「サイバー攻撃はどんなものがあり、どんな被害につながるのか」
本記事ではサイバー攻撃の基本を解説し、攻撃手法や脆弱性の種類、それらの被害を解説します。おそろしい被害事例も解説しているため「セキュリティ対策をしなければ自社も・・」と考えることにつながるでしょう。
サイバー攻撃の対策も解説しているので、自社のセキュリティ強化に役立ててください。
サイバー攻撃の基本
現代のビジネスや社会インフラはデジタル化が進んでおり、サイバー攻撃はあらゆる業種・規模の組織にとって重大な脅威となっています。被害を未然に防ぐためには、まずその基本を理解することが重要です。
サイバー攻撃とは
サイバー攻撃とは、コンピューターシステムやネットワークに対して、外部から不正にアクセスし、システムや企業に損害を与えることです。
具体的な損害として、情報を盗む、改ざんする、破壊する、サービスを妨害・停止するなどがあります。サイバー攻撃は人為的に行われ、攻撃者は個人または、犯罪組織や国家の支援を受けたグループです。
サイバー攻撃により被害が生じると、企業の業務や社会生活に深刻な影響を及ぼします。例えば水道を管理するシステムが破壊されてしまうと、人々の生活用水の安全性が保てなくなり、供給が停止することになるでしょう。
サイバー攻撃は社会において無視できない脅威となり、企業は対策に迫られています。
サイバー攻撃をする攻撃者の目的
サイバー攻撃の主な目的は、金銭的な利益の獲得です。
攻撃者は、企業や個人が保有する重要情報を不正に入手し、それを元に金銭を要求する脅迫行為や、闇市場での情報販売を行います。特に、顧客データ、機密文書、知的財産などは高い価値を持ち、サイバー攻撃の標的になりやすい情報です。
また、経済的・政治的な優位性の獲得を目的とするケースもあります。国家が関与するサイバー攻撃では、他国の政府機関や企業を標的に情報収集が行われ、情報戦を有利に進めるための手段として活用されます。
さらに、報復や嫌がらせを目的とした攻撃も存在します。例えば、企業に個人的な恨みを持つ人物が、サーバへの攻撃やサービス妨害を行うケースです。
攻撃のターゲットは年々広がっており、特に医療・金融・社会インフラなど、機密性の高い情報を扱う業界は、サイバー攻撃のリスクが高い傾向にあります。
ツールやソフトウェア・ターゲットの絞り方によるサイバー攻撃の種類
サイバー攻撃はさまざまな種類がありますが、ツールやソフトウェア、ターゲットの絞り方で分類すると以下があります。
- マルウェア
- ランサムウェア
- フィッシング
- 標的型攻撃
- サプライチェーン攻撃
- ゼロデイ攻撃
- ブルートフォース攻撃
マルウェア
マルウェアとは、悪意のあるソフトウェア(malicious software)の総称です。
マルウェアはユーザーの意図に反してシステムに侵入し、情報の窃取、破壊、第三者への攻撃の踏み台として利用されるなど、さまざまな被害を引き起こします。
マルウェアの具体例として以下があります。
- ウイルス:他のファイルに寄生して自己複製するプログラムで、ユーザーの操作によって拡散する
- ワーム:ネットワークを通じて自律的に拡散する。感染速度が非常に速い特徴がある
- トロイの木馬:一見正常なプログラムを装って侵入し、裏で不正動作を行う
- スパイウェア:システムに侵入後、ユーザーの操作や情報を密かに収集し、外部に送信する
マルウェアはメールの添付ファイルやフリーソフトのダウンロード、悪意あるWebサイトの閲覧など、さまざまな経路で拡散します。
ランサムウェア
ランサムウェアは、感染した端末内のファイルを暗号化し、元に戻すための「身代金(ランサム)」を要求するマルウェアです。主にメール添付やWebサイトの閲覧を通じて感染します。
攻撃者は侵入したシステム内でデータ暗号化を行います。暗号化後は脅迫メッセージを表示し「暗号化を解除してほしければ身代金を払え」と脅してきます。ランサムウェアは企業が被害に遭うと、業務停止や社会的信用の失墜などの甚大な影響を受ける、深刻な脅威です。
