不正アクセスの手口と種類|2025年最新版

コラム

2025年、サイバー攻撃の手口は日々進化し、AIやディープフェイクなど最新技術を悪用した攻撃が急増しています。警察庁によると、不正アクセスの認知件数は前年比20%増加し、特に巧妙化した攻撃により被害額も拡大しています。本記事では、セキュリティ担当者が知るべき最新の攻撃手口を、技術的な仕組みから防御方法まで体系的に解説します。

パスワード攻撃の手口

パスワード攻撃は、不正アクセスの最も基本的でありながら、依然として成功率の高い攻撃手法です。2025年現在、コンピュータの処理能力向上により、従来は安全とされていたパスワードも短時間で破られる時代になっています。お金・アカウントを守るためには、攻撃者がどのような手口を使うのかを理解することが重要です。

総当たり攻撃(ブルートフォース)

攻撃の仕組み

総当たり攻撃(ブルートフォース攻撃)は、考えられるすべてのパスワードの組み合わせを順番に試していく、最も原始的ながら確実な攻撃手法です。まるで金庫の暗証番号を0000から9999まですべて試すような方法ですが、コンピュータの高速化により、この単純な手法が驚異的な威力を発揮しています。

2025年の最新のGPU(グラフィックス処理装置)を使用した攻撃システムでは、1秒間に100万回から10億回のパスワード試行が可能になっています。これは、人間が1つずつパスワードを入力する場合の数百万倍の速度です。さらに、複数のGPUを並列に動作させるGPUクラスターシステムでは、その速度は指数関数的に増加します。

例えば、NVIDIA A100を8枚搭載したクラスターシステムでは、MD5ハッシュに対して毎秒3兆回の試行が可能です。これにより、英小文字のみの8文字パスワードであれば、26の8乗(約2089億通り)の組み合わせを、わずか3時間で総当たりできてしまいます。

クラウドコンピューティングの普及により、攻撃者は高額な機器を購入することなく、時間単位でこれらの強力な計算資源をレンタルできるようになりました。AWS、Azure、Google Cloudなどのクラウドサービスを悪用し、月額数万円程度の投資で、企業のシステムに対する大規模な総当たり攻撃を実行できる時代になっています。これはサイバー攻撃の民主化とも言える危険な状況です。

実際の攻撃速度

パスワード長 文字種 組み合わせ数 解読時間(2020年) 解読時間(2025年)
6文字 英小文字のみ 約3億通り 10秒 0.1秒
8文字 英小文字のみ 約2089億通り 1時間 1分
8文字 英数字 約2.8兆通り 2日 3時間
10文字 英数字+記号 約73京通り 5年 2ヶ月
12文字 全文字種 約5垓通り 200年 3年
14文字 全文字種 約4,000垓通り 17,000年 250年

この表が示すように、技術の進歩により解読時間は劇的に短縮されています。特に注目すべきは、かつて「安全」とされていた8文字パスワードが、もはや数時間で破られる水準になっていることです。

防御方法

総当たり攻撃からセキュリティ対策を強化するには、多層的なアプローチが必要です。

まず最も効果的なのがアカウントロックアウト機能の実装です。パスワード入力を5回失敗したら30分間アカウントをロックする、10回失敗したら管理者への通知と永久ロックなど、段階的な制限を設けることで、総当たり攻撃の実行を困難にします。ただし、これは正規ユーザーの利便性を損なう可能性があるため、バランスが重要です。

レート制限も有効な対策です。同一IPアドレスからの認証試行を1秒に1回、1分に3回などに制限することで、攻撃速度を大幅に低下させることができます。また、試行失敗が続く場合は、指数関数的に待機時間を増やすバックオフアルゴリズムの実装も効果的です。

CAPTCHA/reCAPTCHAの導入により、自動化された攻撃を防ぐことができます。特にGoogleのreCAPTCHA v3は、ユーザーの操作を妨げることなく、バックグラウンドで人間かボットかを判定し、怪しいアクセスのみに追加認証を要求する仕組みです。

地理的制限(GeoIP blocking)も考慮すべき対策です。日本国内向けのサービスであれば、海外からのアクセスを制限することで、多くの攻撃を未然に防げます。ただし、VPNを使用する正規ユーザーへの配慮も必要です。

辞書攻撃とレインボーテーブル

よくあるパスワードTOP100

辞書攻撃は、よく使われるパスワードのリストを使って効率的に攻撃を行う手法です。「password123」「123456789」「qwerty」といった、世界中で使われている危険なパスワードは、わずか数秒で破られてしまいます。

日本特有の危険なパスワードとして、生年月日(19900315など)、電話番号の下4桁、郵便番号、「あいうえお」のローマ字表記(aiueo)などがあります。また、キーボード配列に沿った文字列(qwerty、asdfgh、zxcvbn)も非常に危険です。これらはパスワードリスト攻撃の標的となりやすく、パスワードリスト攻撃(クレデンシャルスタッフィング)の被害に遭う可能性が高まります。

