サイバー攻撃の種類とは

インターネットでサーバーに対して、悪意のある攻撃を仕掛け、多大なる被害を引き起こす犯罪の要因となるのがサイバー攻撃です。インターネットに囲まれた生活・ビジネス環境はサイバー攻撃の脅威にさらされていると言っても過言ではありません。

国家を狙った大規模なサイバーテロもあれば、企業や官公庁、webページやサービスを狙ったもの、または不特定多数の個人を狙うものまで様々です。

webセキュリティを考える上で、サイバー攻撃の種類や方法について知識を蓄えておくことは必須と言えます。企業でセキュリティ対策を考えている方には把握すべき優先度が高いものと言えるでしょう。

今回はサイバー攻撃の種類と起こり得るインターネット利用の被害についてご説明します。

1.サイバー攻撃とは何か
2.サイバー攻撃の種類と被害
- 2-1.個人が受けるサイバー攻撃の種類と被害
- 2-2.組織が受けるサイバー攻撃の種類と被害
3.サイバー攻撃に対するセキュリティ意識を持つ
まとめ
おすすめのWebセキュリティ対策

1.サイバー攻撃とは何か

みなさんはサイバー攻撃、サイバーテロと聞いた時に何を思い浮かべるでしょう。

ニュースで見かけるものでは公的機関のwebページの改ざんや企業などで起きた個人情報の流出、国家へのサイバーテロや仮想通貨を狙うような攻撃を想像されると思います。

そのため、個人であればサイバー攻撃とは無縁ではないか？と考えている方もいるのではないでしょうか。

しかし実際には法人、個人、国家を問わず、インターネットで繋がっている全ての人たちが攻撃を受ける可能性があるのです。

では誰がどのような目的で、どのような対象に向けたものがあるのか少しずつ見てみましょう。

1-1.「悪意のある第三者」による攻撃

サイバー攻撃を行うのは「悪意のある第三者」と呼ばれることが多く、高い技術を持ち、匿名性を維持しながら遠隔での攻撃が可能な人物と見られています。

悪意のある第三者は対象に向けて様々な形で攻撃を仕掛けることで、金銭的な損害から心理的な被害まで様々です。

1-2.webセキュリティ対策の高い公的機関・企業でも被害

例としてアメリカの公的機関がサイバー攻撃を受け、システムの復旧に時間が掛かるため、紙ベースでの作業を行ったというケースも存在します。

サイバー攻撃の特徴として攻撃を与えることそのものが目的である場合もあり、企業や官公庁、特定のサービスに被害を与えることで何らかの利益を享受している可能性もあると考えられています。

1-3.利用するwebサービスが攻撃を受けることも

国や銀行、企業などのwebサービスがサイバー攻撃を受ける場合もあることから、一個人だからと言って安心することはできません。

個人情報と紐づけされたメールアドレスやパスワード、クレジットカードの情報が流出すれば、そのデータを元に被害を受ける可能性もあるのです。近年問題となっている「なりすまし」不正ログインの原因にもなっています。

1-4.スマホやご自宅のパソコンでも攻撃を受ける

国家や企業などの大規模なサーバに対するサイバー攻撃だけではなく、スマホやご自宅のパソコンでも攻撃を受ける場合があります。

フィッシングメールや偽サイト、架空請求や詐欺など、インターネットで繋がってる画面を通じて被害に遭う恐れもあるのです。

2.サイバー攻撃の種類と被害

サイバー攻撃は、システムやプログラムによる遠隔で自動化された大規模なものから、webページやメール、ウィルスなどでエンドユーザー・個人を騙したり、不安にすることで悪影響を与えるもの、または金銭的被害が発生するものまで大小様々です。

そこでサイバー攻撃の種類や基本的な項目について理解するために、IPA情報処理推進機構が2018年度に発表した資料の中から「情報セキュリティ10大脅威 2018」を抜粋しました。

2-1.個人が受けるサイバー攻撃の種類と被害

1位　インターネットバンキングやクレジットカード情報等の不正利用
2位　ランサムウェアによる被害
3位　ネット上の誹謗・中傷
4位　スマートフォンやスマートフォンアプリを狙った攻撃
5位　ウェブサービスへの不正ログイン
6位　ウェブサービスからの個人情報の窃取
7位　情報モラル欠如に伴う犯罪の低年齢化
8位　ワンクリック請求等の不当請求
9位　IoT機器の不適切な管理
10位　偽警告によるインターネット詐欺