フィッシング
フィッシングとは、偽のメールやWebサイトを使って、ユーザーからID・パスワード・クレジットカード番号などの個人情報をだまし取る手口です。
攻撃者は、こうして盗んだ情報を使い、ECサイトでの不正購入や証券口座での不正取引など、さまざまな形で悪用します。
近年では、偽サイトや偽メールの作りが非常に巧妙になっており、正規のものと見分けがつきにくくなっています。そのため、フィッシング被害は依然として後を絶ちません。
フィッシングには、以下のような派生的な攻撃手法も存在します。
- スピアフィッシング:特定の個人や組織を標的とし、その人物に合わせてカスタマイズされたメールを送信する手法
- スミッシング:スマートフォン利用者を対象に、SMS(ショートメッセージ)を使って偽サイトへ誘導する手法
これらの手法は年々巧妙化しており、従来のフィルタリング技術だけでは見抜くことが困難になっています。ユーザー一人ひとりが手口を正しく理解し、警戒する姿勢が重要です。
関連記事
標的型攻撃
標的型攻撃とは、特定の企業や個人を明確に狙って行われるサイバー攻撃のことです。
この攻撃では、業務に関係ありそうな件名や送信元を偽装したメールを送りつけ、添付ファイルやリンクを開かせることでマルウェアに感染させます。攻撃者は事前にターゲットの情報を綿密に調査しており、場合によっては社員や関係者に接触してくることもあります。そのため、従来のセキュリティ対策だけでは防ぎきれないケースも少なくありません。
特に、政府機関や大企業など、重要情報を扱う組織が狙われやすい傾向にあります。被害が発生した場合、情報漏えいや業務停止など、深刻な影響を及ぼす恐れがあります。
関連記事
サプライチェーン攻撃
サプライチェーン攻撃とは、ターゲット企業そのものではなく、取引先・開発ベンダー・ITサービス会社などの関係先を経由して侵入を図るサイバー攻撃の手法です。
ターゲット企業が堅牢なセキュリティ対策を講じていても、サプライチェーン上の全ての関連企業が同様の水準を維持しているとは限りません。攻撃者はこの「セキュリティのすき間」を突き、セキュリティ対策が手薄な企業を足がかりに、最終的な標的である企業へと侵入します。
特に、中小企業は大企業に比べてセキュリティ体制が十分でない場合が多く、その脆弱性を突かれて攻撃の踏み台にされるケースが増えています。
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアやシステムに存在する、開発元(ベンダー)がまだ修正していない未知の脆弱性を悪用するサイバー攻撃です。
「ゼロデイ」という名称は、ベンダーが脆弱性の存在を認識してからゼロ日であることに由来します。つまり、この脆弱性がまだベンダーにも知られていないか、修正パッチが未提供の状態ということです。通常、脆弱性が発見されると、ベンダーが修正パッチを開発・提供し、ユーザーがそれを適用することでリスクを回避できます。しかし、ゼロデイ攻撃ではその修正パッチが存在しない状態で攻撃が行われるため、ユーザー側は有効な対策を取ることが難しく、非常に危険です。
ゼロデイ攻撃は、防御が極めて困難であることに加え、標的型攻撃と組み合わせて使用されるケースも多く、国家レベルのサイバー作戦にも用いられるほど深刻な脅威となっています。
ブルートフォース攻撃
ブルートフォース攻撃(総当たり攻撃)は、Webアプリケーションやシステムのログイン認証機能認証機能に対して、考えられる文字列の組み合わせを片っ端から試すことで突破を狙う攻撃です。
ブルートフォース攻撃ではパスワードに「1234」や「password」など単純な文字列を使用している場合、数秒で突破されてしまいます。以下の対策が有効です。
- 長く複雑なパスワードを使う
- アカウントロック機能を設定する
- 多要素認証(MFA)を導入する
