ネットワークやシステム、デバイスなどへのサイバー攻撃を防ぎ、デジタル化された情報の流出や改ざんを防ぐための対策や手段を「サイバーセキュリティ」と呼びます。サイバーセキュリティに対する脅威が深刻さを増すなかで、企業は技術面の対策だけでなく、経営層や社員のデジタルリスク感度を高めるなど、教育面での対策も必要になっています。

また、地震や豪雨といった自然災害からシステムやデータを守り、早期復旧につなげる備えをしておくのも、重要なサイバーセキュリティです。

サイバーセキュリティと情報セキュリティの違い

よく似た２つの言葉ですが、その違いをふまえたうえでセキュリティ対策を講じる必要があります。

まず、「情報セキュリティ」ですが、情報セキュリティマネジメントを実践するための規格であるISO/IEC27001（JIS Q 27001）によると、その３大原則に「CIA」があります。Confidentiality（機密性）、Integrity（完全性 ）、Availability（可用性）の頭文字をつなげたもので、この３つを維持することで、正確性が保たれたまま、必要なときに情報を得ることができます。

一方、「サイバーセキュリティ」はデジタル化された情報についてCIAを確保するためのセキュリティを指します。つまり、デジタルか否かにかかわらず、情報全体を対象にするのが情報セキュリティであり、その括りの中に含まれるのがデジタル情報を対象とするサイバーセキュリティというわけです。

セキュリティ対策としては、情報セキュリティは企業や組織の情報資産を守り、安全に保つことを目指し、サイバーセキュリティはデジタル化された情報資産を脅かす、社内外からの脅威に対処する施策を考えていきます。

サイバー攻撃とは

サーバーやパソコン、スマートフォンなどの情報端末に対する、意図的で不正な行為を「サイバー攻撃」といいます。主にインターネットなどのネットワークを通じてシステムを破壊したり、情報の改ざんや窃取などを行います。その目的は多岐にわたり、金銭盗取やサービス妨害、政治的・社会的なメッセージの流布、政府機関や企業の機密情報を狙ったものなどがあります。

攻撃者も多様化しており、単なる犯罪者ではなく国家を背景とした大規模なグループも増えています。そのためインフラ事業者の基幹システムなどが標的となり、生活や経済活動に甚大な支障が生じるサイバーテロ、国家機密などを狙う、情報通信技術を利用したスパイ活動であるサイバーインテリジェンスなどが脅威となっています。

世界中で猛威をふるうサイバー攻撃ですが、日本におけるサイバー攻撃の被害件数も近年、増加の一途を辿っています。その被害は金銭的な損失、企業や個人の信用失墜などにとどまらず、国家の安全保障にも及びます。日々、巧妙になるサイバー攻撃による被害の激甚化を防ぐため、サイバーセキュリティの重要性が一層高まっているといえます。

サイバー攻撃によってシステムやデバイスが乗っ取られ、情報が改ざんされたり窃取されてしまうと、企業として致命的な損害を被ることになります。その手法はAIなどIT技術の進歩により、多様で巧妙になっています。さらにスマホの普及やIoT機器の登場により、アタックサーフィス（攻撃対象領域）も拡大しているという現状があります。

代表的なサイバー攻撃の種類や手法を理解し、サプライチェーンや関連企業を含めた適切なセキュリティ対策が必要です。被害件数もその深刻さも世界規模で増しているのがサイバー攻撃、各項目で詳説していきます。

特定のターゲットを狙う標的型攻撃

標的型メール攻撃

機密情報入手などを目的として、特定企業や個人（標的者）に対して行う、電子メールによる攻撃手法です。知人や信頼できる組織を装ったいわゆる「偽装メール」に不正プログラムを仕込んであるため、メール受信者は、つい騙されて添付ファイルやURLをクリックしてウイルス感染してしまいます。

ランサムウェア

「身代金（Ransom）」と「ソフトウェア（Software）」を組み合わせた造語であり、マルウェアの一種です。ランサムウェアはパソコンやサーバーにあるデータを暗号化したり、スマートフォンの画面をロックして操作不能にしたりして、それらの復旧や解除と引き換えに「身代金」を要求します。

APT攻撃(高度標的型攻撃)

Advanced Persistent Threatの略で、特定の技術的手法ではなく、高度かつ持続的なサイバー攻撃を指します。通常の標的型攻撃よりも、入念な準備と計画を立てたうえで、複数の高度な手口で侵入し、長期にわたって組織のネットワークに潜伏するのが特徴です。

サプライチェーン攻撃

攻撃目標をダイレクトには狙わず、よりセキュリティ対策が弱い取引先や関連企業、利用するサービスなどを経由して、機密情報などを窃取しようとします。大企業などセキュリティが強固である場合にこの手口が使われます。

キーロガー

コンピュータのキーボード入力を記録するソフトウェア、またはハードウェアのこと。本来、キーロガーは生産性の測定や不正の防止、システムのトラブルシューティングなどを目的としていますが、サイバー犯罪者に悪用されると、パソコンやスマートフォンからパスワードや個人情報が盗み出されてしまいます。

ガンブラー攻撃

企業や公共機関などが運営する正規のウェブサイトに不正侵入し、悪意のあるコードやマルウェアを仕掛ける手法。疑うことなくウェブサイトを訪問したユーザーは、気づかないうちにマルウェアに感染し、情報流出や不正アクセスなどの被害に遭います。