IPA「情報セキュリティ10大脅威 2018」を元に作成
https://www.ipa.go.jp/security/vuln/10threats2018.html

IPA情報処理推進機構による2018年の個人に対する脅威として発表された順位を見ると、ニュースなどでも一度は聞いたことのあるワードばかりだということがわかりますね。

インターネットバンキングやクレジットカードの不正利用は直接的な被害となりますし、ランサムウェアと呼ばれるファイルをロックし人質として金銭を要求するようなプログラム、また、SNSなどの誹謗中傷や炎上など、物理的にも精神的にも被害が及ぶものが殆どです。

2-1-1.インターネットとデバイスの普及と進化

インターネットの普及だけでなく、スマートフォンの技術が進んだことで、誰でも気軽に、そして簡単にwebの情報を得られるようになったのもサイバー攻撃による被害が増えた要因の一つです。Iot端末と呼ばれるネット接続できる機器が増えていることもサイバー攻撃の増加に拍車をかけています。

同時に、webセキュリティやリテラシーへの知識や理解がないままネット接続できる機器が普及してしまったことも現実であり、危険性がわからなくても使えてしまう、世界と繋がることができてしまうことが問題にもなっています。

2-1-2.心理的な不安を誘う詐欺や騙しの手口も多い

個人を狙うサイバー攻撃・脅威は、詐欺、騙し、個人情報の悪用による脅迫など、プログラムやウィルスというよりも心理的不安を誘うことで被害を受けてしまうものが多く、知識がないこと、また誰にも相談できないことで被害が拡大しているのも事実です。

スマートフォンだけでなくIoT機器などの物理的なデバイスから不正アクセスなどを受けることもあり、専門的な方でない限りは気が付くことがないまま被害を受けている可能性もあります。

2-2.組織が受けるサイバー攻撃の種類と被害

1位　標的型攻撃による被害
2位　ランサムウェアによる被害
3位　ビジネスメール詐欺による被害
4位　脆弱性対策情報の公開に伴う悪用増加
5位　脅威に対応するためのセキュリティ人材の不足
6位　ウェブサービスからの個人情報の窃取
7位　IoT機器の脆弱性の顕在化
8位　内部不正による情報漏えい
9位　サービス妨害攻撃によるサービスの停止
10位　”犯罪のビジネス化
（アンダーグラウンドサービス）”

IPA「情報セキュリティ10大脅威 2018」を元に作成
https://www.ipa.go.jp/security/vuln/10threats2018.html

標的型攻撃では特定の企業に対しての攻撃、ランサムウェアによって企業データをロックされてしまうことで起こる金銭的被害、個人情報の漏えいや流出、サービスの妨害や公式ページの改ざんなど個人と同様に様々な形で被害に遭う恐れがあります。

2-2-1.サイバー攻撃によって不正に機密データにアクセスする

サイバー攻撃は基本的に本来意図しない処理をサーバーにさせることで、脆弱性を作り、または脆弱性を利用して本来アクセスできない領域に侵入するのを目的としたものが多いです。

例えばシステムの管理者権限を持つユーザーIDとパスワードの奪取、不正な方法でなければアクセスできない領域にあるデータの閲覧や削除、または改ざんなど、情報資源に対する攻撃を主とします。

2-2-2.本来意図しない処理を引き起こされる

システム権限が奪われてしまえば、あとは悪意のある第三者の思い通りとなり、文字通り好き放題されてしまいます。

企業や公的機関などの組織が持つ情報資源・データの量は膨大であり、また個人を特定しうる個人情報を抱えているからこそ、悪意のある攻撃を受けているとも言えます。

2-2-3.データの改ざんや削除で信頼性を著しく損ねる恐れ

データの改ざんをされた場合、個人や企業、公的機関が誤ったデータのまま処理を進めてしまうことで、二次的な被害を発生するほか、信頼性を著しく損ねる恐れもあります。

また、近年では仮想通貨など、一個人が気軽に、そして興味を持ちやすいものも増え、銀行やクレジットカードではない形での金銭的被害も急増しています。