SaaSなどのWebアプリケーションやVPNなどのリモートアクセス環境では、特に注意が必要です。
具体的なネットワークやソフトウェアの脆弱性を突くサイバー攻撃の種類
本章では、具体的なネットワークやソフトウェアの脆弱性を突くサイバー攻撃を解説します。
- XSS
- SQLインジェクション
- CSRF
- DoS/DDoS攻撃
- ディレクトリトラバーサル
- リモートコード実行
- 中間者攻撃
XSS(クロスサイトスクリプティング)
XSSは、Webサイト上で悪意のあるスクリプトを実行させる攻撃です。
通常、攻撃者は掲示板や検索フォームなど、ユーザー入力がそのままWebページに表示される場所にスクリプトを仕込みます。XSSが成功すると、次の被害が発生します。
- Cookie情報の窃取(セッションIDの乗っ取り)
- フィッシングページへの誘導
- 管理者権限の奪取
XSSには大きく分けて「反射型」「保存型」「DOM型」の3種類があり、特に保存型は多くのユーザーに影響を及ぼすため危険性が高いです。
対策として、以下が有効です。
- 開発段階での入力値の無害化
- CSP(Content Security Policy)の導入
SQLインジェクション
SQLインジェクション(SQL Injection)とは、Webアプリケーションがデータベースに対して発行するSQL文に、悪意ある命令を不正に挿入することで、データベースを不正操作するサイバー攻撃です。
例えば、ログイン画面のIDやパスワード入力欄に
「OR'1'='1」
という文字列を入力すると、SQL文が本来意図しない形で実行され、正規の認証を経ずにログインできてしまうことがあります。
この攻撃は、ユーザーからの入力を適切にエスケープ処理せずにSQL文へ組み込んだ場合に発生します。SQLインジェクションを成功させた攻撃者は、以下のような不正行為を行う可能性があります:
- 個人情報やパスワードなどの機密データの読み取り
- データの改ざん、削除
- データベースサーバ自体の乗っ取りや操作
SQLインジェクションを防ぐには、プレースホルダー(パラメータ化クエリ)を使って、ユーザー入力をSQL文に直接埋め込まない実装が有効です。これにより、ユーザーからの入力が命令として処理されることを防ぎ、安全なデータベース操作を実現できます。
CSRF(クロスサイトリクエストフォージェリ)
CSRFは、ユーザーがログイン中のWebサービスに対して、本人の意図しないリクエストを送信させる攻撃です。
攻撃者はユーザーに偽のリンクや画像をクリックさせ、認証情報(Cookie)を利用して次の不正操作を行います。
- 銀行口座からの送金
- パスワードやメールアドレスの変更
- 投稿の送信や削除
CSRFは脆弱な認証設計も一因ですが、セッション管理とリクエスト検証の甘さが攻撃が成功してしまう直接の原因となります。対策としてWebアプリケーションがCSRFトークンを導入し、正当なユーザーかどうかを検証すべきです。
DoS/DDoS攻撃(サービス拒否攻撃)
DoS(Denial of Service)攻撃は、標的のサーバやネットワークに大量のリクエストやデータを送りつけて、処理負荷を増大させることで、正常なサービス提供を妨害する攻撃です。
DDoS(Distributed DoS)攻撃は、複数の端末(ボット)からDoS攻撃を一斉に仕掛ける攻撃です。
DoS/DDoS攻撃の主な手法には以下があります。
- TCP SYN Flood:接続要求を大量に送り、処理待ち状態にする
- UDP Flood:ポートをランダムに指定して大量のパケットを送信
- HTTP Flood:実際のWebサイトへのアクセスを装ってリソースを使い切らせる
特にDDoS攻撃では、感染したパソコンやIoT機器を操る「ボットネット」を使うことで攻撃元を隠蔽し、大規模かつ持続的な攻撃が可能となっています。
対策として、以下の2点が有効です。
- WAFの導入
- RateLimitを設定