2025年の調査によると、日本人が使用する危険なパスワードの約30%が、名前や誕生日などの個人情報を含んでいることが判明しています。これらはソーシャルエンジニアリングと組み合わせることで、容易に推測可能です。

ハッシュ値からの逆算

パスワードは通常、ハッシュ関数という一方向の暗号化処理を施されて保存されます。しかし、MD5やSHA-1といった古いハッシュ関数は、現在では脆弱性が指摘されており、レインボーテーブルという事前計算済みのハッシュ値データベースを使うことで、瞬時に元のパスワードを逆算できてしまいます。

レインボーテーブルは、一般的なパスワードとそのハッシュ値の対応表です。例えば、「password」のMD5ハッシュ値は「5f4dcc3b5aa765d61d8327deb882cf99」ですが、この値からレインボーテーブルを検索すれば、即座に「password」という元の文字列を特定できます。8文字以下のパスワードであれば、数テラバイトのレインボーテーブルで、ほぼすべての組み合わせをカバーできます。

この攻撃への対策として、ソルト(salt)と呼ばれるランダムな文字列をパスワードに付加してからハッシュ化する手法が推奨されています。これにより、同じパスワードでも異なるハッシュ値となり、レインボーテーブルが無効化されます。さらに、bcryptやArgon2といった計算量的に負荷の高いハッシュ関数を使用することで、総当たり攻撃への耐性も向上します。

パスワードスプレー攻撃

従来攻撃との違い

パスワードスプレー攻撃は、従来の総当たり攻撃とは逆のアプローチを取る巧妙な手法です。一つのアカウントに対して多数のパスワードを試すのではなく、多数のアカウントに対して少数の一般的なパスワードを試すという水平展開型の攻撃です。

例えば、1000人の従業員がいる企業に対して、「Password2025!」「Spring2025」「Company123」といった、よくありがちなパスワードを全員に対して1回ずつ試します。各アカウントへの試行は1回だけなので、アカウントロックアウトを回避できます。統計的に、1000人中10~20人は、このような単純なパスワードを使用している可能性が高いのです。

組織全体への水平展開により、一度の攻撃で複数のアカウントを侵害できる可能性があります。特に、季節パスワード(Spring2025!、Summer2024など)や、会社名を含むパスワードは狙われやすく、定期的なパスワード変更ポリシーがかえって脆弱性を生む場合があります。

成功率が高い理由

パスワードスプレー攻撃の成功率が高い理由は、その検知の困難さにあります。各アカウントへの試行回数が少ないため、通常のセキュリティ監視システムでは異常として検知されにくいのです。

攻撃者は大量のユーザーIDリストを事前に収集します。LinkedInやFacebookなどのSNSから従業員リストを作成したり、過去のデータ漏洩事件で流出したメールアドレスを利用したりします。これらの情報と、企業の命名規則(firstname.lastname@company.comなど)を組み合わせることで、高精度なターゲットリストを作成できます。

さらに、時間をかけた低速攻撃により、検知を回避します。1日1アカウント、1週間で7アカウントといったペースで攻撃を行うことで、通常のアクセスパターンに紛れ込ませることができます。この手法はAPT(Advanced Persistent Threat)攻撃の一環として使われることも多く、標的型攻撃(APT)の初期侵入手段として警戒が必要です。

脆弱性を突く攻撃

システムの設計上の欠陥や実装の不備を突く脆弱性攻撃は、技術的に高度でありながら、自動化ツールの普及により、スクリプトキディでも実行可能になっています。これらの攻撃はセキュリティ対策の根幹を揺るがす深刻な脅威です。

SQLインジェクション

攻撃の仕組み

SQLインジェクションを理解するために、図書館の検索システムを例に説明しましょう。図書館の検索窓に本のタイトルを入力すると、システムは「この本を探してください」という命令(SQLクエリ)をデータベースに送ります。しかし、悪意ある利用者が検索窓に特殊な文字を入力すると、「この本を探してください、そして全ての本の情報を見せてください」という命令に書き換えられてしまうのです。

技術的には、Webアプリケーションがユーザーの入力を適切に検証せずに、直接SQLクエリに組み込んでしまうことで発生します。例えば、ログイン画面でユーザー名とパスワードを入力する際、システムは「このユーザー名とパスワードの組み合わせが存在するか」をデータベースに問い合わせます。しかし、攻撃者が特殊な文字列を入力することで、「常に真となる条件」を追加し、パスワードなしでログインできてしまうのです。

この攻撃により、データベース内のすべての情報が露出する危険があります。顧客情報、クレジットカード番号、企業の機密情報など、データベースに格納されているあらゆる情報が盗まれる可能性があります。2024年には、ある大手ECサイトがSQLインジェクション攻撃を受け、500万件の個人情報が流出する事件が発生しました。

