてしまうのです。クリプトジャッキングは、あなたのパソコンの処理能力を勝手に使って仮想通貨の採掘(マイニング)を行います。電気代が急に高くなったり、パソコンが異常に熱くなったりしたら要注意です。ボットネット感染すると、あなたのパソコンが犯罪者の手先になってしまいます。知らないうちに他のコンピューターを攻撃したり、迷惑メールを大量送信したりする「ゾンビパソコン」になってしまうのです。ドライブバイダウンロード/マルバタイジングは、普通のWebサイトを見ただけで、または広告をクリックしただけでウイルスに感染する恐ろしい手口です。アドウェアは、画面いっぱいに広告を表示させる迷惑なプログラムです。ルートキットは、システムの奥深くに隠れて、ウイルス対策ソフトにも見つからないように潜伏します。ワイパー系マルウェアは、データを完全に消去することだけが目的の破壊的なウイルスです。スマートフォン特有の脅威もあります。ストーカーウェア(モバイル)は、恋人や配偶者の行動を監視するために使われることが多く、位置情報やメッセージがすべて筒抜けになります。偽プロファイル/MDM悪用では、会社が従業員のスマホを管理する仕組みを悪用して、個人情報を盗み見ます。
インターネット接続そのものへの攻撃
DDoS攻撃は、大量のアクセスを一度に送りつけてWebサイトをパンクさせる攻撃です。お店に大勢の偽客が押し寄せて、本当のお客さんが入れなくなるようなものです。中間者攻撃(MITM)/セッションハイジャックは、あなたとWebサイトの間の通信に割り込んで、やり取りを盗み見たり、内容を書き換えたりします。リプレイ攻撃は、一度記録した正規の通信を後からもう一度送信する手口です。例えば、「1000円振り込む」という指示を記録して、何度も再送信することで、何度も振り込ませることができます。DNSキャッシュ汚染/ドメイン乗っ取りは、本物のWebサイトのアドレスを偽物にすり替える攻撃です。正しいURLを入力しても、偽サイトに誘導されてしまいます。BGPハイジャックは、インターネットの道案内を狂わせる高度な攻撃です。偽Wi-Fi(Evil Twin/なりすましAP)は、スターバックスやホテルの無料Wi-Fiになりすまして、接続した人の通信をすべて盗み見ます。ARPスプーフィングは、同じネットワーク内で他人の通信を横取りする手口です。むき出しのサービス/スキャン露出は、セキュリティ設定が甘いサーバーやルーターを見つけ出して侵入する攻撃です。
Webサイトやアプリの弱点を狙う攻撃
Webサイトやアプリケーション、APIの脆弱性を悪用する攻撃は特に多様です。SQLインジェクションはデータベースに不正なコマンドを注入してデータを窃取し、XSS(クロスサイトスクリプティング)では悪意のあるスクリプトを実行させます。CSRFは正規ユーザーの権限で意図しない操作を実行させ、SSRFはサーバー内部のリソースに不正アクセスします。
XXEや安全でないデシリアライゼーション、OSコマンドインジェクション、ディレクトリトラバーサルなど、システムの深部を狙う攻撃も存在します。HTTPリクエストスマグリングやクリックジャッキングのような巧妙な手法、APIの不適切な認可(BOLA等)やIDOR(直接参照の不備)のような設計上の欠陥を突く攻撃もあります。
レート制限なしの状態では自動化された攻撃を防げず、CORS設定不備は意図しないドメインからのアクセスを許可してしまいます。オープンリダイレクトやSSTI(テンプレートインジェクション)、危険なファイルアップロード、キャッシュ汚染、サブドメインテイクオーバーなど、Webアプリケーションを狙う攻撃手法は日々進化しています。
人の心理を突く詐欺の手口