ディレクトリトラバーサル
ディレクトリトラバーサル(Directory Traversal)とは、本来アクセス権のないファイルやディレクトリに対し、不正にアクセスを試みるサイバー攻撃の手法です。
この攻撃は、Webアプリケーションにおける不適切なパス処理を悪用して行われます。例えば、URLやフォームの入力欄に
「../」
といった相対パスを入力することで、システム上の上位ディレクトリに遡り、機密ファイルを読み取るといった不正行為が可能になります。
特に、以下のような機能を備えたWebサイトで発生しやすいのが特徴です。
- ファイルダウンロード機能
- 画像やPDFの表示機能
- ユーザーがファイル名を指定できる画面 など
ディレクトリトラバーサルを防ぐためには、次のような対策が不可欠です。
- パス入力のバリデーション(不正な文字列や相対パスの検出)
- アクセス制御の徹底(サーバ上でアクセス可能なディレクトリを制限)
- ユーザー入力を直接ファイルパスに使用しない設計
これらの対策により、Webアプリケーションの安全性を大幅に高めることができます。
リモートコード実行(RCE:Remote Code Execution)
リモートコード実行(RCE)は、外部から任意のプログラムコードやOSコマンドを、サーバ上で実行されてしまう深刻な脆弱性です。
主な原因は脆弱なテンプレートエンジンや、入力値をそのままコマンドに渡す処理などです。攻撃者はWebアプリケーションの入力値を通じて、サーバのシェルやスクリプト実行環境にアクセスし以下の攻撃を行います。
- データの取得・改ざん
- ファイルのアップロード
- バックドアの設置
次のような対策が有効です。
- セキュリティアップデート
- 外部入力の無害化
- アプリユーザーの権限の最小化
中間者攻撃
中間者攻撃(Man-in-the-Middle Attack)とは、ユーザーとサーバの通信の間に攻撃者が割り込み、通信内容を盗聴・改ざんするサイバー攻撃です。
この攻撃は、通信経路の暗号化が不十分であることを突いて行われるケースが多く見られます。例えば、フリーWi-Fiなどのセキュリティが不十分なネットワークを使用した場合、通信が暗号化されていなければ、パスワードやクレジットカード番号などの機密情報を盗まれる恐れがあります。
また、SSL/TLS通信が適切に構成されていないと、攻撃者が偽のSSL証明書を使ってHTTPS通信を装い、通信内容を改ざんするといった手口も存在します。
次のような対策が有効です。
- SSL/TLSの正しい構成と常時HTTPSの実施
- VPNの利用による通信経路の暗号化
- 証明書ピンニング(Certificate Pinning)による証明書のなりすまし防止
これらの対策により、通信内容の盗聴や改ざんリスクを大幅に軽減できます。
サイバー攻撃対策の重要性
サイバー攻撃への対策は年々重要度が高まっています。主な要因として以下があります。
- 被害規模の拡大と企業存続への影響
- 攻撃の高度化・巧妙化に対応する必要性
- 法令遵守と顧客信頼の維持
被害規模の拡大と企業存続への影響
サイバー攻撃の被害が企業の存続に大きな影響を及ぼすことが、サイバー攻撃対策の重要性を高める要因となっています。
サイバー攻撃による被害は年々拡大し、以下の被害が続出しています。
- ランサムウェアによる業務停止
- 機密情報の漏えい
- 不正送金
上記のように金銭的影響や顧客への被害につながる直接的な損失に加え、サイバー攻撃を受けると以下の二次被害にもつながります。
- 取引先からの契約打ち切り
- 株価の下落
- 社会的信用の失墜
これらの二次被害を含めて、一度サイバー攻撃の被害に遭うと、企業の倒産にすらつながります。サイバー攻撃を受けた企業は被害者ですが、世間から同情を得られることはありません。サイバー攻撃への対策は、経営戦略の一環として扱うべき課題です。
攻撃の高度化・巧妙化に対応する必要性
