サイバー攻撃の目的とは？種類や対策について解説

サイバー攻撃とは、サーバーやパソコン、スマートフォンなどの端末に対し、ネットワークを通じて情報改ざんやシステム破壊、データ窃取などを行うことです。

企業の端末がサイバー攻撃を受け、被害が発生すると、機密情報や個人情報が漏えいするだけでなく、業務が停滞・停止し、顧客や社会からの信用も低下します。セキュリティ対策が弱い企業を経由して別の企業を攻撃するサプライチェーン攻撃といったサイバー攻撃もあり、元請企業や取引先企業にも迷惑をかけてしまうなど、事業に深刻な影響を与えることも少なくありません。

サイバー攻撃の攻撃者というと、ハッカー集団のイメージを抱きがちですが、攻撃者はそれだけではありません。産業スパイや愉快犯のほか、特定の企業に恨みを持つ人なども攻撃者になることがあります。

また、サイバー攻撃を行う目的は、攻撃者のタイプによっても異なりますが、下記のような目的が挙げられます。

・企業のイメージダウンや営業妨害

・金銭の盗取

・世間を騒がせること

・政治的な主張

・自分の能力の誇示

・個人的な復讐

サイバー攻撃は、多様化・巧妙化が進んでいます。近年、企業に対して行われているサイバー攻撃の種類と手口をご紹介します。

特定の企業等のターゲットを狙った攻撃は、標的型攻撃と呼ばれます。さまざまな方法を使って標的となる企業のネットワークやシステムに侵入し、情報の盗取や改ざんなどを行います。

侵入の手口として多いのは、端末に対して不都合な行為を行うプログラムであるマルウェアに感染させる方法です。攻撃者は取引先などの関係者を装って、マルウェアが含まれるファイルを添付したり、マルウェアをダウンロードするリンクを貼りつけて、メールを送ります。その添付ファイルを開いたりリンクをクリックしたりすることで、端末がマルウェアに感染してしまうのです。

その後、攻撃者は感染したパソコンを遠隔操作することにより、社内サーバーに不正アクセスし、情報を盗取・改ざんするという手口が多くなっています。

また、最近では、標的型攻撃の一種であるランサムウェアの被害が拡大しています。ランサムウェアとは、身代金要求型ウイルスとも呼ばれ、パソコンなどの端末を暗号化して使用できない状態にし、元に戻すために金銭を要求するウイルスのことです。

独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2021」（2021年8月）では、組織に対する脅威として1位に「ランサムウェアによる被害」、2位に「標的型攻撃による機密情報の窃取」が選ばれています。

出典：「情報セキュリティ10大脅威 2021」（独立行政法人情報処理推進機構）

不特定多数を狙った攻撃としては、フィッシング詐欺が代表的です。フィッシング詐欺とは、送信者を偽ってフィッシングサイトのURLを記載したメールを送信し、フィッシングサイトのフォームなどにクレジットカード番号などを入力させることで、情報を盗み取る手口です。

このほかにも、ウェブサイトを閲覧しているときに料金を請求するメッセージなどを表示し、お金を振り込ませるゼロクリック詐欺などがあります。

サイバー攻撃には、サーバーなどに過剰な負荷をかけるアクセスを行ったり、データを送ったりする攻撃があります。代表的な攻撃としてはDDoS攻撃が挙げられます。これは、特定のウェブサイトやサーバーをターゲットにして、複数のパソコンなどから一斉に大量のデータを送信するといった攻撃です。金銭を目的とした脅迫や企業に対する嫌がらせとして行われる場合もあります。

脆弱性を突く攻撃とは、ソフトウェアやOS、ウェブサイトなどのセキュリティ上の欠陥を狙い、システムに誤作動を起こさせたり、データを改ざんしたりする攻撃です。

例えば、適正な範囲を超える不正なデータを入力することで誤作動を起こさせる「バッファオーバーフロー」や、ウェブサイトが想定していない文を入力してデータベースに不正な命令を与え、データを改ざんしたり、盗み取ったりする「SQLインジェクション」といった手口があります。

年々多様化し、巧妙化していくサイバー攻撃を受けるリスクを減らすには、しっかりした対策が必要です。

ここからは、企業が実施しておきたいサイバー攻撃への対策をご紹介します。

サイバー攻撃の対策のひとつとして、メールのセキュリティ強化が挙げられます。

標的型攻撃の多くにメールが使われているため、例えば、スパムメールを特定のフォルダに振り分けるフィルターを設定することを推奨します。知らないアドレスやフリーメールからのメールを受け取らない、または開かない仕組みにしておくことが有効です。

ただし、取引先の担当者になりすましたメールなどが送られてきた場合、攻撃を防ぎきれないこともあります。メールアドレスや添付ファイル、記載のURLなどに不審な点があれば、メールを開かず送信元に電話をして確認してください。

ブラウザのセキュリティを強化することも、サイバー攻撃への対策になります。

例えば、あらかじめ登録しておいたウェブサイトへのアクセスを防止する「URLフィルタリング」や、マルウェア感染を防ぐ「ゲートウェイセキュリティサービス」などの利用が有効です。

アンチウイルスソフトの導入は、標的型攻撃によるマルウェア感染を防ぐのに有効です。以前のアンチウイルスソフトは、事前に登録されたウイルスのみ検知できましたが、現在は未知のウイルスまで対応できるアンチウイルスソフトもあります。

脆弱性に対する攻撃には、OSやソフトウェアを最新の状態に保っておくことが大切です。サポートが切れてしまったOSやソフトウェアは、セキュリティの脆弱性情報やセキュリティパッチも更新されないため、そのまま使い続けるのは危険です。また、アンチウイルスソフトも、サポートが切れたOSには非対応です。最新のOSやソフトウェアを使用するようにしましょう。

サイバー攻撃への対策として、サイバー攻撃に関する最新情報を入手することも忘れてはいけません。サイバー攻撃の傾向を知るために、信用できるさまざまな情報源から入手することをおすすめします。

例えば、独立行政法人情報処理推進機構（IPA）の「情報セキュリティ安心相談窓口」のページには、四半期ごとに「コンピュータウイルス・不正アクセスの届出状況および相談状況」が掲載されています。

また、IPA情報セキュリティ安心相談窓口や内閣官房内閣サイバーセキュリティセンター（NISC）では、Twitterアカウントを開設してサイバーセキュリティ関連の情報を発信していますので、参考にしてください。

＜サイバーセキュリティ関連のTwitterアカウント＞

・IPA情報セキュリティ安心相談窓口

・内閣官房内閣サイバーセキュリティセンター（NISC）

サイバー攻撃によって情報の漏えいやデータの改ざんなどが起これば、事業の停滞や企業の社会的な信用の低下を招くだけでなく、場合によっては元請企業や取引先に対する多額の損害賠償が発生することもあります。近年は、中小企業を狙ったサイバー攻撃も発生しており、手口も多様化・巧妙化しているため、サイバー攻撃への対策はどのような企業にとっても避けては通れません。

自社のセキュリティを見直し、サイバー攻撃への対策に取り組んでみてください。