技術的な攻撃だけでなく、人間の優しさや不安、欲望につけ込む詐欺も増えています。フィッシングは、銀行やAmazonなどを装った偽メールで、「アカウントが停止されました」などと不安を煽り、偽サイトに誘導してパスワードを入力させます。ソーシャルエンジニアリングは、清掃員や修理業者になりすまして会社に入り込んだり、電話で「システム管理者です」と名乗って情報を聞き出したりする手口です。標的型攻撃(APT)は、特定の企業や個人を長期間かけて狙い続ける執拗な攻撃で、ビジネスメール詐欺(BEC)は、社長や取引先になりすまして「至急振り込んでください」というメールを送る詐欺です。スミッシング/ビッシング/SNS詐欺は、SMSや電話、FacebookやInstagramなどを使った詐欺です。宅配業者を装って「不在通知」のSMSを送ったり、警察を名乗って電話をかけたりします。ウォータリングホール攻撃は、標的がよく訪れるWebサイトに罠を仕掛けて待ち伏せする手口です。最近では、ディープフェイク詐欺で有名人の顔や声を偽造して投資を勧誘したり、QRコードフィッシング(クイッシング)で偽のQRコードを貼り付けて偽サイトに誘導したりする手口も登場しています。サポート詐欺(偽警告)は、「ウイルスに感染しました!」という偽の警告を表示して、偽のサポートセンターに電話をかけさせます。ロマンス詐欺は恋人のふりをしてお金を騙し取り、求人・副業詐欺は「簡単に稼げる」と騙して登録料を払わせ、投資/暗号資産詐欺は「必ず儲かる」と嘘をついて投資させます。偽アプリ/偽サイト配布では、本物そっくりのアプリやWebサイトを作って、個人情報やお金を騙し取ります。
ソフトウェアの供給過程を狙う攻撃
現代では、一つのソフトウェアが多くの部品(ライブラリ)を組み合わせて作られています。サプライチェーン攻撃は、この供給の流れのどこかに毒を混ぜる攻撃です。信頼できるソフトウェアのアップデートにウイルスを仕込むアップデートの乗っ取りや、バックアップの破壊/改ざんで復旧できなくする攻撃があります。クラウド設定不備により、企業の機密データが誰でも見られる状態になっていることがあります。依存関係の脆弱性(OSS)は、オープンソースソフトウェアの弱点を突く攻撃で、一つの部品の問題が多くのソフトウェアに影響します。依存関係混乱(Dependency Confusion)やパッケージのタイポスクワッティングは、偽の部品を本物と間違えてインストールさせる巧妙な手口です。公開バケット・共有の露出で会社の内部資料が丸見えになったり、シークレット漏洩でパスワードがソースコードに書かれていたり、CI/CD資格情報の流出で開発システムが乗っ取られたりします。コンテナエスケープは、隔離されているはずの環境から脱出してシステム全体を攻撃する高度な手法です。
AI時代の新しい脅威
ChatGPTのような生成AIの普及により、新しいタイプの攻撃も生まれています。プロンプト注入は、AIに悪意のある指示を送って、本来の動作を変えてしまう攻撃です。ジェイルブレイクは、AIの安全装置を解除して、危険な情報を出力させる手口です。学習データ汚染は、AIの学習に使うデータに毒を混ぜて、間違った判断をさせる攻撃です。モデル・ベクトルDBからの情報引き抜きで、AIが学習した機密情報を引き出したり、AIによる機微情報の漏洩で個人情報が意図せず出力されたりする危険があります。AIサプライチェーン(拡張機能・プラグイン)悪用では、ChatGPTなどのプラグインを悪用して攻撃を行います。これらの攻撃には、まだ誰も知らない脆弱性を突くゼロデイ攻撃や、一度侵入した後で権限昇格/横展開して被害を広げる手法、正規ツール悪用(Living off the Land)でWindowsの標準機能を攻撃に使う手法などがあります。認証情報の窃取でパスワードを大量に盗み、C2ビーコン隠ぺいで攻撃者との通信を隠し、データ持ち出し(Exfiltration)で情報を外部に送信し、常駐化・足場確保でシステムに居座り続けるなど、様々な技術を組み合わせた高度な攻撃が行われています。
サイバーセキュリティ対策とは?