SQLインジェクションは、Webサイト・APIの弱点として最も危険な脆弱性の一つです。SQLインジェクションの詳細な対策を理解することが、Webアプリケーション開発において必須となっています。

実際の攻撃例(教育目的)

-- 正常なログイン処理の例
-- ユーザーが入力: username='tanaka', password='mypassword'
SELECT * FROM users WHERE username = 'tanaka' AND password = 'mypassword'

-- 攻撃者が入力する悪意ある文字列の例(実際には使用しないこと)
-- username フィールドに: admin' --
-- password フィールドに: (何でもよい)
SELECT * FROM users WHERE username = 'admin' --' AND password = '何でもよい'

-- 結果:「--」以降がコメントとして無視され、パスワードチェックがバイパスされる
-- admin としてログインできてしまう

-- データ窃取の例(教育目的のみ、実際には使用禁止)
-- 商品検索フィールドに以下を入力
' UNION SELECT username, password FROM users --

-- 結果として実行されるSQL
SELECT name, price FROM products WHERE name = '' 
UNION SELECT username, password FROM users --'

-- 商品情報の代わりに、全ユーザーの認証情報が表示される

攻撃の段階

SQLインジェクション攻撃は、通常3つの段階を経て実行されます。

第1段階:情報収集フェーズでは、攻撃者はエラーメッセージからデータベースの構造を推測します。わざとエラーを発生させることで、「テーブル'users'が存在しません」「カラム'credit_card'が見つかりません」といったエラーメッセージを引き出し、データベースの内部構造を把握していきます。使用されているデータベースの種類(MySQL、PostgreSQL、SQL Serverなど)も、エラーメッセージの違いから特定できます。

第2段階:権限昇格フェーズでは、一般ユーザーから管理者権限を奪取します。データベースの管理者アカウント情報を窃取したり、新しい管理者アカウントを不正に作成したりします。さらに、データベースサーバーのOSコマンドを実行できる場合もあり、システム全体の制御を奪われる危険があります。

第3段階:データ窃取フェーズでは、目的の情報を外部に送信します。大量のデータを一度に送信すると検知されやすいため、少しずつ時間をかけて窃取することが多いです。また、データを暗号化したり、画像ファイルに埋め込んだりして、検知を回避する手法も使われます。

防御策

SQLインジェクションへの防御は、開発段階から運用段階まで、多層的に実施する必要があります。

最も基本的で効果的な対策はプリペアドステートメント(パラメータ化クエリ)の使用です。これは、SQLクエリの構造とデータを分離する手法で、ユーザー入力がSQL文の一部として解釈されることを防ぎます。すべてのデータベースアクセスでプリペアドステートメントを使用することが推奨されます。

入力値検証とエスケープ処理も重要です。ホワイトリスト方式で許可する文字を限定し、特殊文字(シングルクォート、ダブルクォート、セミコロンなど)を適切にエスケープします。ただし、この方法だけでは完全な防御にはならないため、プリペアドステートメントと併用することが重要です。

最小権限の原則を適用し、アプリケーションが使用するデータベースアカウントの権限を必要最小限に制限します。読み取り専用の処理には読み取り権限のみ、特定のテーブルのみアクセス可能にするなど、細かく権限を設定します。

WAF(Web Application Firewall)の導入により、既知の攻撃パターンを自動的にブロックできます。ただし、WAFは補助的な対策であり、根本的な脆弱性の修正が最優先です。

クロスサイトスクリプティング(XSS)

3つのタイプ

タイプ 特徴 攻撃の永続性 危険度 発生頻度
反射型XSS URLパラメータ経由で即座に実行 一時的
格納型XSS DBに保存され継続的に実行 永続的
DOM-based XSS クライアント側のJavaScriptで発生 一時的

XSS攻撃は、悪意のあるスクリプトをWebページに注入し、他のユーザーのブラウザで実行させる攻撃です。これにより、セッションハイジャック、個人情報の窃取、フィッシング詐欺への誘導などが可能になります。

実際の被害事例

2024年、大手SNSサイトでXSS脆弱性が発見され、約10万人のユーザーの個人情報が流出する事件が発生しました。攻撃者は、プロフィールページの自己紹介欄にJavaScriptコードを埋め込み、そのページを閲覧したユーザーのセッションクッキーを自動的に攻撃者のサーバーに送信する仕組みを構築していました。

2025年1月には、某ECサイトの商品レビュー機能を悪用したXSS攻撃により、購入者のクレジットカード情報が盗まれる事件が発生しました。レビューコメントに仕込まれた悪意のあるスクリプトが、チェックアウトページで入力されたカード情報を外部サーバーに送信していたのです。