アンチウイルス/マルウェア攻撃

マルウェアとは、不利益をもたらす悪意のあるソフトウェアの総称です。ひとたびその被害を受ければ、個人情報の流出や企業の信用失墜など、その被害は計り知れません。コンピュータウイルスを含むマルウェアの侵入や被害を防ぐための機能をアンチウイルスといいますが、サイバーセキュリティの基本的な対策としてアンチウイルスソフトの導入があります。

不特定多数に向けた攻撃

フィッシング攻撃

実在する企業やサービスになりすまし、アカウントIDやパスワード、クレジットカード番号などを詐取する手法を「フィッシング攻撃」といいます。送信者を詐称したメールやSMSから偽サイトに誘導し、個人情報を入力させて盗んだり、マルウェアをダウンロードさせたりするのが典型的な手口です。

ゼロクリック攻撃

その名のとおり、ユーザーの操作（クリック）を必要とせずに被害を与えます。通常のサイバー攻撃では、ユーザーによる添付ファイルやリンクのクリックをきっかけに、マルウェア感染などが発生します。しかし、ゼロクリック攻撃はこうした操作を必要としません。そのため対策が難しく、特に危険なサイバー攻撃の一つです。

ディープフェイク

ディープラーニングを使用して画像や動画の一部を交換させる技術のことで、より広義にはフェイク画像や動画全般を指します。近年では技術の高度化により本物との判別が難しいフェイクが多く生み出されており、フェイクポルノやなりすましなど、ディープフェイクの悪用は深刻な問題となっています。

中間者攻撃

通信を行う二者の間に攻撃者が不正に介在し、情報を盗み見たり改ざんしたりします。盗まれたパスワードやクレジットカード情報などが悪用されると、不正アクセスや金銭的な損害、個人情報流出などの被害につながります。MITM（Man in the Middle）攻撃、バケツリレー攻撃とも呼ばれます。

Emotet（エモテット）

巧妙に正規のメールになりすまし、不正な添付ファイルやリンクを開かせて情報窃取などをするマルウェアを侵入させます。ばらまき攻撃ですが、不信感を抱きにくい工夫やバリエーションがあるため注意が必要です。ランサムウェアなどの二次感染につながるほか、ワーム機能によりネットワーク内の他の端末へも感染が拡大します。

負荷をかける攻撃

DoS攻撃/DDoS攻撃

攻撃目標に対して一斉に大量のデータや過剰なアクセスなどトラフィックを送り込み、通常のトラフィックを妨害することで、サービスを利用不能にします。攻撃者が操作するパソコンが1台である場合をDoS 攻撃、複数である場合をDDoS攻撃と呼びます。いずれも攻撃目標の処理能力を飽和状態にさせて応答不能にする攻撃です。

F5アタック

ウェブページの再読み込み（リロード）要求を大量に送りつけることで、サーバーの正常な動作を妨害するDoS攻撃の一種です。その名称は、Windowsパソコンでリロード機能が割り当てられている「F5」キーに由来します。

脆弱性を狙う攻撃

ゼロデイ攻撃

OSやソフトウェアにある情報セキュリティ上の欠陥（セキュリティホールや脆弱性）が見つかってから、対策が講じられる前にそのセキュリティホールを突きます。修正プログラムが提供される前に攻撃されることからゼロデイ（0-day）攻撃と呼ばれます。

フォームジャッキング攻撃

ECサイトなどの入力フォームに悪意のあるスクリプトを埋め込み、個人情報やクレジットカード情報などを盗み出すサイバー攻撃です。情報が盗まれている間も、サイトでの取引は正常に完了します。そのため、盗まれた情報が悪用され、被害が出るまで攻撃の事実に気付きにくい点が特徴です。

クロスサイトスクリプティング

ウェブサイトに悪意のあるコード（スクリプト）を注入し、サイト利用者のブラウザ上で実行させるサイバー攻撃です。スクリプトを実行した利用者は、クッキー情報やセッション情報の流出による「なりすまし」、偽サイトへの誘導、マルウェア感染などの被害に遭うリスクがあります。

SQLインジェクション

ウェブサイトにSQL文を注入（Injection）し、データベースを不正に操作します。攻撃を受けたサイトは、情報流出やデータの改ざん、消去などの被害に遭うリスクがあります。また、盗まれた情報は他のサイバー攻撃や詐欺に悪用されることもあり、被害が広がるおそれのある危険な攻撃です。

ルートキット攻撃

コンピュータを不正操作するためのソフトウェアを集めたパッケージによるサイバー攻撃です。このパッケージを「ルートキット（rootkit）」と呼びます。インストールしてしまうと、OSやカーネルなどシステムの根幹に侵入して管理者権限（root）を奪い、自身の存在を隠しながらさまざまな被害を及ぼします。

ジュースジャッキング攻撃

空港やカフェなど、公共の充電スポットを悪用し、デバイスから情報を盗んだり、遠隔操作されてしまうようなマルウェアを仕掛けたりします。USBポートやUSBケーブルなどに細工がされていますが、一見ではわからないため、なるべく個人の充電器を使うようにしたり、セキュリティソフトを入れておくなどの注意が必要です。