サイバー攻撃の高度化・巧妙化が進む中で、被害の規模や深刻度も増しており、サイバーセキュリティ対策の重要性は年々高まっています。
近年のサイバー攻撃は、以下のような手法を取り入れることで、従来よりも洗練されたものとなっています。
- AIや自動化ツールを活用した大規模かつ迅速な攻撃
- ゼロデイ脆弱性を突いた予測困難な攻撃
- 特定企業を狙い撃ちにする標的型攻撃(スピアフィッシングなど)
このような攻撃の進化により、従来のセキュリティ対策(アンチウイルスソフトやファイアウォール)だけでは防ぎきれないケースが増えています。
そのため、最新の脅威に対応するには、以下のような多層的かつ戦略的な対策が求められます。
- 脅威インテリジェンスの活用による早期警戒と対応
- EDR(Endpoint Detection and Response)によるエンドポイント監視の強化
- 経営層を含めた全社的なセキュリティ意識の向上
高度化するサイバーリスクに備えるためには、技術的対策だけでなく、組織的・人的なセキュリティ体制の強化が不可欠です。
法令遵守と顧客信頼の維持
法令遵守や顧客信頼の維持をするためにサイバー攻撃への対策が必要になっています。
日本国内では個人情報保護法やサイバーセキュリティ基本法など、情報セキュリティに関する法令が整備されつつあります。これらに違反すれば、行政処分や罰金、社会的批判にさらされるだけでなく、顧客離れも避けられません。
BtoB取引においてはセキュリティ対策が取引条件になるケースもあり、サイバー攻撃対策は単なる防御手段にとどまらず、企業の信用や競争力の要素となりました。
法令遵守と信頼維持の観点からも、サイバー攻撃対策による盤石なセキュリティ体制が重要です。
サイバー攻撃の被害事例
サイバー攻撃の被害事例を攻撃ごとに紹介します。
- ディレクトリトラバーサルの事例
- ランサムウェア感染の事例
- サプライチェーン攻撃の事例
- 標的型攻撃の事例
- ゼロデイ攻撃の事例
- SQLインジェクションの事例
ディレクトリトラバーサルの事例
2020年1月、国内の大手電機メーカーがディレクトリトラバーサル攻撃を受けたことから、機密情報の外部流出の可能性を発表しました。
攻撃者はウイルス対策システムの脆弱性を突き、本来アクセスできないディレクトリに侵入したと考えられています。攻撃者は従業員や応募者の個人情報、企業機密に不正アクセスしており、情報漏えいのリスクが発表されています。
ディレクトリトラバーサルへの対策がなければ、本件のような被害が生じるため対策が必要です。
ランサムウェア感染の事例
2023年7月、日本国内の空港で航空システムがランサムウェアに感染し、業務が約2日半停止しました。
本件はリモート接続機器の脆弱性を突いた不正アクセスにより、物理サーバと全仮想サーバが暗号化されています。本件のようにランサムウェアが重要インフラを攻撃対象としていることを知らしめた例として、社会的な影響の大きさが注目される形となりました。
サプライチェーン攻撃の事例
2023年1月、複数の保険会社が、業務委託先のサーバへの不正アクセスにより、顧客情報が漏えいしたと発表しました。
サプライチェーンはセキュリティが強固な会社だけではありません。業務委託先のセキュリティ管理の甘さが原因で、最大約130万人分の情報が海外のWebサイトに掲載されてしまう事態となりました。
委託先や子会社といった関連会社がセキュリティ対策を徹底する必要を認識させられる事例です。
標的型攻撃の事例
2023年10月、日本国内のある大学が、教員が標的型メール攻撃を受け、使用していたパソコンがウイルスに感染したことを公表しました。
攻撃者は、実在する組織を装って教員にメールを送り、やり取りの中でウイルス付きのURLを開かせることで感染を成立させたとみられています。感染当時、教員はウイルスの存在に気付かないまま業務を継続していたとのことです。