サイバーセキュリティ対策とは、インターネットやコンピューターを使った様々な攻撃から、私たちの大切な情報や財産、プライバシーを守るための取り組みです。ウイルス対策ソフトを入れるだけでなく、日頃の心がけから組織全体の仕組みづくりまで、様々な対策を組み合わせることで、初めて効果的な防御ができます。家の防犯に例えると、鍵をかけるだけでなく、防犯カメラを設置し、近所との連携を取り、怪しい人を見分ける目を養うことすべてが大切なように、サイバーセキュリティも多方面からのアプローチが必要なのです。
組織全体で取り組む基本の仕組み
効果的なセキュリティは、会社のトップが「セキュリティは重要だ」と認識することから始まります。コーポレートガバナンスとして、経営陣がセキュリティを経営課題として捉え、セキュリティポリシー/リスク管理の方針を明確にすることが大切です。これは「我が社はこうやって情報を守ります」という約束事を作ることです。定期的な監査/コンプライアンスでは、決めたルールが守られているか、法律に違反していないかをチェックします。事業継続計画(BCP)/災害復旧(DR)は、サイバー攻撃を受けても業務を続けられるよう、また早く復旧できるよう準備しておく計画です。例えば、ランサムウェアでデータが使えなくなっても、バックアップから復元できるようにしておくことです。サードパーティリスクの管理も重要です。取引先や外注先のセキュリティが甘いと、そこから攻撃される可能性があるからです。インシデント対応計画を作っておけば、実際に攻撃を受けた時に慌てずに対応できます。「誰に連絡するか」「どう対処するか」を事前に決めておくのです。脆弱性管理・パッチ運用は、ソフトウェアの弱点を定期的にチェックして、修正プログラム(パッチ)を適用することです。これは家の壊れた窓をすぐに修理するようなものです。セキュリティ教育・訓練で従業員全員がセキュリティの重要性を理解し、セキュア開発(SSDLC)により、作るシステムに最初からセキュリティを組み込んでおくことが大切です。
アカウントを守る具体的な方法
不正アクセスやアカウント乗っ取り(ATO)から身を守るには、まず強いパスワードを使うことが基本です。総当たり(ブルートフォース)攻撃に対抗するには、英数字と記号を組み合わせた長いパスワードが有効です。「MyDog'sName123!」のような、覚えやすくて強いパスワードを作りましょう。パスワードリスト攻撃(クレデンシャルスタッフィング)を防ぐには、サービスごとに違うパスワードを使うことが重要です。パスワード管理ツールを使えば、覚える必要もありません。多要素認証を設定すれば、パスワードが漏れても、スマホの認証アプリやSMSの確認コードがないとログインできなくなります。多要素認証バイパスへの対策として、SMS認証よりも認証アプリやハードウェアキー(YubiKeyなど)を使う方が安全です。OAuth/SSOの悪用を防ぐには、「〇〇でログイン」を使う際に、どんな権限を与えるか確認することが大切です。SIMスワップ対策として、携帯電話会社に本人確認を厳格にしてもらうよう依頼できます。パスワードスプレー攻撃を検知するため、ログイン試行回数を制限したり、異常なログインパターンを監視したりします。セッション固定/クッキー盗難を防ぐには、重要な操作の前に再度パスワードを要求したり、ログイン場所が変わったら通知したりする設定が有効です。同意画面フィッシング(OAuth同意詐欺)に騙されないよう、アプリに許可を与える際は慎重に内容を確認し、トークン窃取・再利用を防ぐため、定期的にアプリの連携を見直して不要なものは解除しましょう。
パソコンやスマホを守る方法
マルウェア感染やランサムウェアから守るには、信頼できるウイルス対策ソフトを必ず入れて、常に最新の状態に保つことが基本です。Windows DefenderやMacの標準セキュリティ機能も、きちんと設定すれば十分な保護を提供します。スパイウェア/キーロガーの対策として、怪しいソフトをインストールしない、メールの添付ファイルを不用意に開かない、という基本を守ることが大切です。クリプトジャッキングやボットネット感染を防ぐには、パソコンの動作が急に遅くなったり、ファンがうるさくなったりしたら要注意です。タスクマネージャーで不審なプログラムがないか確認しましょう。ドライブバイダウンロード/マルバタイジングへの対策として、ブラウザとプラグインを常に最新版に更新し、不要なプラグインは削除します。広告ブロッカーを使うのも有効です。アドウェアやルートキット、ワイパー系マルウェアから守るには、定期的にフルスキャンを実行し、怪しい挙動があったらすぐに専門家に相談することが重要です。スマートフォンの場合、ストーカーウェア(モバイル)を防ぐため、画面ロックを必ず設定し、他人にスマホを触らせないことが大切です。偽プロファイル/MDM悪用を避けるため、会社から指示されたもの以外のプロファイルはインストールしないようにしましょう。