2023年の掲示板サイトでは、XSSワームが拡散し、サイト全体が機能停止に陥る事件もありました。一人のユーザーが投稿した悪意のあるコードが、それを見た他のユーザーのアカウントから自動的に同じコードを投稿し、ねずみ算式に拡散していきました。これはマルウェア感染と同様の拡散メカニズムです。

Content Security Policy

Content Security Policy(CSP)は、XSS攻撃を防ぐための強力な防御メカニズムです。ブラウザに対して、どのソースからのスクリプトやスタイルシートの実行を許可するかを指示する仕組みです。

CSPヘッダーの基本的な設定例として、Content-Security-Policy: default-src 'self'を設定することで、同一オリジンからのリソースのみを許可できます。さらに詳細に、script-src 'self' https://trusted-cdn.comのように、信頼できるCDNからのスクリプトのみを許可することも可能です。

ホワイトリスト方式の採用により、許可されていないソースからのスクリプト実行を完全にブロックできます。また、インラインスクリプトの禁止により、HTMLタグ内に直接記述されたJavaScriptの実行を防ぐことができます。これは、多くのXSS攻撃がインラインスクリプトを利用することから、非常に効果的な対策となります。

ゼロデイ攻撃

未知の脆弱性

ゼロデイ攻撃は、ベンダーがまだ認識していない、または修正パッチが提供されていない脆弱性を悪用する攻撃です。「ゼロデイ」という名前は、ベンダーが脆弱性を知ってから対策を講じるまでの日数が「ゼロ日」、つまり対策する時間がないことを意味します。

発見から悪用までの72時間が勝負と言われています。脆弱性が発見されてから、それが実際の攻撃に使用されるまでの平均時間は約3日間。この短期間に、攻撃者は脆弱性を分析し、攻撃コードを開発し、標的を選定して攻撃を実行します。

2025年に発見された主要なゼロデイ脆弱性として、1月のMicrosoft Exchange Server、2月のGoogle Chrome、3月のAdobe Reader、4月のVMware vCenter、5月のCisco IOSなどがあります。これらの脆弱性は、発見から数時間以内にAPT攻撃グループによって悪用され、政府機関や大企業が標的となりました。

標的型攻撃での利用が特に問題となっています。国家支援型のハッカー集団は、ゼロデイ脆弱性を100万ドル以上で購入し、重要インフラや政府機関への攻撃に使用しています。これらの攻撃は検知が極めて困難で、数ヶ月から数年にわたって潜伏することもあります。

対策の困難さ

ゼロデイ攻撃への対策が困難な理由は、パッチが存在しない期間の脆弱性に対処しなければならないことです。従来のシグネチャベースのセキュリティ製品では、未知の攻撃を検知できません。

仮想パッチによる緩和策が一時的な対策として有効です。これは、脆弱性のある箇所へのアクセスを制限したり、攻撃パターンを検知してブロックしたりする技術です。IPSやWAFなどのセキュリティ機器で実装され、正式なパッチが提供されるまでの間、システムを保護します。

EDR(Endpoint Detection and Response)XDR(Extended Detection and Response)による異常検知も重要です。これらのツールは、通常とは異なる振る舞いを検知することで、未知の攻撃を発見できます。プロセスの異常な動作、ファイルの不審な変更、ネットワークの異常な通信などを監視し、ゼロデイ攻撃の兆候を捉えます。

ソーシャルエンジニアリング

技術的な脆弱性ではなく、人間の心理的な弱点を突くソーシャルエンジニアリングは、最も防御が困難な攻撃手法の一つです。どんなに強固な技術的対策を施しても、人間の判断ミスや善意を悪用されれば、簡単にシステムは突破されてしまいます。

フィッシング詐欺の巧妙化

2025年の最新手口

フィッシング詐欺は年々巧妙化し、2025年には以下のような最新手口が確認されています。

1. AIによる自然な日本語生成
ChatGPTやClaudeなどの大規模言語モデルを悪用し、文法的に完璧で自然な日本語のフィッシングメールが作成されています。従来の「てにをは」の間違いや不自然な敬語といった見分けポイントが通用しなくなっています。

2. ディープフェイクによる音声詐欺
CEOや上司の声を模倣したディープフェイク音声で電話をかけ、緊急の送金を指示する事例が増加しています。わずか3秒の音声サンプルから、本人と区別がつかない音声を生成できる技術が悪用されています。

3. QRコードフィッシング(クイッシング)
QRコードを使ったフィッシングが急増しています。メールに添付されたQRコードや、街頭に貼られた偽のQRコードから、フィッシングサイトに誘導されます。QRコードは人間が内容を確認できないため、危険性の判断が困難です。

4. OAuth同意画面の悪用
「Googleでログイン」「Facebookでログイン」といったOAuth認証の同意画面を偽装し、アカウントへのアクセス権限を騙し取る手口です。正規のOAuthフローに見えるため、多くのユーザーが疑いなく承認してしまいます。