この攻撃により、教職員や学生の個人情報、試験問題など、最大4,341件の情報が流出した可能性があるとされています。
標的型攻撃は、巧妙な偽装により誰もが被害者になり得るサイバーリスクです。自分には関係ないと考えず、不審なメールへの警戒心を常に持つことが重要です。
ゼロデイ攻撃の事例
2023年8月、HTTP/2の未修正の脆弱性を突いたゼロデイ攻撃により、秒間3億9,800万件を超える大規模なDDoS攻撃が確認されました。
この攻撃は、過去最大規模とされた従来のDDoS攻撃を大きく上回っており、HTTP/2を実装する多数のソフトウェアに深刻な影響を及ぼしました。ゼロデイ攻撃は、修正パッチが提供されていない段階で発生するため、根本的な防止策がなく、ベンダーの対応を待つしかない状況に陥ることも少なくありません。
こうした攻撃を完全に防ぐことは難しいものの、被害の拡大を防ぐための備えは可能です。異常をいち早く検知し、迅速にシステムを隔離・制御できるような監視体制とインシデント対応プロセスの整備が、被害最小化の鍵を握ります。
SQLインジェクションの事例
2020年4月、事務用品を取り扱うECサイトがSQLインジェクション攻撃を受け、不正アクセスによって最大12万件の顧客情報が流出した可能性があると報告されました。
中にはクレジットカード情報を含む94件の個人情報も含まれており、運営会社はサイトを一時閉鎖する事態に発展しています。被害にあったECサイトは対策としてシステムのセキュリティ強化を実施しました。
SQLインジェクションは適切な処理によって防げるため、事前の対策が重要です。
サイバー攻撃への対策にできること
サイバー攻撃の被害に遭わないためにできる対策として以下があります。
- セキュリティサービスの導入
- 社内ネットワークのアクセス制御
- セキュリティアップデートによる脆弱性対策
- 従業員へのセキュリティ教育の実施
- バックアップとインシデント対応体制の整備
- 多要素認証(MFA)の導入
セキュリティサービスの導入
サイバー攻撃への対策として、セキュリティサービスの導入は非常に有効な手段です。
まず、外部からの不正アクセスを防ぐ基本的な対策として、ファイアウォールの設置は欠かせません。ファイアウォールはネットワークの境界で通信を監視・制御し、不審なトラフィックを自動的に遮断することで、内部ネットワークへの侵入を防ぎます。
さらに、Webアプリケーションを狙った攻撃に対しては、WAF(Web Application Firewall)の導入が効果的です。WAFは、SQLインジェクションやクロスサイトスクリプティング(XSS)といったアプリケーション層の攻撃を検知・遮断する機能を備えており、外部公開システムを守る上で重要な役割を担います。
この他にも、EDRや脅威インテリジェンス、DDoS対策などさまざまなセキュリティサービスがありますが、まずは基本となるファイアウォールと、Webシステムを運用している場合はWAFの導入から検討を始めることを推奨します。
社内ネットワークのアクセス制御
社内ネットワークのアクセス制御はサイバー攻撃を防ぐ、あるいは被害を最小化するために有効です。
重要なシステムや情報資産へのアクセスは、業務に必要な最小限の権限に制限しておくべきです。ゼロトラストモデルを導入し、ユーザーやデバイスの信頼を前提とせず常に認証・検証を行うことで、不正侵入や内部不正による被害の拡大を防ぐことができます。
アクセス制御により、社内ユーザーを含めて認証、認可を行える体制を作りましょう。
セキュリティアップデートによる脆弱性対策
セキュリティアップデートは、サイバー攻撃に対する基本かつ有効な対策の1つです。
OSやソフトウェアに存在する既知の脆弱性は、攻撃者にとって最も狙いやすい侵入口となります。こうした脆弱性に対処するには、メーカーや開発元が提供するセキュリティパッチを速やかに適用し、常にシステムを最新の状態に保つことが重要です。