インターネット接続を安全にする方法
DDoS攻撃から守るには、信頼できるホスティングサービスやCDN(コンテンツ配信ネットワーク)を利用することが有効です。個人の場合は、ルーターの設定を見直して不要なポートを閉じることが大切です。中間者攻撃(MITM)/セッションハイジャックやリプレイ攻撃を防ぐため、重要な通信は必ずHTTPS(鍵マークがある)のサイトで行い、公衆Wi-Fiでは銀行取引やショッピングを避けるか、VPNを使用しましょう。VPNは通信を暗号化してくれる「トンネル」のようなものです。DNSキャッシュ汚染/ドメイン乗っ取りへの対策として、信頼できるDNSサーバー(Google DNSやCloudflareなど)を使用し、BGPハイジャック対策は個人では難しいですが、大手プロバイダーを選ぶことでリスクを減らせます。偽Wi-Fi(Evil Twin/なりすましAP)に騙されないよう、Free Wi-Fiに自動接続する設定はオフにし、必ず施設のスタッフに正しいWi-Fi名を確認しましょう。ARPスプーフィングから守るには、自宅のルーターのファームウェアを最新に保ち、むき出しのサービス/スキャン露出を防ぐため、使わない機能やポートは必ず無効にしておきます。
Webサイトやアプリを安全に使う方法
SQLインジェクションやXSS(クロスサイトスクリプティング)、CSRFなどの攻撃から身を守るには、信頼できる大手サービスを選び、怪しいリンクや広告をクリックしないことが基本です。ブラウザの警告が出たら、絶対に無視せず引き返しましょう。SSRF、XXE、安全でないデシリアライゼーション、OSコマンドインジェクション、ディレクトリトラバーサルなどの複雑な攻撃は、主にWebサイト運営側の問題ですが、利用者としては個人情報を入力する前にそのサイトが安全か確認することが大切です。URLが正しいか、SSL証明書(鍵マーク)があるか確認しましょう。HTTPリクエストスマグリングやクリックジャッキングを避けるため、ボタンをクリックする前に一呼吸置いて、本当にクリックすべきか考える習慣をつけましょう。APIの不適切な認可(BOLA等)やIDOR(直接参照の不備)、レート制限なしの問題があるサービスは避け、CORS設定不備のあるサイトでは重要な操作をしないようにします。オープンリダイレクトによる詐欺サイトへの誘導を防ぐため、メールのリンクは直接クリックせず、ブックマークから正規サイトにアクセスしましょう。SSTI(テンプレートインジェクション)、危険なファイルアップロード、キャッシュ汚染、サブドメインテイクオーバーなどの脅威から身を守るには、常に最新のブラウザを使い、セキュリティ更新を欠かさないことが重要です。
詐欺に騙されない心構え
フィッシングメールやソーシャルエンジニアリングに騙されないためには、「急がせる」「脅す」「お得すぎる」話には要注意です。銀行や有名企業が、メールで直接パスワードを聞いてくることは絶対にありません。標的型攻撃(APT)やビジネスメール詐欺(BEC)から組織を守るには、重要な指示や送金依頼は必ず電話や対面で確認する習慣をつけることです。メールだけで判断しないことが鉄則です。スミッシング/ビッシング/SNS詐欺への対策として、知らない番号からの電話やSMS、SNSのダイレクトメッセージには慎重に対応しましょう。ウォータリングホール攻撃を避けるため、よく訪れるサイトでも油断せず、いつもと違う点がないか注意深く観察します。ディープフェイク詐欺やQRコードフィッシング(クイッシング)のような新しい手口には、「技術が進歩すれば詐欺も進化する」という認識を持つことが大切です。サポート詐欺(偽警告)の画面が出ても慌てず、ブラウザを閉じて、信頼できる人に相談しましょう。ロマンス詐欺、求人・副業詐欺、投資/暗号資産詐欺に共通するのは「うまい話には裏がある」ということです。偽アプリ/偽サイト配布を見分けるには、アプリは必ず公式ストアからダウンロードし、レビューや開発者情報を確認することが重要です。