5. ブラウザ通知の悪用
Webプッシュ通知の許可を求めるポップアップを悪用し、偽の警告メッセージを表示させる手口です。一度許可すると、ブラウザを閉じても通知が届き続け、フィッシングサイトへ誘導されます。

6. PWA(Progressive Web App)偽装
本物のアプリのように見えるPWAを作成し、スマートフォンにインストールさせる手口です。アプリストアの審査を経ずに配布できるため、マルウェアを仕込んだ偽アプリが拡散しています。

7. AirDrop/Nearby Share悪用
公共の場でAirDropやNearby Shareを使って、不特定多数に悪意のあるファイルやリンクを送信する手口です。「お得なクーポン」「緊急のお知らせ」といった名前で送信され、クリックを誘います。

8. 偽CAPTCHA
「私はロボットではありません」のCAPTCHA認証を偽装し、悪意のあるスクリプトを実行させる手口です。認証ボタンをクリックすると、マルウェアがダウンロードされたり、通知の許可を求められたりします。

9. Homograph攻撃
似た文字を使ってドメイン名を偽装する攻撃です。例えば、「google.com」を「goog1e.com」(数字の1を使用)や「gооgle.com」(キリル文字のоを使用)に偽装し、本物と見分けがつかないフィッシングサイトを作成します。

10. サブドメイン偽装
「amazon-secure.phishing-site.com」のように、信頼できるブランド名をサブドメインに含めることで、正規サイトと誤認させる手口です。多くのユーザーは最初の部分だけを見て安心してしまいます。

見分け方チェックリスト

URL確認(必須3項目)
□ httpsの有無と証明書の確認(ただしhttpsでも安全とは限らない)
□ ドメイン名の完全一致確認(1文字の違いも見逃さない)
□ サブドメインの確認(信頼できる企業名が含まれていても騙されない)
メール内容(必須6項目)
□ 差出人アドレスのドメイン確認(表示名ではなく実際のアドレス)
□ 緊急性を過度に煽る内容(24時間以内、今すぐ、など)
□ 文法や敬語の不自然さ(AIで改善されているが依然として存在)
□ 個人情報の要求(正規企業はメールで要求しない)
□ 添付ファイルの拡張子(.exe、.scr、.vbs等は危険)
□ リンク先URLの事前確認(ホバーして表示されるURLを確認)
要求内容(必須3項目)
□ パスワードの直接入力要求(正規サービスは要求しない)
□ 個人情報の詳細要求(銀行口座、マイナンバー等)
□ 送金・購入の要求(ギフトカード、仮想通貨等)
送信元の検証(推奨5項目)
□ SPF/DKIM/DMARCの確認(メールヘッダーで検証)
□ 送信時刻の妥当性(深夜や早朝の送信は疑う)
□ 宛先の確認(BCCで大量送信されていないか)
□ 返信先アドレスの確認(送信元と異なる場合は注意)
□ 企業の公式サイトでの情報確認(重要な通知は公式サイトにも掲載)

ビジネスメール詐欺(BEC)

CEO詐欺の手口

CEO詐欺は、経営層になりすまして従業員を騙し、不正送金させる巧妙な詐欺です。攻撃者は事前に企業の組織図、メールの文体、業務フローを綿密に調査し、本物そっくりのメールを作成します。

典型的なシナリオは、CEO が海外出張中という設定で、経理担当者に「極秘のM&A案件のため、至急送金が必要」というメールを送るものです。「機密保持のため、他の誰にも相談するな」という指示も含まれ、担当者は上司に確認することなく送金してしまいます。

2024年には、日本企業で3億円の被害が発生した事例もあります。攻撃者は数ヶ月かけて企業のメールを監視し、CEOの出張スケジュール、普段の言い回し、決裁フローまで把握していました。この準備期間の長さが、APT攻撃との類似性を示しています。

請求書詐欺

請求書詐欺は、取引先になりすまして振込先の変更を通知し、攻撃者の口座に振り込ませる手口です。長期的な取引関係がある企業間では、信頼関係が築かれているため、疑いを持たれにくいという特徴があります。

「銀行の統廃合により、振込先口座が変更になりました」「システム更新のため、一時的に別口座をご利用ください」といった、もっともらしい理由を付けて通知されます。正規の請求書フォーマットを完璧に模倣し、金額や請求内容も過去の取引と一致させることで、疑いを持たれないようにしています。

サプライヤーなりすましでは、原材料や部品の供給元を装い、定期的な支払いを攻撃者の口座に振り向けます。月々の支払いが自動化されている場合、数ヶ月間気付かれないこともあり、被害額が膨大になることがあります。