ただし、アップデートの適用には互換性の問題やシステム間の依存関係による影響が懸念されることもあります。そのため、業務への影響を最小限に抑えながらも、可能な限り速やかにパッチを適用できる体制を整えることが求められます。
従業員へのセキュリティ教育の実施
従業員に対するセキュリティ教育は、サイバー攻撃対策として非常に有効です。
いくら高度なセキュリティ対策を導入しても、従業員の不注意や認識不足が原因で情報漏えいにつながるケースは後を絶ちません。
とりわけ、フィッシングや標的型攻撃は従業員一人ひとりにメールという形で直接届きます。メールのフィルタリング機能をすり抜けた場合、被害を防げるかどうかは受信者の判断力に大きく左右されます。逆に、従業員がメールの不審点に気付き、リンクや添付ファイルを開かない対応ができれば、被害の発生を未然に防ぐことが可能です。
そのためには、定期的なセキュリティ研修を実施し、従業員全体のセキュリティリテラシーを継続的に向上させる取り組みが欠かせません。
バックアップとインシデント対応体制の整備
サイバー攻撃による被害を最小限に抑えるためには、復旧を前提としたバックアップとインシデント対応体制の整備が不可欠です。
例えば、ランサムウェアによってデータが暗号化・破壊された場合でも、適切なバックアップがあれば迅速なシステム復旧が可能になります。そのためには、定期的なバックアップの実施に加えて、インシデント発生時の対応マニュアルや緊急連絡体制の整備も欠かせません。これにより、被害拡大の防止と事業継続の両立が図れます。
ただし、復旧に際しては注意が必要です。ランサムウェアによる侵入経路や脆弱性の特定・封じ込めが完了していない状態での復旧は、再感染を招く恐れがあります。復旧作業を行う前に、原因の究明と再発防止策の実施を徹底することが重要です。
多要素認証(MFA)の導入
多要素認証(MFA)の導入もサイバー攻撃の対策として有効です。
IDとパスワードの組み合わせだけでは、情報漏えいや総当たり攻撃による不正ログインを防ぎきれません。MFAを導入し、ワンタイムパスワードや生体認証など複数の要素を組み合わせれば、セキュリティレベルを大きく向上できます。
ただし、MFAの導入はセキュリティ対策になる反面、ユーザーの利便性の損失にもつながります。シングルサインオン(SSO)の導入もセットで検討すれば、利便性の低減を抑える対策も可能です。
IPAが発表する情報セキュリティ10大脅威のサイバー攻撃
IPA(情報処理推進機構)から「情報セキュリティ10大脅威」が毎年公開されています。
2025年はランサムウェアによる被害が10年連続で1位となっています。ランサムウェアは、重要インフラや一般企業に対して甚大な影響を及ぼしている状況です。
2位はサプライチェーンや委託先を狙った攻撃で、取引先や外部委託先を経由した侵入が増加し、組織全体のセキュリティ管理の重要性が高まっています。3位はシステムの脆弱性を突いた攻撃で、ソフトウェアや機器の脆弱性を悪用した侵入が依然として脅威です。
続いて内部不正や標的型攻撃、リモートワーク環境を狙う攻撃、地政学的リスクに起因するサイバー攻撃など、多様化・高度化する脅威が上位を占めています。これらの脅威は、組織の規模や業種を問わず、全ての企業が対策を講じるべき重要課題です。
IPAの10大脅威2025について詳細や対策をまとめた資料を配布しています。自社のセキュリティ強化に役立てるために、ダウンロードしてご利用ください。
まとめ
サイバー攻撃は、システムやネットワークに対して損害を与えることです。脆弱性を突いた攻撃や、ソーシャルエンジニアリングによって不正にネットワークに侵入した攻撃者がさまざまな被害を与えます。
攻撃手法や脆弱性には多くの種類がありますが、恐ろしい攻撃についてはIPAが毎年10大脅威を公開しています。弊社からはIPAの10大脅威2025について詳細や対策をまとめた資料を公開しています。以下よりダウンロードできますのでぜひご活用ください。