クラウドやソフトウェアを安全に使う方法
サプライチェーン攻撃から身を守るには、ソフトウェアは公式サイトからダウンロードし、自動更新を有効にしておくことが基本です。クラウド設定不備を防ぐため、クラウドストレージの共有設定は慎重に行い、必要最小限の人とだけ共有しましょう。依存関係の脆弱性(OSS)への対策として、使っているソフトウェアのセキュリティ情報に注意を払い、アップデートの乗っ取りを防ぐため、更新通知が本物か確認してから適用します。バックアップの破壊/改ざんから守るには、バックアップを複数の場所に保管し、定期的に復元テストを行うことが大切です。
個人情報とプライバシーを守る方法
データ漏洩や誤送信/誤公開を防ぐには、送信前に必ず宛先と内容を確認する習慣が大切です。「全員に返信」ボタンは特に注意が必要です。個人情報(PII)漏洩を防ぐため、SNSで住所が特定できる写真や、子供の学校名などを公開しないようにしましょう。シャドーIT・無許可SaaSの使用は避け、会社で禁止されているツールは使わないことが重要です。便利だからといって、個人のGoogleドライブに仕事のファイルを保存するのは危険です。過剰共有・権限付与を避けるため、ファイルやフォルダの共有は必要最小限に留め、不要になったら解除します。保存期間・削除不備への対策として、不要なデータは定期的に削除し、媒体・機器の不適切廃棄を防ぐため、パソコンやスマホを処分する際は必ずデータを完全に消去します。ログへの機微情報混入を防ぐため、パスワードやクレジットカード番号は、どんな場所にも平文で書かないことが鉄則です。
オフィスや自宅での物理的な対策
内部不正(インサイダー脅威)を防ぐには、重要な作業は複数人でチェックする体制を作り、覗き見/端末盗難/USBドロップへの対策として、離席時は画面をロックし、知らないUSBメモリは絶対に使わないことが大切です。なりすまし入室(テールゲーティング)を防ぐため、オフィスのドアは必ず閉め、知らない人を入れないようにします。悪意あるUSB(BadUSB等)やEvil Maid攻撃から守るには、パソコンから離れる時は必ずロックし、BIOSパスワードを設定することが有効です。不審デバイス持ち込みを防ぐため、会社のルールに従い、私物のデバイスの使用は控えましょう。
AI時代の新しい対策
プロンプト注入やジェイルブレイクから身を守るには、AIに個人情報や機密情報を入力しないことが基本です。学習データ汚染の影響を受けないよう、AIの出力を鵜呑みにせず、重要な判断は人間が行うようにしましょう。モデル・ベクトルDBからの情報引き抜きやAIによる機微情報の漏洩を防ぐため、企業向けAIサービスを使う際は、データの取り扱いについて確認することが大切です。AIサプライチェーン(拡張機能・プラグイン)悪用を避けるため、信頼できる公式のプラグインのみを使用しましょう。
より高度な攻撃への備え
ゼロデイ攻撃のような未知の脅威には、行動監視型のセキュリティツールが有効です。異常な動きを検知して止めることができます。権限昇格/横展開を防ぐため、必要最小限の権限だけを与え、管理者権限は普段使わないことが重要です。正規ツール悪用(Living off the Land)への対策として、PowerShellなどの強力なツールの使用を制限し、認証情報の窃取を防ぐため、パスワードは定期的に変更し、使い回しは絶対に避けます。C2ビーコン隠ぺいを検知するには、通信ログを監視して異常なパターンを見つけることが必要です。データ持ち出し(Exfiltration)を防ぐため、大量のデータ送信を検知・制限する仕組みを導入し、常駐化・足場確保されないよう、定期的にシステムの健全性をチェックすることが大切です。サイバーセキュリティ対策は、これらすべてを完璧に実施することではなく、自分や組織にとって重要なものから順番に、できることから始めることが大切です。基本的な対策をしっかり行うだけでも、多くの攻撃から身を守ることができます。そして何より重要なのは、「自分は狙われるはずがない」という油断を捨て、常に注意深くインターネットを利用する意識を持ち続けることです。