メール認証技術

SPF(Sender Policy Framework)
送信元メールサーバーのIPアドレスを検証する技術です。ドメインの所有者が、どのIPアドレスからメールを送信するかをDNSに登録し、受信側でそれを確認します。なりすましメールの多くはSPF検証で弾かれます。
DKIM(DomainKeys Identified Mail)
電子署名を使ってメールの改ざんを検知する技術です。送信時にメールに電子署名を付与し、受信時にその署名を検証することで、メールが改ざんされていないことを確認できます。
DMARC(Domain-based Message Authentication)
SPFとDKIMの結果を統合し、なりすましメールの取り扱いポリシーを定める技術です。認証に失敗したメールを拒否、隔離、または監視するかを送信側が指定できます。

物理的ソーシャルエンジニアリング

デジタルだけでなく、物理的な手法を使った攻撃も依然として脅威です。

ショルダーハッキング(のぞき見)は、電車やカフェでパスワードを入力している画面を後ろから覗き見る古典的な手法です。スマートフォンの高解像度カメラを使えば、離れた場所からでも画面を撮影できます。対策として、プライバシーフィルターの使用、周囲の確認、パスワード入力時の遮蔽が重要です。

ゴミ箱あさり(トラッシング)では、企業のゴミ箱から重要書類を回収し、情報を収集します。請求書、組織図、システム構成図など、シュレッダーにかけられていない書類から、攻撃に必要な情報を入手します。内部不正(インサイダー脅威)と組み合わさることもあります。

USBドロップ攻撃は、マルウェアを仕込んだUSBメモリを駐車場などに落としておき、拾った人が興味本位でパソコンに挿すことを狙う攻撃です。「給与明細」「機密」などのラベルを貼ることで、好奇心を刺激します。悪意あるUSB(BadUSB等)の詳細な手口と対策が必要です。

テールゲーティング(共連れ)は、正規の入館者の後ろについて、セキュリティゲートを通過する手法です。両手に荷物を持って困っているふりをしたり、従業員のふりをしたりして、親切心や同情心を利用します。

最新の攻撃トレンド

2025年のサイバー攻撃は、AI技術の悪用、ディープフェイクの活用、量子コンピュータの脅威など、従来の対策では防げない新たな次元に突入しています。

AIを使った攻撃の自動化

ChatGPT悪用事例

生成AIの急速な普及により、攻撃者もChatGPTやClaudeなどの大規模言語モデルを悪用するようになりました。

フィッシングメール自動生成では、ターゲット企業の情報を入力するだけで、その企業に特化した説得力のあるフィッシングメールを大量に生成できます。文体の模倣、業界用語の適切な使用、文法的に完璧な文章など、従来の見分け方が通用しません。さらに、相手の返信に応じて自動的に返信を生成する対話型フィッシングも登場しています。

マルウェアコード作成においても、AIは攻撃者の強力な味方となっています。「Windowsのレジストリを変更して起動時に実行されるコードを書いて」といった指示で、実用的なマルウェアコードが生成されます。プログラミング知識がない攻撃者でも、高度なマルウェアを作成できる時代になりました。

脆弱性探索の効率化も深刻な問題です。AIにソースコードを解析させることで、SQLインジェクション、XSS、バッファオーバーフローなどの脆弱性を自動的に発見できます。さらに、その脆弱性を悪用するエクスプロイトコードまで生成させることも可能です。

機械学習による最適化

攻撃者は機械学習を使って、攻撃を最適化しています。

攻撃パターンの学習により、セキュリティシステムの検知パターンを分析し、検知されない攻撃方法を自動的に生成します。侵入検知システム(IDS)の反応を観察しながら、少しずつ攻撃パターンを変更し、最終的に検知を回避する最適なパターンを見つけ出します。

防御回避の自動化では、アンチウイルスソフトやEDRの検知ロジックを学習し、それを回避するマルウェアを自動生成します。ポリモーフィック型やメタモーフィック型のマルウェアが、ランサムウェア攻撃に使用される事例が増えています。

ターゲット選定のAI化も進んでいます。SNSやLinkedInから収集した情報を分析し、最も騙しやすい標的を自動的に選定します。投稿内容、交友関係、興味関心などから、フィッシング詐欺に引っかかりやすい人物を高精度で予測します。

ディープフェイクによる認証突破

顔認証システムへの攻撃

ディープフェイク技術の進化により、顔認証システムの信頼性が揺らいでいます。

3D顔モデルの生成技術により、たった1枚の写真から立体的な顔モデルを作成できるようになりました。このモデルを使って、あらゆる角度からの顔画像を生成し、顔認証システムを突破します。SNSに投稿された写真から、その人物の3Dモデルを作成し、なりすましに使用する事例が報告されています。

リアルタイム変換技術では、ビデオ通話中に自分の顔を別人の顔にリアルタイムで変換できます。Web会議での本人確認、オンラインバンキングの顔認証、リモート試験の本人確認などが危険にさらされています。

Liveness検知の回避も可能になっています。まばたきや頭の動きを要求するLiveness検知も、高度なディープフェイク技術により突破されます。2025年には、スマートフォンの顔認証を突破する成功率が30%を超えたという研究結果も発表されています。

音声認証への脅威

音声認証システムも、ディープフェイク音声により危機的状況にあります。

3秒の音声から複製が可能になり、電話での本人確認が信頼できなくなっています。留守番電話のメッセージ、会議の録音、SNSに投稿された動画など、わずかな音声サンプルから、本人と区別がつかない音声を生成できます。

リアルタイム音声変換により、電話をしながら別人の声で話すことが可能です。上司や家族になりすまして、機密情報を聞き出したり、送金を指示したりする事例が増えています。

声紋認証の限界も明らかになっています。従来は個人識別の決定的な要素とされていた声紋も、ディープフェイク技術により模倣可能になりました。金融機関の電話認証、スマートスピーカーのユーザー識別など、音声認証に依存したシステムは根本的な見直しが必要です。

量子コンピュータの脅威

現在の暗号への影響

量子コンピュータの実用化が近づき、現在の暗号技術の安全性が根本から脅かされています。

RSA-2048が数時間で解読される時代が目前に迫っています。現在の古典的コンピュータでは数千年かかる計算を、量子コンピュータは数時間で完了できます。これにより、現在使用されているほぼすべての公開鍵暗号が無力化される可能性があります。

楕円曲線暗号の危機も深刻です。ビットコインをはじめとする仮想通貨の多くが楕円曲線暗号を使用していますが、量子コンピュータにより秘密鍵が推測可能になります。これは仮想通貨システム全体の崩壊を意味する可能性があります。

過去の暗号化データへの脅威という問題もあります。現在収集されている暗号化データが、将来の量子コンピュータにより復号される「Harvest Now, Decrypt Later」攻撃が懸念されています。国家機密、企業秘密、個人情報など、現在は安全に暗号化されているデータも、将来的には読み取られる可能性があります。

耐量子暗号への移行

量子コンピュータ時代に備えた新しい暗号技術への移行が急務となっています。

NIST標準化の進展により、耐量子暗号アルゴリズムの標準化が進んでいます。2024年にCRYSTALS-Kyber(鍵カプセル化)、CRYSTALS-Dilithium(デジタル署名)、SPHINCS+(デジタル署名)などが正式に標準化されました。

移行スケジュール(2030年目標)が各国で策定されています。日本では、2030年までに政府システムの耐量子暗号への完全移行を目指しています。企業も、今から移行計画を立てる必要があります。

ハイブリッド暗号の採用が現実的な解決策として注目されています。従来の暗号と耐量子暗号を組み合わせることで、現在の脅威と将来の量子コンピュータ脅威の両方に対応します。ただし、処理負荷の増加、鍵サイズの拡大など、実装上の課題も存在します。

よくある質問(FAQ)

Q: パスワードは何文字以上にすれば安全ですか?
A: 2025年現在、最低でも12文字以上、理想的には16文字以上のパスワードが推奨されています。ただし、長さだけでなく、大文字・小文字・数字・記号を組み合わせることが重要です。「春の小川はサラサラ流れる2025!」のような日本語のパスフレーズも効果的です。また、多要素認証を併用することで、パスワードが破られても不正アクセスを防げます。重要なのは、サービスごとに異なるパスワードを使用し、パスワードマネージャーで管理することです。
Q: フィッシングメールと正規のメールをどう見分ければいいですか?
A: 2025年のフィッシングメールは非常に巧妙ですが、以下の点をチェックしてください。(1)送信元メールアドレスのドメインが正確か確認、(2)リンクにマウスを重ねて表示されるURLを確認、(3)緊急性を過度に強調していないか、(4)個人情報やパスワードの入力を求めていないか、(5)日本語に不自然な点はないか。疑わしい場合は、メール内のリンクは使わず、公式サイトに直接アクセスして確認することが最も安全です。また、企業は重要な連絡を必ず公式サイトにも掲載するので、そちらも確認しましょう。
Q: 公共Wi-Fiを使うときの注意点は何ですか?
A: 公共Wi-Fiは便利ですが、中間者攻撃のリスクがあります。対策として:(1)VPNを必ず使用する、(2)HTTPSサイトのみアクセスする、(3)オンラインバンキングや重要なログインは避ける、(4)自動接続をオフにする、(5)ファイル共有機能を無効にする、(6)偽のアクセスポイントに注意する(似た名前のSSIDに騙されない)。可能であれば、スマートフォンのテザリング機能を使用する方が安全です。緊急時以外は、重要な操作は自宅や職場の安全なネットワークで行うことをお勧めします。
Q: ゼロデイ攻撃から身を守ることは可能ですか?
A: ゼロデイ攻撃を完全に防ぐことは困難ですが、リスクを最小限にする方法はあります。(1)OSとソフトウェアを常に最新に保つ(自動更新を有効化)、(2)EDR/XDRなどの振る舞い検知型セキュリティツールを導入、(3)最小権限の原則を適用(管理者権限での日常作業を避ける)、(4)重要データの定期的なバックアップ、(5)ネットワークセグメンテーションによる被害の局所化、(6)セキュリティ情報の定期的な確認。また、多層防御により、一つの対策が突破されても次の防御線で食い止める体制を構築することが重要です。
Q: AIを使った攻撃にはどう対処すればいいですか?
A: AI攻撃への対処は「AI対AI」の戦いになりつつあります。対策として:(1)AI搭載のセキュリティツールを導入(異常検知、行動分析)、(2)従業員教育の強化(AIで作られた巧妙なフィッシングの見分け方)、(3)多要素認証の必須化(AIが破りにくい生体認証を含む)、(4)ゼロトラストアーキテクチャの採用、(5)定期的なセキュリティ監査とペネトレーションテスト。人間の判断だけに頼らず、技術的な対策を重層的に実施することが必要です。特に、音声や映像を使った認証は、ディープフェイクのリスクを考慮して慎重に運用すべきです。
Q: 量子コンピュータ時代に備えて今できることは?
A: 量子コンピュータの実用化は2030年頃と予測されていますが、今から準備が必要です。(1)現在の暗号化システムの棚卸しと影響評価、(2)耐量子暗号への移行ロードマップの策定、(3)ハイブリッド暗号システムの検討、(4)長期保存が必要なデータの再暗号化、(5)量子セキュリティに関する情報収集と人材育成。特に、10年以上の機密性が必要なデータは、今すぐ耐量子暗号で保護することを検討してください。また、仮想通貨を保有している場合は、量子耐性のあるウォレットへの移行も検討すべきです。
Q: 中小企業でも実施できる現実的な対策は何ですか?
A: 予算が限られていても、以下の対策は必須です:(1)従業員全員への定期的なセキュリティ教育(月1回15分でも効果的)、(2)多要素認証の導入(Google AuthenticatorやMicrosoft Authenticatorは無料)、(3)自動アップデートの有効化、(4)クラウドバックアップの実施(Google DriveやOneDriveの無料プランから開始)、(5)パスワードマネージャーの導入(Bitwardenなど無料版もある)、(6)セキュリティ診断ツールの活用(IPAの無料ツール等)。詳しくは中小企業向け対策ガイドをご参照ください。完璧でなくても、基本的な対策を確実に実施することが重要です。

まとめ:多層防御の重要性

2025年の不正アクセス手口は、AI、ディープフェイク、量子コンピュータなど、最新技術を駆使した高度なものへと進化しています。単一の対策では防げない現実を認識し、多層的な防御体制を構築することが不可欠です。

Defense in Depth(多層防御)の概念は、城の防御に例えることができます。外堀、内堀、城壁、天守閣と、複数の防御線を設けることで、一つが突破されても次の防御線で食い止める。サイバーセキュリティでも、ファイアウォール、IDS/IPS、WAF、EDR、SIEM、そして人的対策と、複数の層で防御することが重要です。

技術的対策だけでなく、人的要因への対応も欠かせません。最新の技術を導入しても、従業員一人がフィッシングメールをクリックすれば、すべての防御が無意味になる可能性があります。継続的な教育と訓練により、人間というセキュリティホールを最小化する必要があります。

継続的な改善も重要です。攻撃手法は日々進化しており、昨日まで安全だった対策が、今日は通用しないかもしれません。定期的なセキュリティ監査、ペネトレーションテスト、インシデント対応訓練を通じて、常に防御体制をアップデートし続ける必要があります。

最後に、完璧なセキュリティは存在しないことを認識し、インシデントが発生した際の対応計画を準備しておくことが重要です。不正アクセスされたら?緊急対処法を事前に確認し、被害を最小限に抑える体制を整えておきましょう。

不正アクセス対策は、技術・人・プロセスの総合力で実現されます。
本記事で紹介した手口と対策を参考に、あなたの組織に適した防御体制を構築してください。詳細な対策については、不正アクセス対策完全ガイドもご参照ください。

【重要なお知らせ】

  • 本記事は教育目的で攻撃手法を解説しており、悪用を推奨するものではありません
  • 実際に攻撃を試みることは、不正アクセス禁止法により処罰される犯罪行為です
  • セキュリティテストは、必ず正式な許可を得た環境でのみ実施してください
  • 記載内容は2025年11月時点の情報であり、攻撃手法は日々進化している可能性があります
不正アクセスとは|基本から対策まで完全ガイド2025年版

📚 基本を学ぶ

🛡️ 今すぐできる対策

🏢 企業・組織向け

⚙️ 高度な対策

更新履歴

初稿公開

京都開発研究所

システム開発/サーバ構築・保守/技術研究

CMSの独自開発および各業務管理システム開発を行っており、 10年以上にわたり自社開発CMSにて作成してきた70,000以上のサイトを 自社で管理するサーバに保守管理する。